Digitaler Enkeltrick ergaunert Millionen
Abzocke mit Unternehmen
Der so genannte Enkeltrick geht in die nächste Runde. Die Opfer sind längst nicht mehr nur Senioren, die um ihr Erspartes gebracht werden. Die Täter rufen auch nicht mehr an. Jetzt kommen sie aus dem World Wide Web. Cyberkriminelle haben eine neue, lukrative „Zielgruppe“ entdeckt: Unternehmen. Die Betrüger geben sich als Führungsperson oder gar als Geschäftsführer aus und ergaunern Geld – zu überweisen auf falsche Bankkonten.
Per E-Mail und mit Hilfe gefälschter Dokumente und Identitäten fordern Trickbetrüger Mitarbeiter auf, Geld auf Konten im Ausland zu überweisen. Ein Trick, der offenbar gut funktioniert: Die Verluste, die CEOs weltweit seit Januar 2015 durch die neue Betrugsmasche einstecken mussten, schätzt das IC3, eine amerikanische Arbeitsgruppe, die sich im Auftrag des FBI mit Cyberkriminalität beschäftigt und Beschwerden über Internetkriminialität erfasst, auf stolze 3.1 Milliarden US-Dollar. 22.143 Unternehmen aus 100 Ländern seien betroffen. Die Beute floss in der Mehrzahl der Fälle auf Bankkonten in China und Hong Kong. Wie geschickt die Täter arbeiten, wie schnell Mitarbeiter zu Opfern werden und auf die Betrüger hereinfallen können und wie Sie sich schützen können, erfahren Sie in unserem heutigen Beitrag.
Spear Phishing als digitale Grundlage
Die Methode, mit gefälschten Identitäten und E-Mails Geld zu ergaunern, kommt Ihnen bekannt vor? Tatsächlich bedienen sich die Trickbetrüger bei der Chef-Masche einer Angriffsmethodik, die dem Spear-Phishing ähnelt. Mit Hilfe einer erzeugten Textnachricht erwecken sie den Anschein von Vertrauens- und Glaubwürdigkeit und fordern zu einer Handlung auf, deren dringende Ausführung mit einer glaubhaften Argumentation begründet wird.
Wie beim normalen Phishing auch, versuchen Cyberkriminelle beim Spear Phishing über E-Mails an vertrauliche Daten zu kommen. Der Unterschied liegt jedoch an der besonders heimtückischen Art der Angriffsmethode: Die E-Mails erwecken den Anschein, von einem Mitarbeiter aus dem eigenen Unternehmen, in der Regel sogar von einer besonders vertrauenswürdigen Person, zu stammen. Aus Sicht der Betrüger ist diese Strategie logisch: Wer den Absender einer Mail nicht kennt, gibt in der Regel auch keine Informationen an diesen heraus oder klickt Anhänge und Links. Wenn aber der (vermeintliche) Vorgesetzte zu einer Handlung auffordert, ist das schon etwas anderes. Der Unterschied zum Spear Phishing liegt beim Cheftrick nun lediglich darin, dass es hier nicht um Datenklau, sondern um Geld geht.
Digitaler Enkeltrick: So funktioniert er
Der angebliche Finanzchef schreibt eine dringende E-Mail an den zuständigen Buchhalter des Unternehmens: Für einen bedeutenden Geschäftsabschluss muss schnellstens Geld angewiesen werden. Die Zeit ist knapp, denn Mitbewerber schlafen nicht und könnten jederzeit Wind von dem Geschäft bekommen und ihrerseits zum Gegenschlag ansetzen. Unbedingte Geheimhaltung ist deshalb immens wichtig. Zuvor haben die Betrüger, unter falschem Namen versteht sich, ein Konto eingerichtet – irgendwo in Osteuropa oder Hongkong. Auslandskonten, gerade bei international tätigen Unternehmen, sind keine Seltenheit, warum also sollte unser Buchhalter Verdacht schöpfen? Zumal die Anweisung unmittelbar aus der Chefetage kommt. Sobald das Geld überwiesen ist, leiten die Betrüger es sofort weiter, immer wieder, bis sich die Spur in der Karibik oder sonst wo verliert. Bis unser Buchhalter den Fehler bemerkt, sind die Täter längst über alle Berge, die gefälschte E-Mail Adresse deaktiviert und die angegebene Handynummer führt ins Leere.
