Die Polizei warnt vor der neuen Betrugsmasche:
„Wir haben eine neue Bankverbindung …“ – Der aktuellste Trick raffinierter Internetbetrüger
Seit einigen Wochen ist in Deutschland eine raffinierte Betrugsmasche zu beobachten, die insbesondere für Unternehmer teuer werden kann: In einer auf den ersten Blick von einem bekannten Geschäftspartner stammenden E-Mail wird dem Empfänger mitgeteilt, dass sich die Bankverbindung geändert habe und ab sofort alle Überweisungen auf ein neues Konto erfolgen müssten – an und für sich ein in vielen Buchhaltungen nicht ungewöhnlicher Vorgang.
Dass diese E-Mail jedoch gefälscht ist und von Betrügern stammt, wird erst nach einer Zahlung auf das angeblich neue Konto deutlich.
Wie genau funktioniert der Betrug per Rechnungsstellung?
Im asiatischen Raum schon länger bekannt, schwappt der dreiste Trick krimineller Banden oder Einzeltäter nun auch auf die Bundesrepublik über. Da inzwischen eine Vielzahl von Rechnungen im geschäftlichen Bereich nicht mehr in Papierform, sondern ausschließlich elektronisch übersandt wird, versuchen versierte Betrüger, sich in die Kommunikation zwischen den beteiligten Unternehmen einzuschalten.
Hierbei wird dem Rechnungsempfänger dann in einer E-Mail mitgeteilt, dass für alle kommenden Zahlungen eine neue Bankverbindung besteht. Fällt der Empfänger darauf herein, landet das Geld auf dem Konto der Betrüger.
Wie gehen die Täter vor?
Zumeist liegt der Angriffspunkt in einer Schwachstelle der IT-Infrastruktur. Dies kann sowohl aufseiten des Verkäufers oder Dienstleisters als auch im Bereich des Empfängers der Fall sein. Haben potenzielle Täter eine Möglichkeit gefunden den E-Mail-Verkehr mitzulesen oder gar zu manipulieren, steht Betrugsversuchen kaum noch etwas im Wege.
So können nicht nur Inhalte der Nachrichten oder angehängte Dokumente verändert oder ergänzt werden, es sind auch komplett in Eigenregie verfasste E-Mails möglich. Im Fall der Bankverbindungsmasche wird eine Nachricht mit dem Hinweis auf die geänderte Kontoverbindung generiert. Viele Empfänger akzeptieren diese Information vorbehaltlos und leisten anstehende Zahlungen tatsächlich auf das neue Konto.
Doch selbst wenn Zweifel aufkommen und Rückfragen per E-Mail gestellt werden, haben die Betrüger gute Karten: Da sie in aller Regel den gesamten Mailverkehr mitverfolgen, übernehmen sie auch gleich die Antwort. Im Ergebnis wiegt sich der Rechnungsempfänger in Sicherheit und zahlt.
Hinweis der Detektei Kubon: Oft werden die benötigten Informationen um durch unbedarfte Mitarbeiter an die Kriminellen weitergeben, diese schöpfen die benötigten Information durch Telefonanrufe sogenannte Social Engineering Angriffe ab. Sensibilisieren Sie Ihre Mitarbeiter.
Wie schütze ich mich?
Wer die Bankverbindungsmasche kennt, hat gute Chancen, nicht darauf hereinzufallen. Daher ist eine gute Informationspolitik oberstes Gebot. Als Unternehmer oder IT-Verantwortlicher eines Betriebes sollten Sie daher Ihre Mitarbeiter über die aktuelle Bedrohungslage umfassend informieren. Insbesondere sollten die Beschäftigten Ihrer Buchhaltung zeitnah Bescheid wissen. Weiterhin gilt es, die eigene IT stets auf dem neuesten Stand zu halten.
Setzen Sie hier auf aktuelle Virenscanner und Firewalls und lassen Sie sich gegebenenfalls von einem Fachmann für IT-Sicherheit und IT-Grundschutz beraten. Zudem ist es überaus empfehlenswert, alle per E-Mail eingehenden Rechnungen hinsichtlich des Absenders und der Herkunftsdomain genau zu prüfen. Kommen hier Zweifel auf, sollen Sie telefonisch beim Rechnungsersteller nachhaken. Vermeiden Sie Rückfragen per Online-Kommunikation!
Hinweis der Detektei Kubon: Auch wenn im Internet oft anders beschrieben, ist die Emailadresse kein Indikator für die Echtheit einer Email, Profis ist es ein leichtes diese zu fälschen.
Wie kann ich präventiv vorbeugen?
Neben den zuvor beschriebenen allgemeinen Schutzmaßnahmen können Sie Ihre Geschäftspartner bitten, Ihnen zahlungsrelevante Informationen (wie die Änderung einer Bankverbindung) ausschließlich per Brief mitzuteilen. Für Ihr eigenes Unternehmen wäre zudem überlegenswert, Ihren Kunden eine ebensolche Verfahrensweise anzukündigen: Weisen Sie darauf hin, dass Sie Änderungen der Bankverbindung niemals per E-Mail mitteilen werden.
Da unverschlüsselte E-Mails generell ein Sicherheitsrisiko darstellen und eher als „offene Postkarten“ denn als vertrauliche Briefe gelten können Sie zudem erwägen, auf die Nutzung digitaler Signaturen umzustellen. Auf diese Weise sind beide Kommunikationspartner klar zu verifizieren; Betrüger haben hier schlechte Karten.
Hinweis der Detektei Kubon: Ist das Geld erstmal auf einem Offshore Konto, ist die Chance das Geld wiederzusehen gleich NULL, trotzdem empfehlen wir den Betrug anzuzeigen Beispielsweise bei der ZAC: Zentrale Ansprechstelle Cybercrime für Unternehmen und Behörden. Desto mehr Fälle bekannt werden, desto intensiver wird sich die Polizei mit diesem Thema befassen.
