Neue Betrugsmasche: Verstärkung für den falschen Chef

Die Evolution macht auch vor Betrügern nicht Halt. Wirtschaftskriminelle Straftaten werden immer ausgeklügelter. Damit steigt das Risiko, dass sie zumindest eine Weile unentdeckt bleiben und so lange erheblichen Schaden anrichten. „Fake President“, die Masche mit dem Identitätsdiebstahl und der E-Mail vom falschen Chef an die Buchhaltung mit der Aufforderung um Überweisungen, ist auch so ein Fall.

1196196368_1200x1600px__72dpi

Zuletzt haben namhafte Unternehmen in Deutschland und Österreich dadurch Schäden in Höhe von 40 oder 50 Millionen Euro erlitten. Nur selten lassen sich Gelder zurückholen wie in dem aktuellen Fall, den die Wirtschaftswoche schildert.

Prompt folgt auch schon die nächste Evolutionsstufe. Die falschen Chefs haben sich weiterentwickelt und variieren ihr Vorgehen. Der neuste Clou bei einem aktuellen Schadenfall: Fake President meets Fake IT. Der falsche Chef bekommt Verstärkung.

Das Vorgehen ist auch bei dieser aktuellen Variante zunächst “Standard” mit E-Mail Kontakt an (wie so häufig) eine Buchhalterin durch den falschen Chef.

Das Neue ist, dass die Buchhalterin zusätzlich anschließend einen Anruf erhält von einem angeblichen Mitarbeiter aus der IT Security. Dieser meldet sich telefonisch bei ihr und klärt sie auf, dass bei ihr ein versuchter Fake President Versuch festgestellt wurde. Die IT Sicherheit habe diesen jedoch entdeckt und entsprechend der Geschäftsleitung gemeldet.

Alles nur zum Schein

Um die Betrüger zur Strecke zu bringen, hätte sich der Vorstand aber entschlossen, dass das Unternehmen zum Schein mitspiele. Sie solle sich also bitte weiterhin „ganz normal“ verhalten und auf die Forderungen der Betrüger eingehen und diese akkurat ausführen.

Auch die Überweisungen solle sie zum Schein mitmachen, damit die Täter in flagranti erwischt werden und von ermittelnder Polizei / Staatsanwaltschaft aufgespürt werden können. Die Bank sei informiert und es würde dem Unternehmen dadurch kein finanzieller Schaden entstehen, da die Überweisung nur zum Schein rausgehe, nicht „in echt“.

Gar nicht zum Schein: 900.000 Euro futsch

Das Ergebnis: Sie hat das Geld tatsächlich überwiesen. Schaden: 900.000 Euro. Opfer: börsennotierter Konzern.

Die Betrüger sind den Unternehmen teils einige Schritte voraus. Sie täten gut daran, ihre IT Sicherheit zu verstärken, für eine entsprechende Verschlüsselung zu sorgen und ihre Prozesse und Compliance-Regeln zu schärfen.

Trotzdem ist das kein Allheilmittel – vor allem nicht bei „Social Engineering“ wie es die falschen Chefs betreiben. Deshalb stellt sich auch bei der besten IT Sicherheit nicht die Frage, ob ein Unternehmen zu einem Opfer der Betrugsmasche werden kann, sondern nur wann das der Fall sein wird.

Es führt deshalb kein Weg daran vorbei, Mitarbeiter entsprechend zu sensibilisieren und das Risiko zumindest etwas zu senken – und sich möglichst weitgehend gegen finanzielle Schäden daraus abzusichern.