Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Zahlungsbetrug: Der Mensch im Visier der Hacker

27. Januar 2022

Unaufmerksame Mitarbeiter und gewiefte Kriminelle sind eine schlechte Kombination. Wo sie aufeinandertreffen, ist Ungemach vorprogrammiert. Der Mensch selbst ist ein entscheidender Faktor. Oder negativ formuliert: Der Mensch ist eine der am schwersten zu behandelnden Schwachstellen von Unternehmen, Institutionen und Behörden.

Neben Ransomware-Angriffen sind daher Betrügereien im Zahlungsverkehr äußerst beliebt. Dabei gibt es alarmierende Neuerungen im Vorgehen der Cyberkriminellen, aber auch unangenehme Anstiege von Schäden durch „alte Bekannte“ wie Payment Diversion und Fake President Fraud.

Payment Diversion

Die Schadensstatistik von Euler Hermes verzeichnet für das Jahr 2021 einen Zuwachs von stolzen 35 Prozent im Bereich Payment Diversion. In einem Paper des Versicherers zum Thema Cyberkriminalität vom November 2021 spiegelt sich deutlich wider, wie angespannt die Bedrohungslage ist.

Payment Diversion bezeichnet die Umleitung von Zahlungsströmen. Dabei geben sich die Cyberkriminellen als Geschäftspartner oder Lieferanten aus. Sie spähen ihre Opfer aus und klinken sich in die legitime Kommunikation ein.

Ein Beispiel: Ein Unternehmen bestellt Waren im Wert von 500.000 Euro. Es ist beim Lieferanten bekannt, Zahlungen erfolgen nach Lieferung auf Rechnung. Die Lieferung kommt, und auch die Rechnung per Mail. Doch kurz darauf kommt eine zweite E-Mail, die eine neue Kontoverbindung zum Begleichen der Rechnung angibt. Oft wird die erste Rechnung mit einem Fehler im System begründet. Die neue Kontoverbindung sei die richtige, keine Frage. Doch wird das Geld dann überwiesen, geht es direkt an die Cybergauner.

So ist Payment Diversion eine recht einfache Attacke, denn Wege an die notwendigen Informationen zu kommen, gibt es viele. Zu erkennen ist sie nur, wenn sie auf geschulte und aufmerksame Angestellte trifft. Doch diesen wird das Leben schwer gemacht. Beispielsweise kann die einzige Abweichung, abgesehen von der neuen Kontoverbindung, sein, dass in der E-Mail-Adresse des Absenders statt einem kleinen „L“ ein großes „i“ steht, d. h. „l“ und „I“ – wer sieht den Unterschied?

Doch um hier nicht nur das Problem zu beschreiben, auch ein Lösungsansatz: Bei Änderung der Kontoverbindung sollte der Rechnungssteller angerufen werden, und zwar unter einer bekannten Telefonnummer, die keinesfalls der vermeintlich legitimen Änderungsaufforderung entnommen wurde. Weil im Falle eines Zugriffs auf die interne Kommunikation auch nicht ausgeschlossen werden kann, dass hinterlegte Kontaktinformationen im Vorfeld manipuliert worden sind, empfiehlt es sich, Rufnummern den Webseiten des vermeintlichen Rechnungsstellers zu entnehmen.  

Fake President

Leoni kostete ein erfolgreicher Fake-President-Angriff im Jahr 2016 stolze 40 Millionen, die FACC AG verlor im gleichen Jahr sogar knapp 53 Millionen Euro, jedoch sind „kleinere Verluste“ bis zu einer Million Euro deutlich häufiger, wie das Paper von Euler Hermes zeigt.

In der Regel melden sich bei Fake-President-Attacken vorgebliche Geschäftsführer oder Vorstände bei einem Mitarbeiter der Finanzabteilung. Der wird – unter den Vorzeichen höchster Eile und Vertraulichkeit – angewiesen, eine große Summe Geld zu überweisen. Beispielsweise für eine Firmenübernahme.

Was steckt dahinter?

Der erste Schritt ist eine Recherche. Die Cybergangster sammeln alle Informationen, die sie über ihr Zielunternehmen und insbesondere die Führungsebene sowie Mitarbeiter, die den Zahlungsverkehr abwickeln, in Erfahrung bringen können. Die Recherche erfolgt über die Unternehmenswebseite, soziale Medien, Zeitungsartikel und Co. Auch Abwesenheitsnotizen können hilfreiche Informationen enthalten, wie Urlaubszeiten, Vertreter und Kontaktdaten. Meist werden die Opfer über unterschiedliche Kanäle vorab ausspioniert. Oft, aber nicht immer, erfolgt im Vorfeld eine Infektion mit Spähsoftware. Dreiste Kriminelle rufen vorab auch schon mal an, geben sich als neuer Kollege eines anderen Standorts aus oder erschleichen sich über einen längeren Kontaktaufbau Vertrauen. Stimmt die Datenbasis, wird der passende Zeitpunkt für den Angriff abgepasst.

