CEO Fraud

Auch Geschäftsführer sind Menschen und Mail können gefälscht sein. Das kann teuer werden.

BKA: Flyer zu CEO Freaud
https://www.bka.de/SharedDocs/Downloads/DE/IhreSicherheit/CEOFraud.html

Update: Mittlerweile scheint auch ein Telefonanruf mit verstellter Stimme zu fuktionieren
https://hotforsecurity.bitdefender.com/blog/ceo-voice-deepfake-blamed-for-scam-that-stole-243000-21491.html
https://www.heise.de/security/meldung/l-f-Abgezockt-vom-elektronischen-Chef-4512087.html

Der einfache Betrug - Enkeltrick und Vermieter

Sicher können Sie die Geschichten über Gauner, die sich bevorzugt ältere senile Personen unserer Bevölkerung aussuchen, anrufen und sich als Enkel ausgeben, die gerade etwas klamm sind. Über eine geschickte Gesprächsführung wird die Zielperson dazu gebracht, einen Geldbetrag vorzuhalten, der dann von einem Boten abgeholt wird. Natürlich ist alles gelogen und es ist ein Betrug. Mit etwas Glück verliert das Opfer aber nur einen niedrigen Betrag denn eine Barabhebung einer größeren Summe bei der Hausbank wird von aufmerksamen Schalterpersonal hoffentlich bemerkt.

Schwer ist z.B. ein Betrug, bei dem der Täter z.B. eine Ferienwohnung mietet, per Überweisung bezahlt und kurz drauf storniert und um die Rücküberweisung abzüglich einer Stornogebühr bittet. Ein Betrug wird daraus, wenn die erste Überweisung an den Vermieter von einem gekaperten Konto erfolgt und die Rücküberweisung auf ein andere Konto eines "Finanzagenten" erfolgt. Sobald das auffällt lässt die Bank des ersten Opfers die Überweisung rückabwickeln und der Vermieter steht plötzlich unter dem Verdacht der Geldwäsche.

Der kommerzielle Betrug

Immer häufiger gibt es nun aber eine Masche, die eine ganz andere Dimension annehmen kann und für deren Ausführung es sich durchaus rechnet, etwas Aufwand in die Ausspähung des Opfers zu stecken. Die Masche wird auch als "Geschäftsführer-Trick" bezeichnet und scheint zuerst Firmen mit chinesischen Kontakten zu betreffen. Aber das wird sicher nicht so bleiben.

Der Vorgang ist relativ schnell erklärt und wenn Sie dies lesen, werden Sie verwundert den Kopf schütteln aber es geht um hohe Summen. Da kann sich ein Täter schon gut vorbereiten um eine schlüssige Argumentation abzuliefern und die internen Strukturen zu erforschen. Dank XING, LinkedIn, Facebook etc. ist es heute viel einfacher die Ansprechpartner zu ermitteln:

