Unternehmen verschiedener Branchen verlassen sich heutzutage bei ihren Geschäftstätigkeiten stark auf E-Mail-Kommunikation und Online-Transaktionen. So effizient diese Art der Geschäftsabwicklung ist, öffnet sie jedoch auch die Tür für Bedrohungen der Cybersicherheit, wie E-Mail- und Überweisungsbetrug.
Aus aktuellem Anlass
Das Perseus Incident Response Management Team beobachtet eine Häufung von E-Mail-Betrugsfällen in der Automobilindustrie. Betroffen waren Mitarbeitende von Autohändlern. Im Glauben, mit seriösen Unternehmen in Kontakt zu stehen, die den Händlern in Aussicht stellten, Fahrzeuge günstig zum Weiterverkauf zu erwerben, traten die Betroffenen anstelle von legitimen Verkäufern mit bösartigen Akteuren in Korrespondenz und fielen Täuschungsversuchen mit großem finanziellen Verlusten zum Opfer.
Dieser Artikel analysiert die raffinierte Natur dieser Betrugsmaschen und zieht Schlussfolgerungen zur Sicherung von Unternehmen, die branchenübergreifend relevant sind und alle Unternehmen gleichermaßen betreffen.
Was ist passiert?
Alles begann scheinbar harmlos: Mitarbeitende von Autohändlern, erhielten routinemäßige E-Mails von einem bekannten Autovermietungskonzern, das den Autohändlern Fahrzeuge günstig – in einigen Fällen sogar mit großzügigen Rabatten – zum Verkauf anbot. Dies ist eine gängige Praxis in der Automobilindustrie. Die Angestellten vertrauten auf die Rechtmäßigkeit der E-Mails, korrespondierten mit den Absendern und erhielten schließlich definitive Kaufangebote für die Fahrzeuge.
Auch im weiteren Verlauf der Korrespondenz verlief alles nach den üblichen Geschäftsabläufen. Die Mitarbeiter erhielten authentisch wirkende E-Mails und Dokumente, einschließlich Rechnungen im Design der Autovermietung. Alle Informationen der E-Mails stimmten mit den Originaldaten der Autovermietung überein, abgesehen von einer leicht abgewandelten Domain.
Im Glauben an die Echtheit der Kommunikation führten die Mitarbeiter die Transaktionen durch und zahlten wie angewiesen hohe Beträge für die Fahrzeuge. Mit der Zeit jedoch keimten bei den Mitarbeitern Zweifel auf. Trotz erfolgter Zahlungen erhielten sie keine Zulassungsbescheinigungen für die Fahrzeuge, die üblicherweise unmittelbar nach dem Kauf ausgehändigt werden. Besorgt nahmen sie Kontakt mit dem vermeintlichen Verkäufer, der Autovermietung, auf, nur um festzustellen, dass dort keinerlei Aufzeichnungen über die Transaktion existierten. Die Autohäuser waren auf einen Betrug hereingefallen.
Wie gingen die Angreifer vor?
Bei näherer Betrachtung stellte sich heraus, dass die Kommunikation von einem Angreifer stammte, der eine trügerische Domäne und E-Mail-Adresse eingerichtet hatte, die der des legitimen Unternehmens nachgeahmt war. Was zunächst wie eine rechtmäßige Geschäftstransaktion aussah, entpuppte sich als ausgeklügelter Fall von E-Mail- und Überweisungsbetrug. Es wurde vorgetäuscht, Fahrzeuge aus dem Bestand der Autovermietung zu einem deutlich günstigeren Preis zu verkaufen. Besonders tückisch: Die von den Kriminellen in Aussicht gestellten Fahrzeuge waren tatsächlich von der Autovermietung online zum Verkauf gelistet.
Kommuniziert haben die Zielpersonen in diesem Fall aber nur mit Dritten über eine fremde Domain, die für den Betrug angelegt wurde. Die Angreifer gestalteten E-Mails und Dokumente sorgfältig und ahmten den Stil und das Branding der Autovermietung nach, so dass es für die Mitarbeitenden nahezu unmöglich war, den betrügerischen Charakter der Kommunikation zu erkennen.
