CEO-Betrug ist eine Art Spear-Phishing-Angriff, bei dem sich ein Hacker per E-Mail als CEO ausgibt und ein Opfer dazu überredet, eine Transaktion durchzuführen, die in der Regel finanziell ist. CEO Fraud, einer der teuersten E-Mail-Angriffe, ist eine Form der Kompromittierung von Geschäfts-E-Mails, die US-Unternehmen im Jahr 2019 1,7 Milliarden US-Dollar gekostet hat.
CEO-Betrug kann von Geschenkkartenbetrug bis hin zu Drahtbetrug reichen, wobei Millionen von Dollar auf das Bankkonto eines Hackers weitergeleitet werden, oft lange bevor das Unternehmen erkennt, was schief gelaufen ist. Um ihre Erfolgschancen zu erhöhen, wenden Hacker eine Reihe von Taktiken an, von denen einige technisch sind, aber hauptsächlich psychologische Manipulationen beinhalten.
Druck ausüben
Geschenkkartenbetrug gehört zu den am einfachsten auszuführenden und am schwierigsten zu verfolgenden. Damit gehören sie zu den am weitesten verbreiteten Spear-Phishing-Angriffen in freier Wildbahn und bieten einen sofortigen ROI.
Ein Hacker, der sich als CEO ausgibt, behauptet normalerweise, er sei in einem Meeting und müsse dringend Geschenkkarten für einen Kunden kaufen. Häufig, Der Hacker behauptet, die Geschenkkarten seien eine Überraschung für die Mitarbeiter, Manipulation des Opfers, um die Anfrage geheim zu halten. In den Augen des Opfers könnte das Versäumnis, durchzukommen, zu Verlegenheit oder Enttäuschung des CEO führen. Dies erzeugt einen starken Druck für das Opfer.
Die erfolgreichsten Business-E-Mail-Kompromittierungsangriffe umfassen sorgfältig gestaltete Spear-Phishing-E-Mails. Aber was sie wirklich erfolgreich macht, ist die Identität und der Einfluss des angeblichen Absenders. Der durchschnittliche Benutzer könnte zweimal darüber nachdenken, Geschenkkarten für John in der Buchhaltung zu kaufen, aber wenn die Anfrage vom CEO kommt, reagiert das Opfer eher und schneller.
Viele Opfer von CEO Fraud hatten bisher wenig bis gar keinen Kontakt zum CEO. Es ist leicht, den Opfern in diesen Fällen die Schuld zu geben und zu sagen, sie hätten es besser wissen sollen. In Wirklichkeit, es macht das Opfer anfälliger für den Betrug, weil die E-Mail das Opfer unvorbereitet erwischt. Wenn die finanzielle Anfrage die erste Kommunikation zwischen Opfer und CEO ist, wird das Opfer nicht nur Druck, sondern auch den Wunsch verspüren, zu gefallen.
Vorwand und Social Engineering
Viele Opfer sind es nicht gewohnt, mit dem CEO zu kommunizieren. Sie sind mit dem Kommunikationsstil und den Gewohnheiten des CEO nicht vertraut — was der CEO sagen oder nicht sagen oder tun würde. Der echte CEO könnte niemals in ein solches Gespräch verwickelt werden oder eine solche Anfrage stellen, aber das Opfer weiß das nicht und es gibt dem Hacker einen Vorteil.
Eine gängige Taktik im Social Engineering, Pretexting, öffnet eine Kommunikationslinie zwischen dem Hacker und dem Opfer und erleichtert dem Opfer die Anfrage. Es ermöglicht dem Hacker auch, Erwartungen zu setzen (erzählen Sie niemandem davon; es ist eine Überraschung) und dient als Informationsbeschaffung, die dem Hacker zusätzliche Informationen liefert, die ihm zum Erfolg verhelfen könnten.
In einigen Fällen von CEO-Betrug sendet ein Hacker dem Opfer mehrmals eine E-Mail, um die endgültige Anfrage zu stellen, seinen Fortschritt zu überprüfen, sicherzustellen, dass niemand anderes von der Transaktion Kenntnis hat, und mehr Druck auszuüben, bis die Transaktion abgeschlossen ist.
Senden von E-Mails von mobilen Geräten
CEOs sind vielbeschäftigte Menschen. Es ist nicht ungewöhnlich, eine E-Mail von einer Führungskraft zu erhalten, die nicht im Büro, auf einer Veranstaltung, bei einem Kunden oder sogar außerhalb des Landes ist. Das Senden von Spear-Phishing-E-Mails über ein mobiles Gerät hilft dem Hacker, den Eindruck zu erwecken, dass der CEO nicht im Büro ist. Dies kommt dem Hacker in mehrfacher Hinsicht zugute.
Erstens hilft es dem Hacker, die Illusion zu erzeugen, dass der CEO nicht in seinem Element ist, möglicherweise ohne seinen Laptop, und Hilfe benötigt. Zweitens gibt es dem Hacker Spielraum, Fehler in Bezug auf die E—Mail zu machen – Grammatik- und Rechtschreibfehler sind häufig und verzeihlich (bis zu einem gewissen Grad) auf mobilen Geräten.