  1. Die erste Mail
    Der Täter bereitet den zweiten Schritt durch eine sehr gut auf das Ziel abgestimmte Mail vor. In der Regel wird die Absenderadresse des Geschäftsführers genutzt, so dass das Ziel glaubt es käme vom Geschäftsführer. Das ist bei Mails immer noch sehr einfach möglich, wie ich auf Fälschung beschreibe. Manchmal hat es auch den Anschein es wäre eine "private Adresse" desGeschäftsführers um noch mehr "Verschwiegenheit" vorzugeben. Der Inhalt soll den Empfänger davon überzeugen, dass eine größere Transaktion bevorsteht und in kürze mehr Informationen per Telefon gegeben werden. Das alles wird garniert, dass die Zielperson mit niemandem sonst sprechen sollte. Oft wäre die Geheimhaltung z.B. aufgrund des Einflusses auf die Aktienkurse erforderlich. Meist geht es um den Kauf einer Firmenbeteiligung oder z.B. Patentrechten oder Lizenzen.
    Für einfache Anwender ist es gar nicht so einfach zu erkennen, ob die Mail "authentisch" ist. Nur sehr wenige Personen nutzen z.B. S/MIME, um ihre Mails digital zu signieren. Und selbst dann müsste der Empfänger erst mal Verdacht schöpfen. Würden Sie eine Mail ihres Geschäftsführers ignorieren, nur weil sie nicht signiert ist ?
  2. Der telefonische Kontakt
    Um das Risiko zu minimieren, dass die Zielperson doch mit jemandem sich bespricht, kommt kurz darauf der Anruf. Entweder gibt sich der Anrufer selbst als Geschäftsführer aus, wozu er natürlich die Stimme imitieren muss. Einfacher ist es, wenn er sich als Notar, Rechtanwalt oder Makler ausgibt, der im Auftrag des Geschäftsführers handelt. Schließlich habe die angerufene Person ja schon die Informationen vorab vom Geschäftsführer bekommen und der Anrufer übernehme die Rolle des Assistenten.
    Die Anzeige der Rufnummer im Display der angerufenen Person ist leider kein wirksamer Schutz. Mit Funktionen wie CLIP ist es überhaupt kein Problem eine falsche oder gar die Handynummer des Geschäftsführers vorzugeben.
  3. Die Verifikation
    Um den Vorgang noch seriöser wirken zu lassen, können vertrauenswürdige Dritte ins Spiel kommen. Wer Grundstücke, HäUser oder Firmen kauft, bedient sich meist eines Maklers und lässt die finanzielle Seite von einer Steuerberatungsfirma oder Prüfungsinstanz verifizieren. Genau diese ebenfalls vorgeschobene Firma kann beim Anruf der Zielperson genannt werden. Die Zielperson solle dort anrufen um die Korrektheit des Vorgangs zu überprüfen. Freundlicherweise nennt der Anrufer natürlich gleich diese Firma, die Rufnummer und den Namen des Sachbearbeiters. Es ist natürlich klar, dass die dort erreichbare Person sicher keine neutrale Funktion hat, sondern zum Team des Angreifers gehört.
  4. Überweisung
    Nachdem die Zielperson überzeugt ist, dass der Geschäftsführer wirklich einen größeren Betrag auf einem ausländischen Konto benötigt, geht es dann ganz schnell. Es ist in Firmen gar nicht mal ungewöhnlich, wenn große Beträge überwiesen werden. Rechnungen für Wareneinkäufe können durchaus mal mehrere 100.000€ sein. Stellen Sie sich mal einen Container mit Waren aus der chinesischen Produktion vor, die in Deutschland ankommt. Insofern schlagen auch die Schutzfunktionen von Banken vermutlich nicht an. Zudem hat die Firma ja auch die technischen Möglichkeiten per HBCI per Chipkarte gesichert eine solche Überweisung an die Bank zu platzieren.
  5. Das Geld ist weg
    Der Betrug fällt meist erst auf, wenn der richtige Geschäftsführer, der davon bislang nichts erfahren hat, wieder mit der Zielperson spricht und das Thema auf genau diese Transaktion kommt. Da das Geld aber aktiv überwiesen wurde (und kein Bankeinzug oder Scheck war), ist es kaum mehr möglich das Geld zurück zu holen. Insbesondere wenn das Geld in ein fernes Land überwiesen wurde.

Einer der frühen Vorfälle dieser Art, die auch öffentlich gemacht wurden, war die Überweisung von insgesamt 17 Mio US-$ einer amerikanischen Firma nach China, um den angeblichen Kauf einer Firmenbeteiligung zu bezahlen.

Ich bin aber sicher, dass es weit mehr Fälle gibt, in denen solche Transaktionen erfolgreich verlaufen sind aber ohne öffentliche Meldung bearbeitet werden.

Wenn Sie denken, dass Sie diese Falle garantiert erkannt hätten, dann überlegen Sie, ob Sie das bei der Falle Rechnungsbetrug genauso sicher sagen können.