Ein digitaler Enkeltrick in Unternehmen könnte sich auch wie folgt abspielen: Der (vermeitliche) CEO eines deutschen Unternehmens meldet sich beim CEO oder CFO der ausländischen Tochtergesellschaft. Angeblich sei er gerade im Ausland unterwegs, momentan zwar nur Mobil oder per Mail erreichbar, und benötige für einen wichtigen Geschäftsabschluss, beispielsweise eine Akquisition, Geld. Dieses soll schnell, beispielsweise in ein osteuropäisches Land, überwiesen werden. Seine Argumente klingen logisch und diverse Tricks des Betrügers tun ihr Übriges, jegliche Zweifel an der Glaubwürdigkeit seines Anliegens im Keim zu ersticken. War der Betrüger erfolgreich, versucht er weitere Zahlungen anzufordern – nicht zwangsweise bei der gleichen Tochtergesellschaft, denn existieren mehrere Tochterfirmen, werden auch die um dringende Überweisung „gebeten“.
250 Betrugsversuche in Deutschland
Dass unsere beiden Beispiele keinesfalls Einzelfälle oder lediglich unserer Phantasie entsprungen sind, beweisen die Zahlen: Das Landeskriminalamt NRW warnte vor Kurzem ausdrücklich vor der Chef-Masche. Nach Angabe der Behörde haben die Betrugsversuche seit Ende 2015 stark zugenommen, der Schaden beläuft sich auf mehrere Millionen Euro. Immerhin gelang es den Ermittlern gemeinsam mit verschiedenen Banken, seit 2015 20 Millionen Euro zurück zu gewinnen.
Wie die „Welt“ im August unter Berufung auf Holger Kriegeskorte, Leiter des Sachgebietes Wirtschaftskriminalität beim Bundeskriminalamt, berichtet, wurden seit 2013 250 Betrugsversuche mit der Chef-Masche bekannt. Davon waren 68 erfolgreich, die ergaunerte Beute belief sich auf 110 Millionen Euro. Unrühmliche Bekanntheit erlangte in diesem Zusammenhang beispielsweise erst kürzlich der Nürnberger Kabelspezialist Leoni. Betrüger erleichterten das Unternehmen um satte 40 Millionen Euro. Beim prominentesten österreichischen Opfer, dem Luftfahrtzulieferer FACC, belief sich der Schaden durch Überweisungen an Betrüger sogar auf 50 Millionen Euro.
Zu Insiderwissen durch digitale Spuren
Nur durch Insiderwissen können die Trickbetrüger das erforderliche Vertrauen gewinnen und ihre Opfer erfolgreich täuschen. Zugegeben: Es braucht schon lange Vorbereitungszeiten, in denen die Täter ganz genau Unternehmensstrukturen und -abläufe recherchieren und der Erwerb detaillierter Kenntnisse über Personen, beispielsweise durch Beobachtung der Social Media Profile von Führungskräften und CEOs. Aber genau so gelangen die Trickbetrüger letztlich an die Informationen, um sich ihre falsche Identitäten zusammenzubasteln.
Der Name des CEOs lässt sich einfach herausbekommen – ein Blick in das Impressum genügt. Seine Unterschrift? Da hilft der Geschäftsbericht beispielsweise weiter. LinkedIn und Xing verraten eine Menge über Position, Werdegang und Titel von Entscheidern und Verantwortlichen eines Unternehmens. Und nicht zuletzt liefern private Social Media Accounts die notwendige Informationen darüber, wann es sich lohnt zuzuschlagen: Das bedenkenlos gepostete Urlaubsfoto ist doch der beste Zeitpunkt, die Abwesenheit des Chefs auszunutzen…
Der Erfinder des Enkeltricks
Als Erfinder des Enkeltricks gilt Arkadiusz Lakatosz. Am Telefon gab er sich bei seinen Opfern, hauptsächlich Senioren, als ein in Not geratener Verwandter aus, der dringend Bargeld benötige. Sobald ein Opfer einwilligte, das Geld zu besorgen, schickte er Komplizen, die die Beute bei den älteren Herrschaften abholten. Die Masche machte ihn und seine Komplizen reich: Im Laufe der vergangenen zwei Jahrzehnte wurde der Roma mit geringer Schulbildung zum Multimillionär. Lakatosz und seine Mittäter wurden 2014 verhaftet, derzeit läuft der Prozess in Polen.