Der Chef ist im Urlaub und schlecht erreichbar? Perfekt. Wird hier ein alternativer Kommunikationskanal zur Klärung wichtiger Angelegenheiten angeboten, fallen Änderungen oft nicht sofort auf.

Zusätzlich wird dem Opfer geschmeichelt. Auch Zeitdruck und strengste Geheimhaltung sind zwei Faktoren, die im Rahmen einer Fake-President-Attacke gerne zum Einsatz kommen. Hinzu kann sogar eine vermeintliche Legimitation des Vorhabens durch eine dritte Partei, z. B. einen Anwalt, kommen. Häufig wird das Opfer zur Unterzeichnung einer Verschwiegenheitsvereinbarung aufgefordert, wodurch die vertrauliche Behandlung des Vorgangs sichergestellt werden soll – gängige Praxis. Nur dass der Mitarbeiter sich nun im Dilemma befindet. Jetzt aufkommende Zweifel an der Legitimität des Vorgangs könnte er nur durch einen Verstoß gegen die unterschriebene Selbstverpflichtung ausräumen. Allein der Verdacht, es könne sich um einen Betrugsversuch handeln, hilft dem Opfer in der konkreten Situation wenig.

Das Unheil nimmt also seinen Lauf. Nach kurzer Zeit wird eine hohe Summe angefordert. Überwiesenes Geld ist unwiederbringlich verloren. Der Kontakt zum vermeintlichen Vorgesetzten und Anwalt bricht abrupt ab. Was geschehen ist, wird oft erst viel später klar.

Neue Tricks, alte Maschen

Inzwischen sind Fake-President-Fälle bekannt, in denen eine Software zur Imitation der Stimme zum Einsatz kam. Die jeweils kontaktierten Mitarbeiter der Opferunternehmen erkannten ihr Gegenüber am Telefon einwandfrei an der Stimme und zweifelten daher nicht an der Echtheit der Anweisung. Umso wichtiger ist es, dass bei der Kontaktaufnahme zur Klärung der Legitimität wichtiger Vorgänge nicht auf Kontaktinformationen aus Mails und internen Systemen zurückgegriffen wird.

Ein weiteres Problem ist die aktuelle Homeoffice-Situation, in der sogar das Vier-Augen-Prinzip zur Freigabe einer Zahlung ausgehebelt wurde. Durch ein hohes Arbeitsaufkommen und ein gewisses Maß an Betriebsblindheit, ließ sich eine Mitarbeiterin hier verleiten, einer Zahlungsanweisung des vermeintlichen CEOs ihrer Holding nachzukommen. Die notwendige Zweiunterschrift für die Freigabe erbat sie sich von einer Sachbearbeiterin über Microsoft Teams.

Sicherheit für Unternehmen

Um sich gegen derartige Betrugsmethoden und Zahlungsverkehrsmanipulationen abzusichern, sollten Unternehmen auf eine Kombination aus Versicherung und professioneller Sensibilisierung und Schulung der Angestellten setzen. Die Versicherung ist notwendig, da die Methoden der Kriminellen immer ausgefeilter werden und manche Betrugsversuche kaum noch zu erkennen sind, selbst für sehr umsichtige Mitarbeiter. Die passende Um- und Vorsicht erreichen Unternehmen durch eine gezielte Bewusstseinsbildung. Die Mitarbeiter müssen wissen:

  1. Welche Angriffsarten gibt es? Beispiel: Fake President
  2. Was sind typische Anzeichen? Woran erkenne ich diese? Beispiel: Zeitdruck, Geheimhaltung, ungewöhnliche/neue Kommunikationskanäle
  3. Wie kann ich mich rückversichern, wenn mir etwas suspekt ist? Beispiel: auf Vier-Augen-Prinzip bestehen, Vorgesetzte über bekannte Kanäle kontaktieren
  4. Welche Gegenmaßnahmen sind einzuleiten? Beispiel: Informationssicherheitsbeauftragten umgehend informieren

Bild (c) Sammy-Sander / Pixabay

Zurück zur Blog-übersicht