Analyse

Es ist nicht ungewöhnlich, wenn ich in solchen Fällen um Rat gefragt werde. Hier eine solche Mail, in der ich natürlich alle Adressen ersetzt habe. Der Text als solches ist aber authentisch:

Die Mail sieht schon sehr gut aus. Keine offensichtliche Tippfehler aber insbesondere beim Inhalt hat fast alles gestimmt, d.h. Namen, Ansprechpartner, Rufnummern waren korrekt und der Chef tatsächlich unterwegs. Für Profis ist die Betrugsabsicht zu erkennen aber auf solch eine Mail sind schon Personen herein gefallen. Manchmal ist es die Hausbank, die lieber noch mal nachfragt und so der Schwindel gerade noch rechtzeitig auffliegt und die Überweisung gestoppt werden kann. Ich habe mit in dem Fall auch die Header angeschaut die sehr umfangreich sind, da das Postfach auf einem Office 365 Server lagen. Und so war schnell zu erkennen:

  • Die Mail kam von einer IP-Adresse in den USA
    Diese Adresse konnten wir "GMX.COM" zuordnen und der Server hat sich auch als "mout.gmx.com" gemeldet. Soweit ist das aber noch kein Zeichen für ein Hack
  • Mail bei GMX über WebFrontend
    Ein Stück zurück im Header war erkennbar, dass die Mail per HTTP bei GMX eingeliefert wurde. Die Client-IP war einem deutschen Hosting-Provider zugeordnet. Anscheinend hat sich da der Angreifer selbst mit bislang nicht geklärten Daten einen Host zum Versenden gemietet oder das System selbst war auch wieder nur ein Zombie-Rechner, der Aktionen ausgeführt hat. hier verliert sich die Spur anhand des SMTP-Headers
  • SPF und Kollegen
    Im Header von Office 365 war auch das Ergebnis der SPF-Prüfung enthalten: Sie war komplett bestanden. (Domainnamen und IP-Adressen wurden unkenntlich gemacht)

    Das ist auch nicht weiter verwunderlich, da sowohl der "MAIL FROM" als auch der "FROM" im Header eine gültige Domain war, für die es sogar einen SPF-Record auf den einliefernden Server gab. Da die Mal auch keine Anlage hatte, waren Virenscanner erst mal blind und bei so eine zielgerichteten Mail haben auch Spamfilter ihre Probleme.
  • Fälschung des Absenders
    Etwas ungewöhnlich war aber die Formatierung des "From:"-Feldes, welches die meisten Mailclients anzeigen. Hier war der Displayname absichtlich so formatiert, dass die SMTP-Adresse des Absenders etwas verschleiert wurde:

    Normalerweise zeigt z.B. Outlook bei einer Mail aus dem Internet den Displaynamen und dann die SMTP-Adresse an. So sieht aber schon der Displayname aus, als wäre die SMTP-Adresse korrekt.

    Bei einem kleinen Fenster, einer Vorschau oder in der Übersicht kann man den zweiten Teil schon mal übersehen.

Viel mehr Informationen konnte man aus dem Header nicht weiter extrahieren. Da die Mail anscheinend per HTTP auf einem Webfrontend eingestellt wurde, gibt es außer der IP-Adresse des Clients, der natürlich ein missbrauchter HTTP-Proxy gewesen sein wird, keine Informationen.

Bewertung

Der Versuch über einen Betrug eine hohe sechsstellige Summe von einer Firma zu erschleichen ist in diesem Fall daneben gegangen. Der Aufwand, den die Betrüger in die Ermittlung der Namen, Telefonnummer, Ansprechpartner etc. gesteckt haben, hat sich hier nicht gerechnet. Wenn jemand aber nur ein paar hundert Euro für so eine Recherche aufwendet und eine von 1000 Firmen darauf rein fällt, ist das dennoch ein lukratives Geschäft.

Natürlich wurde Anzeige erstattet und die Informationen an die Ermittlungsbehörden übergeben. Vielleicht lässt sich über den Hosting Provider der Weg weiter verfolgen oder der Besitzer des GMX-Postfachs ermitteln. Vielleicht gelingt es auch über die Versendeprotokolle des Mailbox-Providers noch andere Ziele auszumachen. Insofern ist es wichtig, dass betroffene Firmen unbedingt eine Anzeige erstatten. Stellen Sie sich vor Sie haben so einen Vorfall und bezahlt und wollen es verschweigen. Vielleicht steht dann doch einige Tage später ein Ermittler auf der Matte und fragt, wie Sie mit der empfangenen Mail umgegangen sind.

Technisch dürfte für die Firma aber keine Gefahr bestanden haben, denn die Mail hatte sonst keinen "Schadcode". Ohne Muster oder Anlage oder verräterischem Link kann so eine Mail aber auch nicht von Filtern erkannt werden.

