Im Fokus: Vierfacher Betrug mit E-Mail Scam

Cyberkriminelle setzen auf E-Mail-Betrug. Wer aber glaubt, dass Kriminelle nur plumpe Phishing-Versuche mit schlecht geschriebenen, fehlerhaften E-Mails versenden, der irrt. Kriminelle betreiben teilweise einen hohen Aufwand bei der Planung, Gestaltung und Ausführung von E-Mail-Betrug. Die Experten des Incident Response Management Teams verzeichnen eine Zunahme dieser Angriffe. Um Ihnen zu zeigen, wie ausgeklügelt einige dieser Angriffe sind, stellen wir Ihnen folgenden Fall vor. Sie werden sehen, wie die Angreifer gefälschte E-Mails versenden, die Namen bekannter Unternehmen für ihren Betrug missbrauchen, Produkte erfinden, gefälschte Websites erstellen, echte Unternehmen kopieren und vieles mehr.

Was ist passiert?

Ein Unternehmen wurde per E-Mail angeblich von Unilever Netherlands, einem großen Konsumgüterkonzern kontaktiert. Es handelte sich aber in Wirklichkeit um eine Anfrage einer unbekannten dritten Partei für eine größere Anzahl eines ganz bestimmten Pumpentyps. Der E-Mail beigefügt war eine Ausschreibung. Da das Unternehmen diese Art Pumpen selbst nicht vorrätig hatte, suchten sie nach anderweitigen Lieferanten und wurden fündig. Das Unternehmen bestellte die Pumpen bei diesem Lieferanten und sendete gleichzeitig ein unverbindliches Angebot an – wie sie glaubten – Unilever Netherlands.

Der Lieferant meldete sich umgehend zurück mit der Bestätigung, die gewünschten Pumpen liefern zu können. Er verlangte allerdings die Bezahlung der Ware im vollen Umfang im Voraus. Es handelte sich um eine hohe fünfstellige Summe. Da ein erhöhtes Risiko bestand, bat das Unternehmen um eine Verringerung der Anzahlung um 50 % und holte gleichzeitig ein Votum seines Finanzpartners ein, um die Legitimität des Lieferanten zu prüfen. Das Ergebnis fiel positiv aus. Leider war diese Analyse fehlerbehaftet.

Nachdem auch das Unternehmen weitere Informationen über den Lieferanten eingeholt hatte, wurde die Anzahlung in Höhe von circa 26.000 € überwiesen. Nach Erhalt dieser Summe meldete sich der Lieferant erneut und bat ungeachtet der Vereinbarung um die komplette Summe. Dieser Forderung kam das Unternehmen nicht mehr nach, denn inzwischen wurde ihnen bewusst, dass sie auf einen Betrug hereingefallen sind.

Wie gingen die Angreifer vor?

Um die Opfer in falscher Sicherheit zu wiegen, wird für die Kontaktaufnahme ein sehr bekanntes Unternehmen – in dem hier vorliegenden Fall – ein weltweit bekannter Konsumgüterkonzern genutzt. Bei der initialen E-Mail handelte es sich um eine Anfrage für ein Produkt, eine bestimmte Pumpe. Wurde diese Pumpe im Internet gesucht, wurde man schnell fündig und auf eine sehr authentisch aussehende Unternehmensseite geleitet, die genau dieses Produkt führt. Doch sowohl das Fabrikat der Pumpe, die Produktnummer wie auch das Unternehmen, das diese Pumpen vermeintlich auf Vorrat hatte, waren frei erfunden oder gefälscht. Auch die Internetpräsenz der angeblichen Lieferanten, inkl. Unternehmensname, Domain und Logo wurden für den Zweck des Betrugs angelegt, registriert und gefälscht.

Wie hätte man den Betrug erkennen können?

In diesen Fällen ist wirklich absolute Vorsicht geboten. Denn die Betrüger gehen höchst professionell vor. Die Forensiker von Perseus haben zur Aufklärung des Falles die komplette Kommunikation zwischen dem Opfer und den Angreifern analysiert und konnten Hinweise des Betrugs erkennen. Um diese Hinweise selbst erkennen zu können, bedarf es eines geschulten Auges.

