360° Rundgang 
CampusMap 
Bibliothek 
Rechenzentrum 
Webmail 
Stud.IP 
Online-Service 
Mensa 
Newsroom 
Pressekontakt 
Uni-Shop 
Interne Verwaltung 
CEO Fraud - der Chef-Trick
Der CEO-Fraud, auch als Chef-Trick bekannt, ist eine spezielle Form des Social Engineering, die auf die Autorität von Vorgesetzten gegenüber ihren Mitarbeitern setzt. Es wird beispielsweise mit einer im Namen des Chefs formulierten E-Mail auf eine dringende Notsituation hingewiesen, die die Mitarbeiter*in schnell bearbeiten muss. Da Beschäftigte bei Anweisungen eines Vorgesetzten eher dazu geneigt sind, geltende Sicherheitsvorkehrungen zu übergehen, ist diese Methode oft von Erfolg gekrönt.
Ein typisches Szenario: Es wird aufgrund der Angaben im Facebook-Profil ermittelt, dass Frau Meyer in der Buchhaltung des Unternehmens „Schulz GmbH“ arbeitet. Von der Firmen-Homepage wird ermittelt, dass Herr Müller der CEO des Unternehmens ist, gleichermaßen wird seine E-Mail-Adresse, die ebenfalls auf der Homepage angegeben ist, gespooft (gefälscht), um vorgeben zu können, in seinem Namen eine E-Mail an diese Mitarbeiterin zu versenden. Besonders gut vorbereitete Betrüger analysieren lange im Vorfeld das Unternehmen, informieren sich über die Eigenarten des Vorgesetzten und können sogar dessen Schreibstil bei E-Mails imitieren, um perfekt gefälschte Mails zu generieren (Social Engineering).
Frau Meyer erhält dann zum Beispiel eine solche Mail:
Hallo Paula,
ich bin gerade in einer Besprechung, du musst mir dringend einen Gefallen tun.
Wir haben eine Rechnung von einem Lieferanten vergessen zu bezahlen. Das Verhältnis ist etwas vorbelastet, kannst du dich also bitte SOFORT darum kümmern, dass die Überweisung heute noch rausgeht?
8600 € an die IBAN DE933748322928, Verwendungszweck: RE3830028
Ich kann gerade nicht telefonieren, schreib mir bitte eine Mail sobald du es erledigt hast.
Danke
Klaus
Ähnlich wie beim Social Engineering im Allgemeinen gibt es einige Grundsätze zu beachten, um nicht auf die Tricks der Betrüger reinzufallen:
- Lassen Sie sich nicht unter Druck setzen.
- Überprüfen Sie die Identität des Absenders. Sprechen Sie Ihren Vorgesetzten direkt an und klären Sie den Vorgang persönlich, insbesondere, wenn Dringlichkeit vorgetäuscht wird und in der Mail darauf verwiesen wird, nicht erreichbar zu sein.
- Prüfen Sie, ob die angegebene Bankverbindung überhaupt in den Stammdaten hinterlegt ist.
- Prüfen Sie die Absenderadresse.
- Achten Sie auf unübliche Formulierungen oder Fehler in Rechtschreibung oder Grammatik.