Ob es aber intern Trojaner oder menschliche Mithilfe gegeben hat, habe ich nicht weiter untersucht. Da die Mail technisch sauber war, kann man auch dem Spamfilter keinen Vorwurf machen. Dies ist keine "Spam-Mail" im klassischen Sinn und wer nun fordert, dass bei Mails von extern der Absender gegen eine interne Liste geprüft wird, übersieht die False Positive-Wahrscheinlichkeit eines solchen Filters.

Allerdings ist die angeschriebene Person auf die Mail zuerst einmal hereingefallen ist und erst im Laufe des weiteren Prozesses sind Zweifel aufgekommen sind, die eine Zahlung letztlich verhindert haben. Das zeigt aber gut, dass hier eine Sensibilisierung stattfinden muss.

Der Betrugsversuch hätte durchaus noch perfekter ausgeführt werden können, z.B. indem der Absender ein ähnlich lautende Domain temporär beantragt hätte. Wenn mehr und mehr Vorstände in Radio und TV oder sogar YouTube-Kanälen sprechen, dann wird es auch nicht mehr lange dauern bis Anrufer die Stimme imitieren.

So gesehen ist dieser Fall glimpflich abgelaufen, der Schaden konnte verhindert werden, weil Menschen misstrauisch waren und nicht blind auf die Technik vertraut haben. Auf der anderen Seite kann man der Technik keinen Vorwurf machen, da Sie wie sonst auch einfach funktioniert hat. Gegen solche gezielten Angriffe wird es auch so schnell keine Lösung per Software geben.
Der Mensch ist und bleibt der wichtige Aspekt.

Technische Gegenmaßnahmen

Sollten Sie Opfer dieser Masche geworden sein oder durch das Lesen dieser Seite ein Risiko erkennen, dann ist der Ruf nach technischen Lösungen laut. Bei diesem Trick dient eine Mail als Vorbereitung für den Kontakt. Wenn jemand den Prokuristen direkt anruft, dann sind die meisten Prokuristen eher vorsichtig. Wenn Sie aber schon eine Mail ihres Geschäftsführers vorliegen haben, in der ein Sachverhalt erklärt wird, dann sind die Hürden deutlich niedriger und Personen werden unvorsichtig. Dennoch kann auch ein Anruf allein ohne vorherige Mail den Betrug einleiten. Es muss also gar nicht das Medium Mail ein Bestandteil des Betrugs sein. Eine Mail hat ja gerade den Nachteil, dass Sie vielleicht elektronisch erkannt wird oder doch der Inhalt weiter geleitet wird, was mit einem Telefonat nicht so einfach möglich ist. Damit gibt es zwei primäre technische Wege:

  • Mail
  • Telefon

Bei einer Mail ist es kein Problem, diese zu fälschen. Natürlich gibt es mit SPF, SenderID, DKIM u.a. verfahren um den Versand mit einer falschen Domäne zu erschweren aber eben nicht zu verhindern. Sie können es einfach selbst ausführen. Starten Sie "TELNET <mailserver> 25" und geben Sie nacheinander die folgenden Zeilen ein und kontrollieren Sie die Mail, die in ihrem Postfach ankommt

HELO mail.msxfaq.info
MAIL FROM:User1@msxfaq.info
RCPT TO: <hier muss ihre Mailadresse rein>
DATA
From: Geschaeftsfuehrer <chef@lynclab.de>
To: ihr name <ihre@mail.addresse>
Subject: Vertraulich Firmenuebernahme

Bitte vertraulich behandeln
.

Wenn ich diese Mail an mich sende, dann sehe ich in Outlook folgende Mail:

Der einzige Unterschied zu einer "internen Mail" ist die Anzeige der SMTP-Adresse hinter der Absenderadresse durch Outlook. Darauf achtet sicher kein Anwender. Im Posteingang sind solche Details nicht zu sehen.

