Beiträge

Wissen Sie, was die schlimmste Art von Phishing-Betrug ist? Die Art, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder CEO, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.

Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.

Aber lassen Sie uns einen Blick auf den CEO-Betrug werfen. Was genau ist das? Kann er auch Ihnen passieren? Und wenn ja, was sollten Sie tun, um ihn zu verhindern?

Sie sind nicht immun gegen CEO-Betrug

Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.

Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.

Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.

Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Sie laufen Gefahr, als das Unternehmen gesehen zu werden, das durch einen E-Mail-Betrug Geld verloren hat und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.

Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.

Wie Sie CEO-Betrug verhindern: 6 einfache Schritte

  1. Informieren Sie Ihr Personal über Sicherheit
    Dieser Punkt ist absolut entscheidend. Die Mitglieder Ihrer Belegschaft - insbesondere die im Finanzwesen - müssen verstehen, wie Business Email Compromise funktioniert. Und damit meinen wir nicht nur eine langweilige, zweistündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreibt. Sie müssen sie darin schulen, wie sie auf verdächtige Anzeichen achten, dass eine E-Mail gefälscht ist, wie sie auf gefälschte E-Mail-Adressen achten und wie sie abnormale Anfragen stellen, die andere Mitarbeiter per E-Mail zu stellen scheinen.
  2. AchtenSie auf verräterische Anzeichen für Spoofing
    E-Mail-Betrüger verwenden alle möglichen Taktiken, um Sie dazu zu bringen, ihren Aufforderungen nachzukommen. Diese können von dringenden Anfragen/Anweisungen zur Überweisung von Geld reichen, um Sie zu schnellem und unüberlegtem Handeln zu bewegen, bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein "geheimes Projekt", das die höheren Stellen noch nicht mit Ihnen teilen wollen. Dies sind ernstzunehmende Warnsignale, die Sie doppelt und dreifach überprüfen müssen, bevor Sie überhaupt etwas unternehmen.
  3. Schützen Sie sich mit DMARC
    Der einfachste Weg, einen Phishing-Betrug zu verhindern, ist, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domain kommen, verifiziert, bevor sie zugestellt werden. Wenn Sie DMARC auf Ihrer Domain erzwingen, wird jeder Angreifer, der sich als jemand aus Ihrer eigenen Organisation ausgibt, als nicht autorisierter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich nicht mehr mit gefälschten E-Mails herumschlagen.
  4. Holen Sie die ausdrückliche Genehmigung für Überweisungen ein
    Dies ist eine der einfachsten und unkompliziertesten Möglichkeiten, um Geldüberweisungen an die falschen Personen zu verhindern. Bevor Sie sich zu einer Transaktion verpflichten, sollten Sie die ausdrückliche Zustimmung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung verlangen.
  5. E-Mails mit ähnlichen Erweiterungen kennzeichnen
    Das FBI empfiehlt, dass Ihr Unternehmen Systemregeln erstellt, die automatisch E-Mails kennzeichnen, die zu ähnliche Erweiterungen wie Ihre eigenen verwenden. Wenn Ihr Unternehmen zum Beispiel "123-business.com" verwendet, könnte das System E-Mails mit Erweiterungen wie "123_business.com" erkennen und kennzeichnen.
  6. Kaufen Sie ähnliche Domain-Namen
    Angreifer verwenden oft ähnlich aussehende Domain-Namen, um Phishing-E-Mails zu versenden. Wenn Ihr Unternehmen z. B. ein kleines "i" im Namen hat, verwenden sie vielleicht ein großes "I" oder ersetzen den Buchstaben "E" durch die Zahl "3". Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass jemand einen extrem ähnlichen Domainnamen verwendet, um Ihnen E-Mails zu senden.