Betrugsmasche, so werden E-Mail PDF Rechnungen manipuliert
Wieder ein Fall der zeigt, wie wichtig die Umsetzung der Datenschutzbestimmungen und intensive Schulungen und Aufklärung ist.
Was ist passiert:
So geht die Änderung von Bankverbindungen in Rechnungen
Ein Hotel versendet per PDF-E-Mailanlage Deposit- oder andere Rechnungen an seine Kunden. Diese werden „abgefangen“, das PDF wird mit einer falschen Bankverbindung ausgestattet (das Bearbeiten von PDF ist keine schwierige Aufgabe). Diese geänderte Rechnung wird mit dem Original-E-Mailtext von einer ähnlich lautenden E-Mailadresse an den Rechnungsempfänger versendet. Ist dieser nicht sehr vorsichtig, wird an die falsche Kontonummer überwiesen. Und von dort in der Regel sehr schnell an andere Konten weitergeleitet. Oft werden diese Konten nur für wenige Tage mit gestohlenen oder gefakten Ausweispapieren eröffnet und dann sofort wieder geschlossen.
Voraussetzungen, damit diese Betrugsmasche klappt
Es muss davon ausgegangen werden, dass entweder auf dem Versender- oder dem Empfängerkonto eine Schadsoftware installiert ist, die das Ausspähen dieser Geschäftsbeziehung und dieser Rechnungs-E-Mails ermöglichen. So erhalten die Betrüger Zugriff auf die Korrespondenz und können Geschäftsbeziehungen, Aussehen des Briefpapiers etc. ausspähen, um ihre Betrugsmasche zu entwickeln.
In abgewandelten Betrugsformen wird eine offizielle Änderung der Bankdaten per E-Mail oder Post oder sogar Telefon kommuniziert.
Mit diesem Betrug machen sich Verbrecher folgende Dinge zu Nutze:
- digital vorliegende Informationen, die auch per E-Mail versendet werden und digital gestützte geschäftliche Vorgänge (z.B. Rechnungen, persönliche Emails). Diese Daten erlauben ein Ausspähen von Geschäftsbeziehungen und das Abgreifen von Bankinformationen, dem Aussehen von Geschäftspapieren etc.
- gründliches Vorgehen der Betrüger: Die neue Absendeadresse der manipulierten Rechnung sieht ähnlich, wie die bekannte Adresse der Geschäftsbeziehung aus. In einem Fall wurde aus einer .com eine . netc.eu Adresse. Diese Domain wird von einem Webmaildienst aus Frankreich vergeben.
- oft noch sehr gut gläubige Mitarbeiter, die durch das unvorsichtige Öffnen von Mailanhängen oder Anklicken von Links eine Spähsoftware auf dem eigenen Rechner installieren. Diese werden sehr geschickt z.B. als Bewerberinformation, Rechnung oder getarnte Links unverdächtig gemacht.
So könnte eine Mail aussehen, mit der eine Spähsoftware oder andere Schadsoftware installiert wird. Oft sind kleine Ungenauigkeiten zu bemerken (wie der fehlende Zwischenraum zwischen Rechnung und Nr.) und natürlich eine E-Mailadresse, die kaum vom Unternehmen stammen kann, deren Kommunikation gefakt wird.
Gefakte Strato E-Mail als Mahnung
Wie können Sie vorbeugen, damit Sie nicht selbst zum Opfer dieser Betrugsmasche werden?
- Sensibilisieren Sie Ihre Mitarbeiter gegenüber dieser Betrugsmasche.
- Schulen Sie Ihre Mitarbeiter, um das Installieren von Schadsoftware nicht zu einfach zu machen.
- Überprüfen Sie E-Mails mit Rechnungen sorgfältig auf den richtigen Absender und die korrekte Schreibweise der E-Mail Domain.
- Prüfen Sie bei verdächtigen E-Mails die vorliegenden Informationen über einen weiteren Kommunikationskanal. Nutzen Sie statt E-Mail hierzu das Telefon.
- Halten Sie Ihre Software und vor allem Ihren Virenscanner und Firewalls stets auf dem neuesten Stand.
- Verwenden Sie komplexe Passwörter, die regelmäßig aktualisiert werden.
- Versenden Sie alle E-Mails nur mit ssl-Verschlüsselung.
- Weisen sie prophylaktisch in Ihrer geschäftlichen E-Mail Signatur darauf hin, dass Sie Ihren Kunden eine Änderung der Bankverbindung niemals via E-Mail mitteilen werden.
- Nutzen Sie –wenn möglich – digitale Signaturen.
- Bitte Sie Ihre Kunden um die gleiche Aufmerksamkeit.
Wenden Sie sich bei Verdachtsfällen an die Zentralstelle für Cyberkriminalität, deren Adressen Sie hier finden.
Für Fragen zu diesen und anderen Datenschutzthemen, steht Ihnen unser Datenschutz-Experte zur Verfügung:
Timo Sprenger
Timo Sprenger, Leiter Kundenbetreuung und Qualitätsmanagement und zertifizierter Datenschutzbeauftragter
&nb…
mehr