Ich hatte für einen Kunden mal eine "Ansicht" entwickelt, um solche Mails als "Extern" zu kennzeichnen. Das ist aber auch keine Lösung für OWA, Tablets etc. Ich habe für Exchange 2003 daher schon mal einen "From-Modify-Sink" gebaut, der eingehende Mails entsprechend abwandelt:

Für neuere Exchange Versionen müsste die über einen Transport Agent erfolgen

In Office 365 können Sie aber keinen Transport Agent einbauen. Hier kommen die seit Exchange 2007 vorhandenen Transport Regeln zum Einsatz. Hier kann nämlich basierend auf dem Absender eine Aktion ausgelöst werden. Leider kann man hier nicht an den Absender eine Kennzeichnung anbringen aber zumindest an den Betreff:

 

Wie so ein Prefix die tägliche Arbeit behindert muss jeder selbst entscheiden. Bei einem On-Premises-Server könnte ein eigener Transport Agent dies natürlich erledigen. Da es sich aber erst mal nur im Mails aus dem Internet dreht, könnte man natürlich auch bei einem vorgelagertem Spamschutz z.. auf einem Gateway diese Veränderung vornehmen.

Natürlich könnte ein Mailbetreiber auch eine Regel implementieren, welcher tiefer in die Mail schaut und z.B. sicherstellt, dass die "FROM"-Adresse im Body, die in Outlook und anderswo angezeigt wird, mit der "MAIL FROM"-Adresse übereinstimmt. Allerdings gibt es schon heute sehr viele legitime Fälle, in denen das nicht der Fall ist. Denken Sie einfach mal ein Newsletter, Unzustellbarkeitsquittungen, Helpdesk-Tickets mit dem sprechenden Namen des Absender aber der generischen Sammeladresse. Noch gar nicht berücksichtigt ist hierbei die Verwendung von "Reply-To" um Antworten woanders hin zu leiten. Und können Sie ausschließen, dass der Geschäftsführer nicht auch mit seinem GMX, Web.de, Outlok.com, iCloud-Konto Mails sendet und empfängt ?

Insofern können sie gerne mit SPF (prüft den Envelope FROM), DKIM (prüft die Domäne im DKIM-Tag) und DMARC (kombiniert SPF,DKIM und bezieht auch den Header-FROM mit ein) arbeiten. Sie können damit verhinder, dass jemand von außen mit ihrer From-Domäne etwas versendet und indirekt damit auch eine Zustellung z.B. an Office 365 unterbinden. Aber dann wird der Angreifer einfach eine andere Domäne nutzen. Auf der Seite Rechnungsbetrug habe ich schon beschrieben, dass bei einem lohnenden Ziel die Angreifer sogar ähnlich lautende Domains beantragen.

Vielleicht wäre es umgekehrt interessant alle Mails von authentifizierten internen Absendern abweichend zu kennzeichnen um so externe Mails deutlich sichtbar für Anwender unterscheidbar zu machen. Ich hatte zu Exchange 2007 Zeiten einen Transport Agent geschrieben, um bei Mails aus dem Internet den Absender sichtbar zu verändern. Agenten funktionieren nur in der Cloud nicht.

Beim Telefonat können sich die Personen aber auch nicht auf die vom System angezeigte Nummer verlassen. Diese ist dank CLIP sehr einfach zu verschleiern oder zu fälschen. Wobei der Anrufer nur glaubwürdig versichern muss, dass er z.B. gerade aus einem Hotel oder beim Gesprächspartner telefoniert. Dann ist die Rufnummer auch wieder irrelevant.

Organisatorische Gegenmaßnahmen

Selbst wenn es einen 100% Weg gäbe genau diesen Angriff zu erkennen und per Software zu verhindern, dann würde eine kleine Abwandlung reichen, um eine neue Iteration zu generieren. Der viel wichtigere Ansatz ist auch hier die Bildung der Schwachstelle Mensch, die letztlich handelt. Dies ist ein permanenter Prozess und aus meiner Sicht sind die IT-Abteilungen von Firmen hier lange nicht so agil und kommunikativ, wie dies eigentlich der Fall sein könnte.

Klar hilft es nicht gegen den "ersten Fall" weltweit aber wenn so ein Betrug einmal irgendwo veröffentlicht wurde, dann liest das in der Regel immer jemand. Dieser "Fake President"-Trick wurde z.B. im Februar 2015 in Medien wie der Süddeutschen Zeitung, Spiegel und Co genannt. Geschäftsführer oder zumindest der CTO einer Firma sollte solche Artikel gesehen haben und überlegen, wie stark die eigene Firma hier gefährdet ist. Aber auch der "gemeine Admin" bekommt solche Tricks dann über die technische Aspekte von seinen Quellen mit und sollte als Teil seiner Arbeit die Information weiter geben.

