Im Fokus: Vierfacher Betrug mit E-Mail Scam

Blog Cybersicherheit Fallstudien
Pic Source: Ioannis Karathanasis via Pixabay

Cyberkriminelle setzen auf E-Mail-Betrug. Wer aber glaubt, dass Kriminelle nur plumpe Phishing-Versuche mit schlecht geschriebenen, fehlerhaften E-Mails versenden, der irrt. Kriminelle betreiben teilweise einen hohen Aufwand bei der Planung, Gestaltung und Ausführung von E-Mail-Betrug. Die Experten des Incident Response Management Teams verzeichnen eine Zunahme dieser Angriffe. Um Ihnen zu zeigen, wie ausgeklügelt einige dieser Angriffe sind, stellen wir Ihnen folgenden Fall vor. Sie werden sehen, wie die Angreifer gefälschte E-Mails versenden, die Namen bekannter Unternehmen für ihren Betrug missbrauchen, Produkte erfinden, gefälschte Websites erstellen, echte Unternehmen kopieren und vieles mehr.

 

Was ist passiert?

Ein Unternehmen wurde per E-Mail angeblich von Unilever Netherlands, einem großen Konsumgüterkonzern kontaktiert. Es handelte sich aber in Wirklichkeit um eine Anfrage einer unbekannten dritten Partei für eine größere Anzahl eines ganz bestimmten Pumpentyps. Der E-Mail beigefügt war eine Ausschreibung. Da das Unternehmen diese Art Pumpen selbst nicht vorrätig hatte, suchten sie nach anderweitigen Lieferanten und wurden fündig. Das Unternehmen bestellte die Pumpen bei diesem Lieferanten und sendete gleichzeitig ein unverbindliches Angebot an – wie sie glaubten – Unilever Netherlands.

Der Lieferant meldete sich umgehend zurück mit der Bestätigung, die gewünschten Pumpen liefern zu können. Er verlangte allerdings die Bezahlung der Ware im vollen Umfang im Voraus. Es handelte sich um eine hohe fünfstellige Summe. Da ein erhöhtes Risiko bestand, bat das Unternehmen um eine Verringerung der Anzahlung um 50 % und holte gleichzeitig ein Votum seines Finanzpartners ein, um die Legitimität des Lieferanten zu prüfen. Das Ergebnis fiel positiv aus. Leider war diese Analyse fehlerbehaftet.

Nachdem auch das Unternehmen weitere Informationen über den Lieferanten eingeholt hatte, wurde die Anzahlung in Höhe von circa 26.000 € überwiesen. Nach Erhalt dieser Summe meldete sich der Lieferant erneut und bat ungeachtet der Vereinbarung um die komplette Summe. Dieser Forderung kam das Unternehmen nicht mehr nach, denn inzwischen wurde ihnen bewusst, dass sie auf einen Betrug hereingefallen sind.

Wie gingen die Angreifer vor?

Um die Opfer in falscher Sicherheit zu wiegen, wird für die Kontaktaufnahme ein sehr bekanntes Unternehmen – in dem hier vorliegenden Fall – ein weltweit bekannter Konsumgüterkonzern genutzt. Bei der initialen E-Mail handelte es sich um eine Anfrage für ein Produkt, eine bestimmte Pumpe. Wurde diese Pumpe im Internet gesucht, wurde man schnell fündig und auf eine sehr authentisch aussehende Unternehmensseite geleitet, die genau dieses Produkt führt. Doch sowohl das Fabrikat der Pumpe, die Produktnummer wie auch das Unternehmen, das diese Pumpen vermeintlich auf Vorrat hatte, waren frei erfunden oder gefälscht. Auch die Internetpräsenz der angeblichen Lieferanten, inkl. Unternehmensname, Domain und Logo wurden für den Zweck des Betrugs angelegt, registriert und gefälscht.

 

 

Wie hätte man den Betrug erkennen können?

 

In diesen Fällen ist wirklich absolute Vorsicht geboten. Denn die Betrüger gehen höchst professionell vor. Die Forensiker von Perseus haben zur Aufklärung des Falles die komplette Kommunikation zwischen dem Opfer und den Angreifern analysiert und konnten Hinweise des  Betrugs erkennen. Um diese Hinweise selbst erkennen zu können, bedarf es eines geschulten Auges.