Schließlich erhöht es die Wahrscheinlichkeit, dass die gefälschte E-Mail übersehen wird. Wenn der Hacker den CEOs-Namen, aber nicht die Unternehmensdomäne fälscht, ist es für das Opfer vernünftig zu glauben, dass der CEO einen Fehler gemacht und die E-Mail über ein persönliches Konto gesendet hat.
Deep Fakes
Deep Fakes sind relativ neu im Bereich der Kompromittierung geschäftlicher E-Mails und haben sich als hocheffektiv und äußerst kostspielig erwiesen. Besser noch (für den Hacker) gibt es eine Vielzahl von auf künstlicher Intelligenz basierenden Tools auf dem Markt, mit denen ein Hacker die Stimme eines CEO nachahmen kann.
Laut dem Wall Street Journal erhielt 2019 ein CEO eines britischen Energieunternehmens einen Anruf vom CEO der deutschen Muttergesellschaft des Unternehmens — nur war es nicht sein Chief Executive. Es war ein Hacker, der Deep-Fake-Software verwendete, die Stimme des Vorstandsvorsitzenden in Deutschland nachahmte und eine Überweisungszahlung an einen Lieferanten anforderte. Das Ergebnis war eine Zahlung von 243.000 US-Dollar an den Hacker, der bald zurückrief und nach mehr fragte, was den CEO ausstieß.
Deep Learning-Software ist reichlich vorhanden, effektiv und billig, und Unternehmen haben keine Antwort darauf. Laut Computer Weekly sind 77 Prozent der Entscheidungsträger im Bereich Cybersicherheit besorgt über Deep Fakes, aber nur 28 Prozent haben einen Plan, sich dagegen zu verteidigen.
Verhinderung von CEO-Betrug
Die Anti-Spear-Phishing-Technologie hat einen langen Weg zurückgelegt, aber die psychologische Natur von CEO-Betrug erfordert eine Kombination vorbeugender Maßnahmen:
Benutzerschulung: Schulen Sie Ihre Benutzer darin, verschiedene Arten von Geschäfts-E-Mail-Kompromissen sowie Social-Engineering-Techniken zu identifizieren. Gehen Sie über regelmäßige Schulungen hinaus und bieten Sie Schulungen im laufenden Betrieb an – wenn Benutzer schädliche E-Mails öffnen oder darauf antworten.
Validierungsprozesse: Implementieren Sie einen Prozess zur Validierung von Anforderungen für Finanztransaktionen. Beispiele hierfür sind die Validierung von Anfragen persönlich oder telefonisch nach Erhalt einer finanziellen Anfrage per E-Mail.
Technologie: Rüsten Sie Ihre Anti-Spear-Phishing-Lösung auf eine Lösung auf, die über DMARC und herkömmliche Erkennung hinausgeht. Die Lösung sollte in der Lage sein, schwer zu erkennende Spoofing-Techniken zu identifizieren, die DMARC umgehen, einschließlich Cousin-Domänen und Anzeigenamen-Spoofing.
Egal, ob Sie es Spear-Phishing, CEO-Betrug oder Kompromittierung von Geschäfts-E-Mails nennen, alle gezielten E-Mail-Angriffe weisen ähnliche Merkmale, Verhaltensweisen und sogar Sprache auf. Hier zeichnet sich künstliche Intelligenz (KI) bei der Erkennung aus.
Auf der Suche nach Anomalien im E-Mail-Verkehr und bösartigem Verhalten in E-Mails können KI-Algorithmen erkennen, was statistische oder Fingerabdrucklösungen vermissen. Vade Secure verwendet zwei maschinelle Lerntechniken, um Spear-Phishing und CEO-Betrug zu erkennen:
- Anomalieerkennung: Identifiziert Ausreißer oder Verhaltensweisen, die in einem Datensatz ungewöhnlich sind — in diesem Fall der E-Mail-Verkehr einer Organisation. Es lernt im Laufe der Zeit, was ein typisches Sende- / Empfangsverhalten in der Organisation ist und was nicht, und identifiziert Anomalien, einschließlich Cousindomänen und Anzeigenamen-Spoofing.
- Verarbeitung natürlicher Sprache: Erkennt die gebräuchlichen Wörter und Ausdrücke, die bei CEO-Betrug und Spear-Phishing verwendet werden, insbesondere Sprache, die auf Dringlichkeit hinweist oder mit Finanztransaktionen zusammenhängt.
Vade Secure für Microsoft 365 warnt Benutzer mit einem Warnbanner, das beim Öffnen der verdächtigen E-Mail ausgelöst wird, vor möglichen Spear-Phishing-Versuchen. Dies bietet die Pause, die der Benutzer benötigt, um die möglichen Warnzeichen zu berücksichtigen, die er sonst möglicherweise übersehen hätte. Wenn die E-Mail Anomalien enthält, aber eine legitime Nachricht ist, wird die E-Mail nicht falsch klassifiziert und blockiert, um sicherzustellen, dass wichtige Unternehmenskommunikation erfolgreich zugestellt wird.