Aus meiner Sicht kümmern sich die IT-Abteilungen von Firmen viel zu wenig um die Sicherheit der einfachen Anwender. Das könnte zumindest mit Tipps und Hinweisen sogar bis in den Heimbereich ausstrahlen. Wo bitte ist der "IT-Newsletter der Woche oder des Monats" an die Mitarbeiter, von denen viele weder "Führungsfunktion" noch "IT-Verständnis" haben über aktuelle Schadsoftware, Phishing-Attacken oder solche Betrugsmodelle. Mit der Zunahme von "Bring you own device" sollte eine Firma durchaus ein Interesse daran haben, dass auch der Privat-PC "geschützt" ist. Also der Anwender nicht nur ein Office im Rahmen des "Home User Right" zuhause installiert, sondern auch den Virenscanner, und sei es nur eine kostenfreie Version. Auch gegen Verschlüsselungstrojaner helfen in erster Linie Datensicherungen. Machen Sie mal ihren Mitarbeiter darauf aufmerksam, dass in seinem Heim-PC eine einzelne Festplatte mit 7200U/min läuft und vieleicht 20% in den nächsten 5 Jahren kaputt gehen. So lösen sich Fotosammlungen im Nichts auf. Eine USB-Sicherungsfestplatte ist sehr empfehlenswert. Und mit solchen und anderen Tipps vom IT-Admin bekommen Sie vielleicht auch die Aufmerksamkeit für die anderen Themen:

Gegen Betrügereien wie diesen "Fake Boss" oder auch den Rechnungsbetrug hingegen können auch organisatorische Veränderungen helfen. Hier eine unvollständige Auflistung einiger Ideen. Sie sollten ihre Firma am besten können und abgestimmte Maßnahmen ergreifen.

  • Sensibilisieren und "Gesunder Menschenverstand"
    Dieser Punt ist am schwersten zu trainieren, denn wir haben jahrelang gelernt einfach zu funktionieren. Wenn wir aber nicht durch ebenso logisch arbeitende Computer ersetzt werden wollen, dann ist unser "Menschverstand" und "Gefühl" aktuell noch das, was die Maschinen uns nicht abnehmen können.
  • Beschränkte Rechte für die Überweisung
    Überprüfen Sie am besten gleich und dann immer wieder, welche Personen Zugriff auf die Technik haben, um solche Überweisungen auszuführen. Firmen nutzen häufig Programme wie SFIRM, Networld, MultiCash (oft als OEM von Banken vertrieben wie z.B. Cotel, DreCash, DB-Dialog). Kontrollieren Sie, wer hier diese Software nutzen kann und erinnern Sie die Personen immer wieder an ihre Sorgfaltspflicht.
  • Beschränkte Rechte für Kontodaten
    Prüfen Sie in dem Zuge auch, wer z.B. Stammdaten eines Lieferanten in ihrer Buchhaltung ändern kann. Vielleicht ruft ja ein Lieferant an und bittet um eine Änderung der Bankverbindung und die nächste Rechnungsbegleichung geht an ein "fremdes Konto". Haben Sie Prozesse, wie Sie Änderungen dieser kritischen Daten kontrollieren?. Wie einfach ist es wohl ihnen ein förmliches Schreiben per Post zu senden, in dem Sie eine neue Bankverbindung melden. Wenn es um tausende Euro geht, dann kann ich als Angreifer auch schnell mal Briefpapier drucken lassen.
    Auch hier kann "Zeit" helfen. Keine Firma wechselt die Bank von heute auf morgen. In der Regel wird ein neues Konto angelegt und das alte nach einigen Wochen oder Monaten erst abgeschaltet. Ein neues Konto könnte ja erst mal inaktiv bleiben, bis es in einem zweiten Prozess bestätigt wurde. Bei Beträgen über mehrere tausend Euro ist etwas Sorgfalt hier sicher wünschenswert.
  • "Melden macht frei"
    Es gibt nichts, was so geheim ist, dass es der Stellvertreter, der ihre Tätigkeiten während des Urlaubs ausübt oder der Vorgesetzte nicht wissen darf. Wenn Sie irgendwelche Zweifel haben, dann muss der Mitarbeiter von sich aus z.B. Anrufen dürfen. Auch hier wieder: Immer die bestehenden Kontaktdaten und keine temporären Daten verwenden.
  • Vier-Augen Prinzip und Rückversichern
    Auch wenn jemand alleine handeln könnte, sollte er es nicht und immer mit einer zweiten Person sich besprechen. Das Rückversichern ist wichtig aber natürlich nicht mit den Daten des Anrufers sondern anhand der eigenen Kontaktdaten. Asien ist eine große Region und wenn der Geschäftsführer in Singapur oder Honkong ist, ist er nicht automatisch "irgendwo in China" unterwegs.
  • Geplante Langsamkeit
    "Nichts wird so heiß gegessen, wie es gekocht wird." hat meine Mutter mir immer vorgehalten, wenn es mir nicht schnell genug gehen konnte. Aber genau das ist auch die Mascher der Betrüger. Wenn es einfach "länger dauert", dann ist das Risiko entdeckt zu werden höher. Menschen reden und wenn es nur am Kaffee-Automat, in der Kantine oder am abendlichen Esstisch ist. In der Bundeswehr gab es den Spruch, dass man eine Beschwerde erst nach 24h stellen durfte. Letztlich war dann der erste Ärger schon verflogen.
    Gerade bei größeren Beträgen, auch wenn das häufiger vorkommen mag, sind die Vorgänge kritisch zu betrachten, die angeblich besonders eilig sind.
    Da sind wir dann wieder beim "Enkeltrick". Dort schicken die Täter anscheinend sogar ein Taxi vorbei, damit das Opfer problemlos zur Bank kommt um mehr Geld abzuheben. Geschwindigkeit ist ein Schlüsselfaktor das Risiko der Entdeckung zu reduzieren.