 

Hier unsere Tipps:

  1. Untersuchen Sie das Absenderprofil der E-Mails genau. Der Absendername lässt sich einfach manipulieren. So sieht es auf den ersten Blick aus, als ob die E-Mail von einem seriösen Unternehmen, wie beispielsweise Unilever, stammt. Die Absenderadresse passt aber oft nicht zum Absendername. Auch kleine Anzeichen wie ein Buchstabendreher oder eine andere Domain am Ende der E-Mail können ein Indiz sein, dass ein Betrug vorliegt.
  2. Seien Sie wachsam bei generischen, nicht personenspezifischen Anreden. In dem vorliegenden Fall beispielsweise wurde der oder die Empfänger in “Blind Carbon Copy (Kurz: BCC)” gesetzt. Das Opfer wurde also nicht explizit angeschrieben, sondern die E-Mail wurde vermutlich an etliche unbekannte Empfänger gesendet.
  3. Untersuchen Sie die Empfängeradresse. Bekannte und seriöse Unternehmen verwenden meistens einfache E-Mail-Adressen. Die Kommunikation von Unilever erfolgt z.B. über @unilever.com und nicht über @unileverbrasil.com oder @unilevernetherlands.com. Ein weiteres Indiz, dass es sich um keine seriöse Anfrage handelt.
  4. Auch die IP-Adresse, die zum Versand der E-Mails genutzt wurde, kann weitere Hinweise geben, ob ein Betrug vorliegt. Zum Beispiel indem zurückverfolgt wird, zu welchem Unternehmen, Organisation die IP gehört oder auch aus welchem Land der Versand der E-Mails erfolgt.
  5. Analysieren Sie die Internetpräsenz genau. In dem vorliegenden Fall wurde von den Betrügern eine Homepage erstellt, auf der die gewünschten Pumpen angeboten wurden. Dabei verwendeten die Kriminellen einen Namen eines real existierenden Unternehmens und passten ihn leicht an. Der Firmenname endete  in -tech. Die Angreifer nutzen die Endung -tec. Das Logo sah dem der echten Firma zum Verwechseln ähnlich, nur wurde auch hier die Endung von -tech auf -tec angepasst.
  6. Setzen Sie sich mit einem Unternehmen, mit dem Sie keine Geschäftsbeziehung haben, persönlich in Kontakt und verifizieren Sie stets die Legitimität. Dies gilt besonders bei finanziellen Transaktionen.

 

Das raten wir Unternehmen, die Opfer eines Betrugs wurden!

  • Melden Sie den Vorfall bei der zuständigen Zentralen Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland. So können ggf. ausländische Ermittlungsbehörden unterstützen und der Weg des Geldes kann verfolgt werden.
    Strafanzeige bei der Polizei.
  • Schulen Sie Ihre Mitarbeitenden und sensibilisieren Sie sie für digitale Bedrohungen aus dem Internet.
    Tipp: Perseus bietet Ihnen ein nachhaltiges Präventions-Paket mit Online-Trainings, Phishing-Simulationen, Gefahrenwarnungen udn weitere nützliche Tipps und Tools für den Alltag.
  • Prüfen Sie, ob durch den Betrug andere Parteien in Mitleidenschaft gezogen wurden oder ob das Potential besteht, dass weitere Parteien von dem Betrug betroffen sein könnten. Wenn dies der Fall ist, setzen Sie sich mit den Organisationen in Kontakt.
  • Evaluieren Sie den Vorfall detailliert und hinterfragen Sie bestehende Prozesse und Strukturen. Sollten Sie Lücken feststellen, schließen Sie diese und optimieren Sie so Ihre Geschäftsabläufe.
    Tipp: Setzen Sie bei der Umsetzung auf externe Unterstützung durch Experten. Perseus kann Sie hier beraten.

 

 

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (0)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (0)

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • ?
    • Cookie-Namen:
    • Ablaufdatum:
    • Unternehmen:

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • Brevo
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (4)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (4)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.
  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet0.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited