Im Fokus: Autohäuser leichtes Opfer von E-Mail-Betrug

Blog Cybersicherheit Fallstudien
Pic Source: bigtunaonline via istockphoto

Unternehmen verschiedener Branchen verlassen sich heutzutage bei ihren Geschäftstätigkeiten stark auf E-Mail-Kommunikation und Online-Transaktionen. So effizient diese Art der Geschäftsabwicklung ist, öffnet sie jedoch auch die Tür für Bedrohungen der Cybersicherheit, wie E-Mail- und Überweisungsbetrug. 

Aus aktuellem Anlass

Das Perseus Incident Response Management Team beobachtet eine Häufung von E-Mail-Betrugsfällen in der Automobilindustrie. Betroffen waren Mitarbeitende von Autohändlern. Im Glauben, mit seriösen Unternehmen in Kontakt zu stehen, die den Händlern in Aussicht stellten, Fahrzeuge günstig zum Weiterverkauf zu erwerben, traten die Betroffenen anstelle von legitimen Verkäufern mit bösartigen Akteuren in Korrespondenz und fielen Täuschungsversuchen mit großem finanziellen Verlusten zum Opfer.

Dieser Artikel analysiert die raffinierte Natur dieser Betrugsmaschen und zieht Schlussfolgerungen zur Sicherung von Unternehmen, die branchenübergreifend relevant sind und alle Unternehmen gleichermaßen betreffen.

 

Was ist passiert?

Alles begann scheinbar harmlos: Mitarbeitende von Autohändlern, erhielten routinemäßige E-Mails von einem bekannten Autovermietungskonzern, das den Autohändlern Fahrzeuge günstig – in einigen Fällen sogar mit großzügigen Rabatten – zum Verkauf anbot. Dies ist eine gängige Praxis in der Automobilindustrie. Die Angestellten vertrauten auf die Rechtmäßigkeit der E-Mails, korrespondierten mit den Absendern und erhielten schließlich definitive Kaufangebote für die Fahrzeuge.

Auch im weiteren Verlauf der Korrespondenz verlief alles nach den üblichen Geschäftsabläufen. Die Mitarbeiter erhielten authentisch wirkende E-Mails und Dokumente, einschließlich Rechnungen im Design der Autovermietung. Alle Informationen der E-Mails stimmten mit den Originaldaten der Autovermietung überein, abgesehen von einer leicht abgewandelten Domain.

Im Glauben an die Echtheit der Kommunikation führten die Mitarbeiter die Transaktionen durch und zahlten wie angewiesen hohe Beträge für die Fahrzeuge. Mit der Zeit jedoch keimten bei den Mitarbeitern Zweifel auf. Trotz erfolgter Zahlungen erhielten sie keine Zulassungsbescheinigungen für die Fahrzeuge, die üblicherweise unmittelbar nach dem Kauf ausgehändigt werden. Besorgt nahmen sie Kontakt mit dem vermeintlichen Verkäufer, der Autovermietung, auf, nur um festzustellen, dass dort keinerlei Aufzeichnungen über die Transaktion existierten. Die Autohäuser  waren auf einen Betrug hereingefallen.

Wie gingen die Angreifer vor?

Bei näherer Betrachtung stellte sich heraus, dass die Kommunikation von einem Angreifer stammte, der eine trügerische Domäne und E-Mail-Adresse eingerichtet hatte, die der des legitimen Unternehmens nachgeahmt war. Was zunächst wie eine rechtmäßige Geschäftstransaktion aussah, entpuppte sich als ausgeklügelter Fall von E-Mail- und Überweisungsbetrug. Es wurde vorgetäuscht, Fahrzeuge aus dem Bestand der Autovermietung zu einem deutlich günstigeren Preis zu verkaufen. Besonders tückisch: Die von den Kriminellen in Aussicht gestellten Fahrzeuge waren tatsächlich von der Autovermietung online zum Verkauf gelistet.

Kommuniziert haben die Zielpersonen in diesem Fall aber nur mit Dritten über eine fremde Domain, die für den Betrug angelegt wurde. Die Angreifer gestalteten E-Mails und Dokumente sorgfältig und ahmten den Stil und das Branding der Autovermietung nach, so dass es für die Mitarbeitenden nahezu unmöglich war, den betrügerischen Charakter der Kommunikation zu erkennen.

Die Bedrohungsakteure fälschten auch überzeugende Rechnungen mit Angabe von Bankdaten für die Zahlung. Lediglich über die Bankverbindung hätte auffallen können, dass es sich bei dem Kontoinhaber um einen Dritten handelt. Wobei auch hier die Betrüger einen anderen Namen hätten angeben können, da Banken seit Jahren nur noch die IBAN prüfen.

Die Angreifer machten sich die gängige Geschäftspraxis des Fahrzeugkaufs per E-Mail zunutze und missbrauchten die Vertrautheit des Prozesses, um ihren Betrugsversuch erfolgreich durchzuführen.

Was ergab die Analyse?

Die forensischen Ermittlungen des Incident Response Teams von Perseus ergaben, dass es sich bei dem Vorfall um eine Art von E-Mail- und Überweisungsbetrug handelte, die derzeit auf verschiedene Autohäuser abzielt. Die betreffenden E-Mails waren teilweise nicht gezielt an die Unternehmen gerichtet, sondern an mehrere Empfänger gleichzeitig. Dies ist bekannt als „undisclosed recipients“. Diese Methode wird genutzt, um die tatsächlichen Empfänger der E-Mail zu verschleiern.

Nach einer gründlichen Prüfung des erhaltenen Rechnungsdokuments ergab die forensische Analyse keine weiteren Erkenntnisse über die Identität des Täters. Die Rechnung wurde mit „Microsoft Word für M365“. Dies erscheint untypisch für diesen Prozess.

Weitere Nachforschungen ergaben, dass auch die vom Angreifer registrierte Internet-Domain zum Zeitpunkt der Prüfung gelöscht worden war – vermutlich auf Veranlassung des Konzerns oder des Domain-Providers. Das Perseus Expertenteam konnte aufgrund der DSGO-Vorschriften keine Einsicht in die Daten des Registranten nehmen.

 

Welche Maßnahmen werden empfohlen?


Der Vorfall verdeutlicht die Anfälligkeit von Unternehmen für E-Mail- und Überweisungsbetrug und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und genauerer Prüfung von E-Mails-Kommunikation. Das Perseus Expertenteam empfahl den betroffenenAutohäusern Strafanzeige zu erstatten, um weitere rechtliche Schritte gegen den Täter einleiten zu können. Eine geeignete Anlaufstelle ist die ”Zentrale Ansprechstelle für Computerkriminalität”. Es handelt sich um eine spezialisierte Behörde, die Erfahrung im Umgang mit Fällen von Internetkriminalität hat.

Darüber hinaus wurde dem Kunden geraten, seine Mitarbeiter zielgerichtet für Cyberbedrohungen zu sensibilisieren, insbesondere wie sie die mit E-Mail- und Finanzbetrug verbundenen Risiken erkennen und mindern können.

Dringend ans Herz gelegt wurde dem Versicherungsnehmer außerdem eine Überarbeitung des Kaufprozesses und der Geschäftsabwicklung. Es sollten weitere Überprüfungsschritte, z. B. eine telefonische Bestätigung direkt beim Mutterunternehmen des Verkäufers, eingerichtet werden, um die Legitimität von Transaktionen zu bestätigen und ähnliche Vorfälle in Zukunft zu verhindern. Hierbei sollte insbesondere die IBAN gegengeprüft werden, um so leicht einen Betrug zu enttarnen.

Durch aktive Maßnahmen wie die Meldung des Vorfalls, die Investition in Mitarbeiterschulungen und die Optimierung von Kaufprozessen können Unternehmen ihren Schutz vor E-Mail- und Überweisungsbetrug verstärken.

Das vorliegende Szenario ist keineswegs auf die Automobilindustrie beschränkt. Ähnliche Taktiken könnten in verschiedenen Branchen mit ähnlichen Kaufprozessen angewandt werden. Branchen wie die Immobilienbranche, das verarbeitende Gewerbe und der Großhandel wickeln Transaktionen häufig per E-Mail oder Banküberweisung ab. Die in diesem Fall angewandten betrügerischen Techniken dienen als warnendes Beispiel für Unternehmen in allen Branchen, die für betrügerische Aktivitäten anfällig sind.

 

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet0.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • ?
    • Cookie-Namen:
    • Ablaufdatum:
    • Unternehmen:

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • Brevo
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited