Erneut sind zwei Unternehmen Opfer eines umfangreichen CEO-Fraud geworden. Der Täter erbeutete insgesamt 100 Millionen USD.
Die Fälle, in denen Unternehmen Opfer eines sog. CEO-Fraud werden, häufen sich. Mittels falscher Identitäten, technischer Hilfsmittel und Social Engineering erbeuten die Täter immer wieder Millionen, indem sie sich bspw. als Manager des eigenen Unternehmens oder als Geschäftspartner ausgeben und teilweise Millionen schwere Transaktionen veranlassen. Über CEO-Fraud und Social Engineering, was es ist und wie man sich schützt, publiziert MKM+PARTNER immer wieder.
Ein Täter, zwei Jahre, 100 Millionen USD Beute
Der 48-jährige Tatverdächtige wurde in Litauen festgenommen, wie das US-Justizministerium bekannt gab. Die beiden geschädigten Unternehmen sollen ein „international tätiges Technologie- und ein international tätiges Social-Media-Unternehmen“ sein.
Das Vorgehen des Verdächtigen ist, wie bei vielen anderen Social Engineering-Angriffen, durchdacht und von fundierten Informationen über die betroffenen Unternehmen getragen. Nachdem er den Unternehmensnamen eines asiatischen Geschäftspartners der beiden betroffenen Firmen ermittelte, gründete er selbst ein Unternehmen unter diesem Namen in Lettland. Anschließend eröffnete er entsprechende Konten in Lettland und Zypern.
Mittels Phishing-Mails gelangte er an vertrauliche Informationen der US-Unternehmen, u.a. an die Namen real existierender Mitarbeiter des asiatischen Geschäftspartners, Dokumente und Unterschriften. So konnte er gefälschte Rechnungen ausstellen und die Transaktionen veranlassen. Über zwei Jahre hinweg soll der Verdächtige dann die beiden US-Unternehmen um insgesamt 100 Millionen USD betrogen haben. Das Geld wurde von seinen Firmenkonten in Lettland und Zypern auf Konten in Hong Kong, Ungarn und der Slowakei sowie in weitere Länder verteilt.
Mit einfachen Mitteln zum Erfolg
Auffallend bei diesem Vorgehen ist, mit welch einfachen Mitteln der Verdächtige eine derart große Summe erbeuten konnte. Wie fast immer bei Social Engineering-Angriffen dürften die benötigten Basisinformationen öffentlich zugänglich gewesen sein. In diesem Fall vermutlich der Name des asiatischen Geschäftspartners und die Mailadressen, an die die Phishing-Mails versandt wurden.
Wie so oft griff auch hier die „Schwachstelle Mensch“. Die Empfänger der kompromittierten Mails öffneten diese, der Angreifer hackte sich so in das Netzwerk der Unternehmen. Je nach Ausgestaltung dieser Mails ist es den Opfern u.U. kaum möglich gewesen zu erkennen, dass diese gefälscht waren. Die Erbeutung echter Namen, Dokumente und Unterschriften garantierte dem Verdächtigen dann eigentlich den Erfolg. Ab diesem Zeitpunkt war es sehr unwahrscheinlich, dass jemand in den Unternehmen Verdacht schöpfte. Insbesondere, wenn durch den Hack Interna über Rechnungsabläufe, Leitlinien, Personalstruktur etc. ersichtlich wurden.