Fake President-Betrügereien und ihre verheerenden Auswirkungen auf Unternehmen sind an sich nichts Neues. Unternehmen haben bereits Millionen von Euro an Kriminelle verloren und viele Mitarbeiter dadurch ihre Arbeitsplätze verloren. Experten zufolge machte der Fake President-Betrug - auch bekannt als Business Email Compromise - fast ein Viertel aller Schäden in der DACH-Region aus.
Damit hat diese Form von Betrug sogar Bedrohungen wie Ransomware oder Datenschutzverletzungen überholt und war der Hauptgrund dafür, dass Unternehmen im vergangenen Jahr eine Cyber-Versicherung in der DACH-Region abgeschlossen haben. Den Experten zur Folge, haben deutsche Unternehmen sowie deren ausländische Töchterfirmen Schäden von über 190 Millionen Euro seit 2014 gemeldet.
Der Fake President-Betrug wird oft von organisierten Kriminellen begangen, die ein bestimmtes Unternehmen, eine Person oder eine Gruppe von Personen auswählen und den Angriff auf sie ausrichten. Sie versuchen diese Personen dazu zu bringen, eine unbefugte Tätigkeit wie zum Beispiel eine Geldüberweisung auf ein ausländisches Konto durchzuführen.
Beispelweise hat das BKA vor zwei Jahren veröffentlicht, dass ein Cyberkrimineller als angeblicher persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt solche Anrufe tätigte. Er handelte angeblich im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin und gab sich als Uwe Becker aus. Der Kriminelle rief bundesweit Geschäftsführer an und forderte die Unternehmen zu einer Spende für den Freikauf deutscher Geiseln auf. Dem Betrüger zufolge fehlten der Bundesregierung noch etwa 40 Millionen Euro.
Diese Art von Social Engineering wird als Spear-Phishing bezeichnet. In diesem Fall richten sich Betrüger an Nicht-Muttersprachler, die in ausländischen Tochtergesellschaften des Unternehmens beschäftigt sind. Dadurch stellen sie sicher, dass die Wahrscheinlichkeit, dass diese Mitarbeiter den Betrug erkennen geringer ausfällt. Dies bedeutet auch, dass der betreffende Mitarbeiter mit dem leitenden Angestellten, der eigentlich der Betrüger ist, wenig oder niemals zusammengearbeitet hat.
Ein Fake-President-Betrug erfordert in der Regel relativ viel strategische Planung bzw. zeitintensive Vorbereitung: Online-Verhaltensweisen bzw. die Aktivität des Opfers beobachten, um private Informationen über ihn zu sammeln, eine überzeugende Phishing-Kampagne und einen Plan zur Ausführung aufsetzen usw. Der Angriff beginnt oft als Spear-Phishing, aber letztendlich folgen in den meisten Fällen anhaltende Anrufe - der sogenannte Vishing-Angriff, wodurch der Mitarbeiter noch stärker unter Druck gesetzt wird.
Kriminelle sind innovativ und sie ändern ständig ihre Techniken. Mitarbeiter müssen diese kennenlernen und ihr Verhalten entsprechend anpassen. Es reicht nicht mehr aus bei Phishing-E-Mails nach Fehlern in der Rechtschreibung, Grammatik und Interpunktion zu suchen. Mitarbeiter benötigen ein Training nach dem New School Security Awareness-Training, das ihnen spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe lehrt.
Bei gefälschten Telefonanrufen sollten sich Mitarbeiter beispielsweise die Nummer merken, die Antwort einfach verweigern, das Gespräch so schnell wie möglich beenden oder die Information mit einem anderen leitenden Angestellten zuerst verifizieren, bevor sie das Gespräch weiterführen. Auf diese Art und Weise halten sie Schäden von ihrem Unternehmen fern.