»CEO-Fraud« oder »Chefbetrug«: Von Leoni lernen

Aktueller Betrugsfall mit einem Schaden von rund 40 Millionen Euro durch gefälschte interne Mails macht Sicherheitslücken in gängigen Mail-Security-Lösungen deutlich. Schnelle Überprüfung der eigenen Infrastruktur bringt Sicherheit.

foto cc0 pixabay geralt e-mail code at

foto cc0

Mitte August hat die Leoni AG aus Nürnberg bekannt gegeben, dass sie Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten, sowie Nutzung elektronischer Kommunikationswege wurde [1]. In deren Folge wurden Gelder des Unternehmens auf Zielkonten im Ausland transferiert. Die Ermittlungen der Kriminalpolizei laufen. Die Täter nutzten dabei eine Methode, die als »CEO-Fraud« oder »Chefbetrug« seit langem bekannt ist und immer häufiger angewendet wird. Nach Aussagen des Bundeskriminalamts sind in Deutschland seit 2013 rund 60 Betrugsfälle mit einem Gesamtschaden von 106 Millionen Euro bekannt geworden. Eine Meldepflicht gibt es aber nicht, so dass es auch eine Dunkelziffer geben dürfte. Das Volumen des aktuellen Schadens in Höhe von 40 Millionen Euro zeigt die Brisanz des Themas.

Kern des »CEO-Frauds« oder des »Chefbetrugs« sind gefälschte interne Mails, die vorgeben, von der Geschäftsführung oder anderen leitenden Mitarbeitern zu sein. Leider erkennt nach Recherchen von Net at Work die große Masse der am Markt erhältlichen Secure-Mail-Lösungen diese gefälschten Mails nicht als solche.

Lösungsansatz

Um gefälschte, angebliche interne E-Mails sicher von echten Mails des Chefs unterscheiden zu können, wendet eine spezialisierte Sicherheitssoftware ein 2-stufiges Sicherheitskonzept an. In der ersten Stufe wird eine Prüfung des Mail-Envelope durchgeführt. Neben anderen Merkmalen ist ein wesentlicher Punkt, die IP-Adresse des sendenden Mail-Servers zu prüfen. Wenn eine Mail aus der eigenen E-Mail-Domain empfangen wird, muss die IP Adresse mit einer der Adressen übereinstimmen, die in der Sicherheitssoftware hinterlegt sind. Wurde die E-Mail von einer anderen IP-Adresse – d.h. einem nicht-autorisierten Mail-Server – gesendet, wird sie abgewiesen.

In der zweiten Stufe wird der Mail-Header geprüft: Das E-Mail Gateway weiß, dass eine zu prüfende Mail von extern gesendet wurde. Dann wird geprüft, ob die eigene Domain (»meinunternehmen.de«) in der Absenderadresse vorkommt. Da eine interne Mail im Regelfall nicht von extern gesendet wird, kann die Mail ebenfalls rückgewiesen werden. Einfache Prüfungen könnte theoretisch auch jeder Anwender selbst durchführen. In der Praxis scheitert dies jedoch an der technischen Kompetenz der Mitarbeiter und auch am Zeitbedarf, unter hohem Arbeitsdruck zusätzliche Prüfungen und Rückversicherungen vorzunehmen.

Neben den genannten Verfahren nutzt NoSpamProxy weitere Merkmale zur Prüfung, die jedoch verständlicherweise geheim gehalten werden. Technisch ist es folglich kein Hexenwerk, Betrugsversuche nach der »Chef-Masche« erfolgreich abzuwehren.

»Wir sind von der Häufigkeit und Höhe der Schäden, die durch diese Attacken verursacht werden, ebenfalls überrascht. Aber es bestätigt auch unseren innovativen Ansatz, komplexe neue Bedrohungen durch intelligent vernetzte Filter, Regeln und Prüfungen zu verhindern«, sagt Uwe Ulbrich, Geschäftsführer bei Net at Work. »Die konsequente Bewertung der Senderreputation – und dazu gehört natürlich die Validierung des Absenders – sollte in keinem Secure-Mail-Gateway fehlen. Jedes Unternehmen sollte prüfen, ob die eingesetzte Mail-Security-Infrastruktur dies aktuell bereits leistet.«

[1] https://www.leoni.com/de/presse/mitteilungen/details/leoni-wurde-opfer-krimineller-aktivitaeten/
Die Leoni AG ist einer der weltweit führenden Anbieter von Drähten, optischen Fasern, Kabeln, Kabelsystemen und der dazugehörigen Dienstleistungen für die Automobilbranche sowie weitere Industrien.
Als besonderen Service bietet Net at Work Unternehmen und anderen Organisationen, die ihre Mail-Security-Infrastruktur auf diese Lücke hin untersuchen wollen, fundierte Unterstützung an. Interessenten können sich gerne per Mail oder telefonisch unter anfragen@netatwork.de oder 05251-304-600 melden. Weitere Informationen über die integrierte Mail Security Suite NoSpamProxy erhalten Sie hier: https://www.nospamproxy.denteressenten können NoSpamProxy zudem mit telefonischer Unterstützung kostenlos testen: https://www.nospamproxy.de/de/produkt/testversion

CEO-Betrug: Achtung vor Enkeltrick 4.0 in Unternehmen

Whaling – Das Netz für die großen »Phishe«

E-Mail: Mit DANE mehr Sicherheit im Mailverkehr

EICAR-Stufe II: Mindeststandard für Anti-Malware-Produkte wird überprüfbar

Absicherung der E-Mail in Zeiten von Cyberattacken

Malware-Angriffe nehmen Mitarbeiter mit angeblichen Richtlinienverletzungen und Firmendokumenten ins Visier

Fast 40 Prozent der Unternehmen waren Opfer von Ransomware-Attacken

Sicherheitspraxis: Benutzerbasierte Überwachung im Netzwerk

Schreiben Sie einen Kommentar