Warnung vor CEO-Fraud: "Can you handle a task for me?", "Kindly let me know if you're free now."
2. Mai 2024, von IT GW
Es sind aktuell wieder Betrugsmails nach dem Muster "CEO-Fraud"/"Chef-Trick" im Umlauf, die vermeintlich von Mitgliedern der UHH – zumeist von Vorgesetzen der Empfänger:innen – an andere Beschäftigte im gleichen Organisationsbereich wie Fakultät, Fachbereich, Institut, Forschungsprojekt etc. versendet wurden. Der Absendername ist meist korrekt, die Absender-Mailadresse ist jedoch falsch bzw. gefälscht (z. B. eine Gmail- oder Yandex-Adresse).
Der Betreff oder knappe Inhalt der E-Mails lautet beispielsweise:
- "Can I entrust a task to you?"
- "Can you handle a task for me?"
- "Are you available?"
- "Are you free now?"/"Are you free?"
- "Kindly let me know if you're free now."
- "Please let me know if you have some time now."
- "Need your urgent response",
- "Do you have some minutes?" o. ä.
Da die Betrugsversuche bislang in der Regel auf Englisch erfolgen, ist diese Masche besonders gefährlich bei Empfänger:innen, die (auch) auf Englisch kommunizieren bzw. mit denen (auch) auf Englisch kommuniziert wird.
Solche Betrugsmails aus dem Bereich des Social Engineering/Social Hacking führen in der Regel in der Kommunikation per E-Mail oder Telefon zu einer mit Zeitdruck und hoher Dringlichkeit verbundenen persönlichen Bitte bzw. Aufforderung, einer/einem Vorgesetzten zu helfen und dabei eine Handlung auszuführen: z. B. Gutschein-Karten kaufen, Zugangsdaten wie Kennungen und Passwörter oder interne Kontaktdaten oder andere vertrauliche Informationen weitergeben, Überweisungen durchführen usw.
Bitte antworten Sie (wie auch bei Phishing, Spam und anderen Betrugsversuchen) niemals auf solche E-Mails; steigen Sie bitte nicht in die Kommunikation ein, sondern melden Sie uns den Vorfall und löschen Sie bitte nach Rückmeldung von uns die betreffende E-Mail(s) dauerhaft aus Ihrem Posteingang und Papierkorb. Im Anschluss passen Sie bei Bedarf bitte den Junk-Filter Ihrer Mail-Software an.
Bei Betrugsversuchen per Telefon legen Sie bitte gleich auf und notieren Sie die Telefonnummer, von der angerufen wurde.
In der E-Mail-Kommunikation und sonstigen elektronischen Kommunikation hilft der bekannte "3-Sekunden-Check":
- Ist die Absenderadresse korrekt (nicht nur der angezeigte Name des Absenders)?
- Ist der Betreff (und Inhalt) der Nachricht sinnvoll? Erwarte ich eine solche Nachricht von diesem Absender?
- Erwarte ich in diesem Zusammenhang eine Datei im Anhang oder einen Link?
Hier finden Sie Informationen zu Social Engineering und CEO-Fraud:
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Social Engineering – der Mensch als Schwachstelle
- Stabsstelle Informationssicherheit, Philipps-Universität Marburg: Social Engineering
- Informatik und Gesellschaft, Universität Oldenburg: Sicherheitslücken im Internet - Social Engineering/Social Hacking
- Polizei Hamburg: CEO-Fraud mit Flyer (PDF) zum Thema
Weiterführende Hinweise, Empfehlungen und aktuelle Hinweise zur IT-Sicherheit:
- IT SLM: Informationen zur IT-Sicherheit
- IT SLM: Aktuelle Meldungen zu IT-Sicherheit u. a. via Twitter
- RRZ: Aktuelle Meldungen (u. a. IT-Sicherheitswarnungen für die UHH)
- RRZ: Informationssicherheit und Datenschutz (im Home-Office)
- RRZ: Betrugs- und Angriffsversuche per E-Mail nehmen weiter zu. Der "3-Sekunden-Check" bleibt wichtig!
- BSI: IT-Sicherheit am Arbeitsplatz