Die Rolle der Banken und Versicherungen

Ein Trauerspiel bei all dieser Thematik ist natürlich die Rolle der Banken, die bei kriminellen Aktivitäten eine Rückabwicklung erschweren. Sicher sind Zeitzonen, Ländergrenzen und Sprachgrenzen ein Problem aber zwischen den Banken gibt es ein spezielles Netzwerk (SWIFT https://de.wikipedia.org/wiki/SWIFT) über die solche Transaktionen abgewickelt werden. Allerdings scheinen sich alle Banken zu "vertrauen" und sicher verdienen sie natürlich auch bei kriminellen Geschäften mit. Sei es ein Betrug wie hier, bei Drogengeldern, Waffengeschäften, Mafia etc. Wer als rechtschaffender Bürger haushaltsnahe Dienstleistungen und Handwerker steuerlich absetzen will, muss zwangsweise die Rechnung "unbar" begleichen. Banken sind auf der anderen Seite verpflichtet, die Inhaber eines Kontos bei der Eröffnung zu identifizieren. Da muss man sich dann schon fragen, welche Mithaftung eine Bank hat, die Betrug unterstützt. Vielleicht sind die Gesetze in anderen Länder etwas schwächer aber eine Blocklist für Banken könnte schon helfen. für Mailserver gibt es sowas ja schon in Form von RBL etc. Hoffen Sie aber besser nicht, dass Sie von dieser Seite Unterstützung bekommen.

Natürlich haben auch die Versicherungen diese neuen Markt entdeckt. Schließlich geht es um Schäden, vor denen sich mögliche Kunden absichern wollen. Im Internet finden sich nicht nur viele Hinweise zum Thema Phishing und Betrug, sondern auch hinsichtlich entsprechender Versicherungen. Wobei das Risiko für Privatpersonen aufgrund begrenzter Verfügungsrahmen doch eher gering ist.

Bei Firmen sieht es aber dann och etwas anders aus. Hier sind größere Beträge durchaus üblich, denken Sie nur mal an die Sozialabgaben für die Mitarbeiter. Löhne und Gehälter werden meist als viele einzelne Teilbuchungen überwiesen und sind daher kein passendes Ziel. Dennoch gibt es auch Versicherer, die für solche Angriffe selbst bei grober Fahrlässigkeit gerade stehen. Natürlich für entsprechende Prämien.

Weitere Links