Mix aus Aufklärung, organisatorischen und technischen Maßnahmen schützt
Aber kommen wir zurück zum digitalen Enkeltrick. „98 Prozent der Fälle beginnen mit einer E-Mail, in der ein Mitarbeiter angeblich von seinem Chef unter strengster Vertraulichkeit angewiesen wird, eine große Summe – meist knapp unter einer Million Euro – an ein bestimmtes Konto zu transferieren“, sagte Uwe Jacob, Direktor des Landeskriminalamtes NRW, bei einer Pressekonferenz im Juli dieses Jahres zum Thema Millionenschäden durch „Enkeltrick 4.0“.
Und genau hier liegt das Problem: Es ist Gang und Gäbe, Aufgaben bzw. Aufträge auch innerhalb des Unternehmens per E-Mail zu erteilen. Was können Sie also tun, um sich vor einer solchen Betrugsmasche zu schützen? Das Wichtigste ist natürlich Aufklärung und Sensibilisierung im Unternehmen. Jeder Mitarbeiter, insbesondere Entscheider, sollten wissen, dass es derartige Betrugsmaschen gibt. Wer aufmerksam ist und auch einmal kritisch hinterfragt, ob es denn überhaupt sein kann, dass der Chef per E-Mail fordert, eine größere Summe Geld zu überweisen – gerade wenn das Konto sich im Ausland befindet – macht alles richtig. Im Zweifelsfalle: Rufen Sie Ihren Finanzvorstand oder Chef an, und klären Sie die Kontodaten ab.
Klassisches Indiz: Rechtschreib- und Grammatikfehler
Aufmerksamkeit fängt aber auch schon direkt bei der E-Mail an. Betrügerische E-Mails lassen sich oftmals an Fehlern erkennen: Kennen Sie die E-Mail Adresse des Absenders und ist es die gleiche, die Ihr Chef oder Finanzvorstand sonst auch immer benutzt? Ein klassisches Indiz für gefälschte Mails sind zudem Rechtschreib- oder Grammatikfehler. Und selbst wenn ein Chef vielleicht nicht jeden Mitarbeiter seines Unternehmens persönlich kennen kann: Den Namen seines Buchhalters oder Chefs der Finanzabteilung kennt er garantiert – und wird ihn in seiner E-Mail auch persönlich ansprechen! Und grundsätzlich gilt: Werden Sie aufgefordert dringend zu handeln, Ihnen eine Frist gesetzt – womöglich mit persönlicher Konsequenz gedroht – werden Sie stutzig!
Auch technische Maßnahmen können verhindern, auf Betrüger-Mails hereinzufallen: Mit E-Mail Signaturen und Zertifikaten können Sie beispielsweise sicherstellen, dass eine Mail echt ist – also auch sicherstellen, dass der Absender derjenige ist, für den er sich ausgibt! Ergreifen Sie obendrein organisatorische Maßnahmen und regeln Sie ganz genau, wer welche Befugnisse hat: Wer im Unternehmen darf Überweisungen ausführen, wer darf überhaupt Transaktionen genehmigen? Regeln Sie auch ganz klar Vertretungen bei Abwesenheiten. Interne Kontrollmechanismen, wie ein Vier-Augen-Prinzip, insbesondere bei Überweisungen ab einer bestimmten Größenordnung, können ein zusätzliches Mittel der Wahl sein.
Fazit
Digitaler Enkeltrick oder auch Cheftrick kostet Unternehmen Millionen und die Masche hat zugenommen. Die Größe der Firma spielt keine Rolle: Nicht nur Mittelständler, auch große Unternehmen mit ausländischen Tochtergesellschaften sind beliebte Opfer organisierter Verbrecherbanden. Prävention, gleich ob technischer oder organisatorischer Art gepaart mit Menschenverstand, ist für Unternehmen die einzige Möglichkeit, um sich vor den Kriminellen zu schützen. Hat der Cheftrick dann doch funktioniert, hilft nur noch Schnelligkeit. Informieren Sie umgehend Ihre Hausbank, so dass die Transaktion eingefroren werden kann, und benachrichtigen Sie die Polizei.
Mit
professionellen Phishing-Mails finden Betrüger immer öfter einen Weg, um an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern zu kommen. Dabei sind diese Mails kaum noch
von echten E-Mails zu unterscheiden. In unserem Beitrag verraten wir Ihnen
10 wichtige Tipps, wie Sie dennoch Phishing-Mails erkennen können.
Der Beitrag Raffinierter Chefbetrug: Digitaler Enkeltrick erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.