Der CEO-Betrug, auch bekannt als „Geschäftsführer-Betrug“ oder „CEO-Fraud“, ist eine spezielle Form des Business E-Mail Compromise (BEC). Bei diesem Betrug geben sich Kriminelle in der Regel als hochrangige Führungskräfte, oft als der Geschäftsführer (CEO) oder ein anderer Top-Manager eines Unternehmens, aus. Sie nutzen gefälschte E-Mails, Telefonanrufe oder Nachrichten, um Mitarbeiter, typischerweise aus der Finanzabteilung, zu täuschen und sie dazu zu bringen, Geldüberweisungen auf Konten vorzunehmen, die den Betrügern gehören, oder sensible Informationen preiszugeben.
Der CEO-Betrug beruht stark auf Social Engineering und der Ausnutzung der Autorität der imitierten Führungskraft. Die Täter führen eine sorgfältige Recherche durch, um die Kommunikationsmuster, Terminologie und die Organisationsstruktur des Zielunternehmens zu verstehen. Mit diesen Informationen erstellen sie überzeugende Betrugsanfragen, die oft einen hohen Grad an Dringlichkeit oder Vertraulichkeit suggerieren, um die Zielpersonen zur schnellen Ausführung der gewünschten Aktionen zu bewegen, ohne die Anfrage in Frage zu stellen.
Um solchen Betrug zu verhindern, implementieren Unternehmen vermehrt strenge interne Kontrollen und Verifizierungsprozesse für Finanztransaktionen, insbesondere für Anfragen, die per E-Mail eingehen und eine außergewöhnliche oder ungewöhnlich hohe Überweisung verlangen. Dazu gehört die Bestätigung solcher Anfragen über einen zweiten Kommunikationskanal, wie ein direkter Anruf beim angeblichen Anfrager, sowie regelmäßige Schulungen für Mitarbeiter, um sie über die Risiken und Anzeichen von CEO-Betrug und anderen ähnlichen Betrugsarten aufzuklären.
