Die Betrugsmasche, durch Social Engineering richtig viel Kohle aus Firmen zu angeln, geht offenbar recht erfolgreich weiter. Jetzt warnt das FBI himself bereits die Amis öffentlich vor diesem Ansatz.
Anzeige
Es gibt Tage, da setze ich mich in die Ecke und lache mir heimlich ins Fäustchen. Heute ist wieder eine solche Gelegenheit – denn im Land "of the glorius and the free", wo "everything goes", grassiert eine altbekannte Betrugsmasche – so dass dass allwissende FBI eine öffentliche Warnung aussprechen muss.
Alte, aber erfolgreiche Masche – auch in Deutschland bekannt
Ich hatte das Thema bereits Mitte Februar 2016 im Blog-Beitrag Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016) (Abschnitt "Phishing-Mail an die Chefbuchhalterin – weg sind die Millionen") angesprochen. Cyberkriminelle haben sich wohl in jüngster Zeit Millionen per Mail von deutschen Unternehmen erschlichen. Zitat:
… die Betrüger in die Firmennetzwerke einhacken und Korrespondenzen ausspähen. Dann wird eine gefälschte E-Mail, angeblich vom Vorstandschef an einen Buchhalter (meist in Tochterfirmen) geschickt. Diese ist in perfektem Deutsch gehalten und weist diese an, eine größere Summe für eine geplante Firmenübernahme zu überweisen. Da die Aktion absolut vertraulich sei, dürfe mit niemandem darüber geredet werden. Scheint zu klappen, ein Mitarbeiter des Spezialversicherer Euler Hermes berichtet von Beträgen zwischen 750.000 bis 15,5 Millionen Euro, die abgezogen wurden.
Ich habe mich im Artikel bereits gewundert, dass üblicherweise in einem Unternehmen jede Büroklammerbestellung drei Unterschriften benötigt – aber Millionenzahlungen freihändig angewiesen werden.
In the USA is everything bigger
Aber jetzt auch im Land of the glory. Das FBI warnt in dieser Pressemitteilung dass eine "Scam-Welle" seit 3 Jahren in den USA grassiere, wobei in den letzten Monaten die Schäden zunähmen. Das Ganze läuft wie oben beschrieben ab. Zuerst wird die E-Mail-Kommunikation der Firma ausgeforscht. Dann kommt eine gefälschte E-Mail, angeblich vom Vorstand, einem Unternehmensanwalt oder einem vertrauten Lieferanten, in der um Überweisung des Betrags X gebeten wird. Die Überweisung wird als dringend dargestellt und die Mails sind in perfektem Englisch gehalten. So perfekt, dass die Buchhalter darauf hereinfallen.
Anzeige
Bei heise.de wird berichtet, dass der Spielehersteller Mattel gleich drei Millionen gezahlt hat. Erst als sich die Mitarbeiterin mit der Chefin traf, kam der Schwindel ans Tageslicht – da war das auf ein chinesisches Bankkonto transferierte Geld aber bereits abgeflossen. Das Geschäftsmodell ist wohl sehr erfolgreich. Konkret werden vom FBI folgende Zahlen genannt:
- Von Oktober 2013 bis Februar 2016 hab die Strafverfolgungsbehörden 17.642 Anzeigen von Betroffenen erhalten.
- Die Schadensumme beträgt zwischenzeitlich mehr als $2,3 Milliarden US-Dollar. In Arizona werden im Mittel durch erfolgreiche zwischen $25-000 und $75.000 abgezogen.
- Seit Januar 2015 konnte das FBI eine Steigerung in der Zahl der Geschädigten bzw. der Verluste von 270 % feststellen.
Das FBI rät nicht nur zur Skepsis bei eintreffenden E-Mails sondern empfiehlt einen "Kontrollanruf" beim Chef und abgesprochene Authentifizierungsprozeduren, falls Zahlungen mit Dringlichkeit angefordert werden. Das Ganze wäre eigentlich eine ziemlich traurige Angelegenheit, speziell für die tangierten Mitarbeiter, wenn es nicht offenlegen würde, wie kaputt das Ganze ist.
Meine 2 Cents: Sorry, ich habe kein Verständnis
Ich schrieb oben bereits: Ich kenne es, dass jede Büroklammerbestellung drei Unterschriften und den "Rechtsweg" im Unternehmen benötigt, um durchzugehen. Und dann gibt es nicht nur Briefkastenfirmen (Panama lässt grüßen), sondern in der Buchhaltung gibt es offenbar Leute, die von Sonderkonten mal eben (ohne Netz und doppelten Boden) Millionen transferieren können. Es ist unglaublich, welche Amateure in Firmen an den Schalthebeln sitzen.
Und noch unglaublicher: Gerade die Amis tun sich doch mit Totalüberwachung hervor, die jede noch so kleine Nachricht aufzeichnen, jedes Gerät entschlüsseln können wollen, aber solche massiven Scam-Wellen nicht auf dem Radar haben, geschweige denn, das Ganze erfolgreich einer Strafverfolgung zuführen können.
Das System ist korrupt und ziemlich kaputt – was gerade eindrucksvoll bewiesen wird. Und das ist der Punkt, wo ich mich in der Ecke wiederfinde und ins Fäustchen lache. Macht nur weiter so mit eurer Frickelsoftware, die alles vernetzt und den Mitarbeiter auf weiter Flur alleine lässt. Wird schon schief gehen …
Ähnliche Artikel:
Wichtige Sicherheitsinfos (24.3.2016)
Sicherheits-News zum Wochenstart (21.3.2016)
Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)
Sicherheitsinfos zum Wochenende (2.4.2016)
Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)
Cyber-Sicherheit: größte Sorgen europäischer Unternehmen
Anzeige
Ein Wort: Unfassbar.
Sind die Leute in den Firmen so dämlich das sie glauben, sie nur sie sind unangreifbar?
Ist schon traurig oder?