Die Kriminalpolizei Oberfranken warnt vor einer neuen Betrugsmasche mit gefälschten E-Mails. Wer darauf hereinfällt, kann sehr viel Geld verlieren.

Besonders hinterlistiger Betrug

Die perfide Masche nennt sich "Business E-Mail Compromise" (BEC). Die Täter geben sich dabei per E-Mail als vertrauenswürdiger Geschäftspartner, Vorgesetzter oder Dienstleister, um Unternehmen, Behörden oder öffentliche Einrichtungen dazu zu bringen, hohe Summen auf betrügerische Konten zu überweisen.

Dieses Vorgehen kann Firmen jeder Größe treffen. Die E-Mails wirken oft völlig glaubwürdig und enthalten meist keine Schadsoftware in Anhängen und inks, nur eine scheinbar harmlose Zahlungsanweisung. Der klassische Spam-Filter greift daher nicht. Die Schadenssummen sind oft erheblich. Angriffe richten sich aktuell besonders gegen Unternehmen, die an Ausschreibungen auf europäischer Ebene beteiligt sind.

Markus Hahn, Erster Kriminalhauptkommissar der Kripo Bayreuth

Täter setzen Opfer gezielt unter Druck

Die Täter fälschen gezielt E-Mail-Absender und ahmen Kommunikationsmuster nach, um Mitarbeitende unter Druck zu setzen.

• Aufforderung zu dringenden Überweisungen an neue Konten
• Vermeintlich vertrauenswürdige Absender (zum Beispiel angeblich Chef, Lieferant oder Geschäftspartner)
• Appelle an Diskretion und Eile unter Umgehung üblicher Freigabeprozesse

• Auffälligkeiten wie ungewöhnliche Schreibweise, plötzlicher Sprachwechsel oder verdächtige E-Mail-Domains

 

Zahlung niemals ungeprüft freigeben

• Wenden Sie immer das Vier-Augen-Prinzip an
• Lassen Sie sich neue oder geänderte Kontodaten telefonisch rückbestätigen
• Geben Sie niemals Zahlungen ausschließlich auf Basis einer E-Mail frei

E-Mail-Absender genau prüfen

• Achten Sie auf Buchstabendreher, ungewöhnliche Domains oder gefälschte Signaturen (Beispiel: @fírma.de anstelle von @firma.de)
• Kontaktieren Sie den Absender im Zweifel immer über offizielle Kommunikationswege, nicht über die verdächtige E-Mail

Technische Sicherheit ausbauen

• Verwenden Sie die Multi-Faktor-Authentifizierung – also ein Sicherheitsverfahren, bei dem mehrere Nachweise der Identität verlangt werden, bevor jemand auf ein System zugreifen darf (Beispiele: Passwort, Smartphone, Biometrie)!
• Nutzen Sie E-Mail-Sicherheitsprotokolle wie SPF, DKIM und DMARC, um zu verhindern, dass Ihre Domain für betrügerische Mails missbraucht wird

Mitarbeiter gezielt schulen

• Sensibilisieren Sie Ihre Teams und etablieren Sie klare Prozesse zur Prüfung von Rechnungen und Zahlungsanweisungen
• Informieren Sie bei Auffälligkeiten Ihre Kolleginnen und Kollegen

Polizei rechtzeitig informieren

• Stoppen Sie die Zahlung und informieren Sie Vorgesetzte, IT-Abteilung und Bank
• Beantworten Sie die E-Mail nicht und klicken Sie keine Anhänge oder Links an
• Schalten Sie die Polizei ein und sichern Sie die Betrugs-E-Mail

 

Sprechen Sie in Ihrem Umfeld über diese Betrugsmasche und helfen Sie so Unternehmen und Einrichtungen zu schützen!