Miese Masche in sieben Schritten

Social Engineers verfahren nach einem Muster, etwa wenn sie sich als Chef ausgeben und eine Überweisung verlangen. Anhand des CEO-Frauds lässt sich zeigen, wie das System der Betrüger funktioniert

Von Simon Schramm

Beim CEO-Fraud geben sich Social Engineers als leitende Angestellte eines Unternehmens aus. Oft angewandt wird der Betrug so: Der vermeintliche Chef weist einen Mitarbeiter an, einen hohen Geldbetrag für eine anstehende Unternehmens-Akquisition auf ein Konto im Ausland zu überweisen. Der Grund: Das sei gerade dringend und schnell nötig. Es ist eine Masche, anhand derer das typische Vorgehen der Engineers erklärt – und enttarnt werden kann.

1. Informationen sammeln

Sehr viel davon holen sich Engineers online – oder am Telefon. Die Engineers müssen den täglichen Flow der Organisation kennenlernen. Wann ist Essenszeit, in der Mitarbeiter ihre Büros verlassen und Zugang möglich wird? So eine Attacke kann schnell gehen oder wochenlange Vorbereitung bedeuten. Im Fall des CEO-Fraud müssen die Engineers den Stil der Mails in der Firma imitieren, brauchen also eine Mail aus dem System.

2. Opfer finden

Wer hat Zugang zu den gewünschten Infos, wird aber nicht als Leck verdächtigt? Das kann der Assistent oder die Sekretärin sein. Beim CEO-Fraud werden bevorzugt Mitarbeiter aus der Finanzabteilung ausgesucht. Die werden zum Beispiel in sozialen Netzwerken gefunden.

3. Coverstory ausdenken

Also einen Grund erfinden, wieso die Engineers mit dem Opfer in Kontakt treten. Im Fall des CEO-Frauds: Angeblich stehe das eigene Unternehmen unmittelbar vor der Übernahme einer Firma, ein wichtiger strategischer Schritt für das eigene Haus und ein Millionen-Deal, von dem niemand etwas wissen darf.

4. Kontaktaufnahme

Die Engineers versuchen, jemanden an den Haken zu kriegen und dabei vor allem unverdächtig zu bleiben. Sie imitieren den Stil des Chefs und kündigen in einer ersten Mail an, ein großer Geldbetrag müsse für den Deal demnächst ins Ausland transferiert werden.

5. Vertrauen schaffen

Das Opfer muss die Geschichte glauben. Nur wenn das Vertrauen vorhanden ist, wird das Opfer es nicht ablehnen, Dinge zu tun, die der Engineer von ihm will – obwohl es das Opfer selber eigentlich gar nicht will! Hier wird dann oft mit (Zeit-)Druck gearbeitet.

Beispiel-Mail:

Lieber Helmut!

Wir haben nun einen neuen Vertrag für die Übernahme der Holz-Firma ausgemacht, das Geschäft ist fast in trockenen Tüchern. Ich schreibe dir das im Vertrauen und verlasse mich auf dich! Verrate niemandem etwas über den Deal, bis wir ihn öffentlich machen. Sie werden dir in den nächsten Stunden schreiben, kümmere dich sofort darum, wir müssen das schnell über die Bühne bringen. Schreib mir, falls es notwendig ist, aber bis zum späten Nachmittag bin ich beschäftigt.

Grüßle, Chef

6. Vertrauen ausbeuten

Das Opfer wird zur Aktion aufgefordert – und überweist zum Beispiel nun tatsächlich das Geld, wie vermeintlich vom Chef angefordert.

7. Flüchten

Für Engineers ist es wichtig, dass niemand schnell Verdacht schöpft. Beim CEO-Fraud ist es nicht schlimm, wenn der Betrug im Nachhinein auffliegt. Der Schaden ist ja schon gemacht.

Gegen den Betrug hilft: Aufklären. Man sollte genau überlegen, welche Infos man online stellt oder telefonisch oder per Mail weitergibt. Und: Sich nicht unter Druck setzen lassen und im Zweifel den direkten Kontakt zum Chef suchen.