POL-LER: Pres­se­mit­tei­lung der Poli­zei­in­spek­ti­on Leer/Emden für den 07.02.2024

Uple­n­gen- Betrugs­ma­sche Busi­ness E‑Mail Compromise

Die Poli­zei­in­spek­ti­on Leer/Emden nimmt ein aktu­el­les Ermitt­lungs­ver­fah­ren zum Anlass die Bevöl­ke­rung über eine inzwi­schen mehr­fach fest­ge­stell­te Betrugs­ma­sche auf­merk­sam zu machen, wel­che “Busi­ness E‑Mail Com­pro­mi­se” genannt wird. Im vor­lie­gen­den Fall erstat­te­te der Geschäfts­füh­rer eines Unter­neh­mens aus Uple­n­gen Anzei­ge. Durch sein Unter­neh­men war zuvor eine hoch­wer­ti­ge Bau­ma­schi­ne bei einem seriö­sen Anbie­ter bestellt wor­den. Abspra­che­ge­mäß soll­te die Zah­lung des sechs­stel­li­gen Euro­be­tra­ges in drei Raten erfol­gen. Nach­dem die ers­te Rate ohne wei­te­re Vor­komm­nis­se über­wie­sen wur­de, erfolg­te vor der Zah­lung der zwei­ten Rate die Über­sen­dung einer E‑Mail vom E‑Mailaccount des Maschi­nen­an­bie­ters, aus wel­chem eine geän­der­te Bank­ver­bin­dung her­vor­ging. Somit erfolg­te die Über­wei­sung die­ser Rate an die­se geän­der­te Bank­ver­bin­dung. Schließ­lich stell­te sich her­aus, dass es sei­tens des Anbie­ters nie zur Ände­rung der Bank­ver­bin­dung kam und dass der hohe fünf­stel­li­ge Betrag auf das Kon­to einer unbe­kann­ten Täter­schaft über­wie­sen wurde.

Beim Busi­ness E‑Mail Com­pro­mi­se ver­än­dern Täter ent­we­der beim Ver­sen­der, auf dem Ver­sand­weg oder beim Emp­fän­ger eine Rech­nung oder Mah­nung und ver­su­chen damit die Zah­lung auf ein eige­nes Kon­to umzu­lei­ten. Durch die ver­wen­de­te Gesprächs­füh­rung wird die Not­wen­dig­keit einer Kon­to­än­de­rung plau­si­bel gestal­tet. In ande­ren Fäl­len wer­den Rech­nun­gen für fik­ti­ve Pro­duk­te erstellt und die Fir­men so zu einer Zah­lung gebracht.

Die bei­den Vari­an­ten unter­schei­den sich dar­in, dass bei der Vari­an­te zwei ein Zugriff auf die vor­han­de­ne Kom­mu­ni­ka­ti­on not­wen­dig ist.

Die ZAC, Zen­tra­le Ansprech­stel­le Cyber­crime des Lan­des­kri­mi­nal­am­tes Nie­der­sach­sen erklärt auf ihrer Web­site Prä­ven­ti­ons- und Not­fall­maß­nah­men für das Delikts­feld bei dem ins­be­son­de­re Fir­men­in­ha­ber und deren Geschäfts­part­ner geschä­digt werden:

Prä­ven­ti­ve Maßnahmen

   - Rückfrage über einen zweiten Kommunikationskanal beim Versender

   - Schulung von Mitarbeitern (Awareness, Wissen um die Bedrohungen)

   - Offene Kommunikation im Unternehmen und mit Geschäftspartnern, 
     vertrauensvolle Zusammenarbeit

   - Verwendung von Verschlüsselung und Signatur für die 
     geschäftliche und interne Kommunikation via E-Mail

   - Konfiguration des Mailprogramms, um den Absender einer E-Mail 
     und die Quelle einwandfrei identifizieren zu können (Antwort-An 
     Adresse als Spalte einblenden)

   - Nutzung sicherer Passwörter und Mehrfaktorauthentifizierung bei 
     E-Mailkonten

   - Zugang aus dem Internet auf die E-Mails unterbinden - z.B. 
     Zugang nur intern oder über VPN

   - Anzeige im Mail-Programm, damit E-Mails von extern oder von 
     nicht bekannten Adressen explizit als solche ausgewiesen werden

Detek­ti­ve Maßnahmen

   - Monitoring der (versuchten) Anmeldungen an Mail-Konten

Not­fall­maß­nah­men

   - Versuchen Sie umgehend über Ihr Geldinstitut eine Rückbuchung 
     der gezahlten Gelder zu erwirken. Nehmen Sie umgehend Kontakt 
     zur Polizei zwecks Rückholung auf!

   - Prüfen Sie, ob ein Zugriff auf Ihre Systeme (Mail-Konten) 
     erfolgt ist. Ergreifen Sie, wenn ja, entsprechende Maßnahmen

o Ändern der Zugangsdaten

o Prü­fen ob wei­te­re E‑Mails ver­sen­det wurden

o Even­tu­ell Kon­takt­auf­nah­me zu wei­te­ren Emp­fän­gern um die­se zu warnen

   - Wenn es zu einer Kompromittierung gekommen ist, kann eine 
     Meldung bzgl. Datenschutz notwendig sein

   - Wenn eine manipulierte E-Mail von einem bekannten 
     Geschäftspartner kam, ist dieser darüber in Kenntnis zu setzen

Wei­te­re Infor­ma­tio­nen fin­den inter­es­sier­te Bür­ge­rin­nen und Bür­ger unter: https://www.zac-niedersachsen.de/