Hier unsere Tipps:

Untersuchen Sie das Absenderprofil der E-Mails genau. Der Absendername lässt sich einfach manipulieren. So sieht es auf den ersten Blick aus, als ob die E-Mail von einem seriösen Unternehmen, wie beispielsweise Unilever, stammt. Die Absenderadresse passt aber oft nicht zum Absendername. Auch kleine Anzeichen wie ein Buchstabendreher oder eine andere Domain am Ende der E-Mail können ein Indiz sein, dass ein Betrug vorliegt.
Seien Sie wachsam bei generischen, nicht personenspezifischen Anreden. In dem vorliegenden Fall beispielsweise wurde der oder die Empfänger in “Blind Carbon Copy (Kurz: BCC)” gesetzt. Das Opfer wurde also nicht explizit angeschrieben, sondern die E-Mail wurde vermutlich an etliche unbekannte Empfänger gesendet.
Untersuchen Sie die Empfängeradresse. Bekannte und seriöse Unternehmen verwenden meistens einfache E-Mail-Adressen. Die Kommunikation von Unilever erfolgt z.B. über @unilever.com und nicht über @unileverbrasil.com oder @unilevernetherlands.com. Ein weiteres Indiz, dass es sich um keine seriöse Anfrage handelt.
Auch die IP-Adresse, die zum Versand der E-Mails genutzt wurde, kann weitere Hinweise geben, ob ein Betrug vorliegt. Zum Beispiel indem zurückverfolgt wird, zu welchem Unternehmen, Organisation die IP gehört oder auch aus welchem Land der Versand der E-Mails erfolgt.
Analysieren Sie die Internetpräsenz genau. In dem vorliegenden Fall wurde von den Betrügern eine Homepage erstellt, auf der die gewünschten Pumpen angeboten wurden. Dabei verwendeten die Kriminellen einen Namen eines real existierenden Unternehmens und passten ihn leicht an. Der Firmenname endete in -tech. Die Angreifer nutzen die Endung -tec. Das Logo sah dem der echten Firma zum Verwechseln ähnlich, nur wurde auch hier die Endung von -tech auf -tec angepasst.
Setzen Sie sich mit einem Unternehmen, mit dem Sie keine Geschäftsbeziehung haben, persönlich in Kontakt und verifizieren Sie stets die Legitimität. Dies gilt besonders bei finanziellen Transaktionen.

Das raten wir Unternehmen, die Opfer eines Betrugs wurden!

Melden Sie den Vorfall bei der zuständigen Zentralen Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland. So können ggf. ausländische Ermittlungsbehörden unterstützen und der Weg des Geldes kann verfolgt werden.
Strafanzeige bei der Polizei.
Schulen Sie Ihre Mitarbeitenden und sensibilisieren Sie sie für digitale Bedrohungen aus dem Internet.
Tipp: Perseus bietet Ihnen ein nachhaltiges Präventions-Paket mit Online-Trainings, Phishing-Simulationen, Gefahrenwarnungen udn weitere nützliche Tipps und Tools für den Alltag.
Prüfen Sie, ob durch den Betrug andere Parteien in Mitleidenschaft gezogen wurden oder ob das Potential besteht, dass weitere Parteien von dem Betrug betroffen sein könnten. Wenn dies der Fall ist, setzen Sie sich mit den Organisationen in Kontakt.
Evaluieren Sie den Vorfall detailliert und hinterfragen Sie bestehende Prozesse und Strukturen. Sollten Sie Lücken feststellen, schließen Sie diese und optimieren Sie so Ihre Geschäftsabläufe.
Tipp: Setzen Sie bei der Umsetzung auf externe Unterstützung durch Experten. Perseus kann Sie hier beraten.

Laden Sie sich die Fallstudie herunter und erfahren Sie:

Wie sind die Angreifer konkret vorgegangen?
Was waren die Konsequenzen für die beteiligten Parteien?
Welche Tipps geben unsere Experten Unternehmen, die von Angriffen dieser Art betroffen sind?
Welche Maßnahmen sollten ergriffen werden, um diese Attacken zu verhindern?