Die Bedrohungsakteure fälschten auch überzeugende Rechnungen mit Angabe von Bankdaten für die Zahlung. Lediglich über die Bankverbindung hätte auffallen können, dass es sich bei dem Kontoinhaber um einen Dritten handelt. Wobei auch hier die Betrüger einen anderen Namen hätten angeben können, da Banken seit Jahren nur noch die IBAN prüfen.
Die Angreifer machten sich die gängige Geschäftspraxis des Fahrzeugkaufs per E-Mail zunutze und missbrauchten die Vertrautheit des Prozesses, um ihren Betrugsversuch erfolgreich durchzuführen.
Was ergab die Analyse?
Die forensischen Ermittlungen des Incident Response Teams von Perseus ergaben, dass es sich bei dem Vorfall um eine Art von E-Mail- und Überweisungsbetrug handelte, die derzeit auf verschiedene Autohäuser abzielt. Die betreffenden E-Mails waren teilweise nicht gezielt an die Unternehmen gerichtet, sondern an mehrere Empfänger gleichzeitig. Dies ist bekannt als „undisclosed recipients“. Diese Methode wird genutzt, um die tatsächlichen Empfänger der E-Mail zu verschleiern.
Nach einer gründlichen Prüfung des erhaltenen Rechnungsdokuments ergab die forensische Analyse keine weiteren Erkenntnisse über die Identität des Täters. Die Rechnung wurde mit „Microsoft Word für M365“. Dies erscheint untypisch für diesen Prozess.
Weitere Nachforschungen ergaben, dass auch die vom Angreifer registrierte Internet-Domain zum Zeitpunkt der Prüfung gelöscht worden war – vermutlich auf Veranlassung des Konzerns oder des Domain-Providers. Das Perseus Expertenteam konnte aufgrund der DSGO-Vorschriften keine Einsicht in die Daten des Registranten nehmen.
Welche Maßnahmen werden empfohlen?
Der Vorfall verdeutlicht die Anfälligkeit von Unternehmen für E-Mail- und Überweisungsbetrug und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und genauerer Prüfung von E-Mails-Kommunikation. Das Perseus Expertenteam empfahl den betroffenenAutohäusern Strafanzeige zu erstatten, um weitere rechtliche Schritte gegen den Täter einleiten zu können. Eine geeignete Anlaufstelle ist die ”Zentrale Ansprechstelle für Computerkriminalität”. Es handelt sich um eine spezialisierte Behörde, die Erfahrung im Umgang mit Fällen von Internetkriminalität hat.
Darüber hinaus wurde dem Kunden geraten, seine Mitarbeiter zielgerichtet für Cyberbedrohungen zu sensibilisieren, insbesondere wie sie die mit E-Mail- und Finanzbetrug verbundenen Risiken erkennen und mindern können.
Dringend ans Herz gelegt wurde dem Versicherungsnehmer außerdem eine Überarbeitung des Kaufprozesses und der Geschäftsabwicklung. Es sollten weitere Überprüfungsschritte, z. B. eine telefonische Bestätigung direkt beim Mutterunternehmen des Verkäufers, eingerichtet werden, um die Legitimität von Transaktionen zu bestätigen und ähnliche Vorfälle in Zukunft zu verhindern. Hierbei sollte insbesondere die IBAN gegengeprüft werden, um so leicht einen Betrug zu enttarnen.
Durch aktive Maßnahmen wie die Meldung des Vorfalls, die Investition in Mitarbeiterschulungen und die Optimierung von Kaufprozessen können Unternehmen ihren Schutz vor E-Mail- und Überweisungsbetrug verstärken.
Das vorliegende Szenario ist keineswegs auf die Automobilindustrie beschränkt. Ähnliche Taktiken könnten in verschiedenen Branchen mit ähnlichen Kaufprozessen angewandt werden. Branchen wie die Immobilienbranche, das verarbeitende Gewerbe und der Großhandel wickeln Transaktionen häufig per E-Mail oder Banküberweisung ab. Die in diesem Fall angewandten betrügerischen Techniken dienen als warnendes Beispiel für Unternehmen in allen Branchen, die für betrügerische Aktivitäten anfällig sind.