Trojaner Emotet

Business Email Compromise – CEO Fraud

Der Begriff CEO-Fraud oder CEO-Betrug lässt viel Spielraum zur Interpretation und erweckt oft leider den falschen Eindruck. In diversen Artikeln, sowie in einem Bericht des Bundeskriminalamts wird eindringlich davor gewarnt, dass Angreifer regelmäßig die Taktik verwenden sich als CEO auszugeben und dabei um strengstes Stillschweigen verlangen. Leider wird hier nur die halbe Wahrheit aufgezeigt und die Mehrheit der Taktiken nicht erwähnt.

Im englischen wird diese Methode auch als Business Email Compromise (BES) bezeichnet und als eine ausgeklügelte Art von Betrug, der sowohl auf Unternehmen als auch auf Einzelpersonen abzielt, um Geld von den Bankkonten der Opfer an Kriminelle zu überweisen.

Dem Internet Crime Report 2019 des FBI zufolge beliefen sich die jährlichen Gesamtverluste von BEC allein in den USA auf 1,7 Milliarden US-Dollar. BEC-Betrug machte 2019 auch die Hälfte aller Cyberkriminalitätsverluste in den USA aus, was BEC zur größten Cyberbedrohung in Bezug auf wirtschaftlichen Schaden macht. Der Versicherungsriese AIG bestätigte dies und berichtete, dass BEC der Hauptgrund für Unternehmen war, die im Jahr 2018 Versicherungsansprüche gegen Cyberkriminalität geltend machten, gefolgt von Ransomware und Datenschutzverletzungen.

Im Laufe der Jahre haben diese Angriffe an Raffinesse zugenommen, hauptsächlich im Bereich Social Engineering. Anstatt sich direkt an die Unternehmen zu wenden, richten sich Angriffe jetzt gegen Kunden, Personalabteilungen, Lieferanten, verbundene Buchhalter, Anwaltskanzleien und sogar Steuerbehörden. Neben der direkten Generierung oder Umleitung von Währungstransaktionen wurden BEC-Angriffe auch dazu verwendet, Geschenkkarten betrügerisch zu kaufen, Steuererklärungen umzuleiten und sogar Hardware und Ausrüstung im Wert von mehreren Millionen Dollar an die Kontrolle von Cyberkriminellen zu übertragen.

In sehr vielen Fällen wird von den Angreifern, wie selbst vom FBI erwähnt, eine E-Mail Adresse verwendet, die auf den ersten Blick nahezu ident der Firmenadresse ist. Tatsächlich wurde ich selbst bereits Opfer eines solchen Hackerangriffes, nachdem ich eine Email eines VC Mitarbeiters erhielt, welche statt @vc-founders.com ein …@vc-f0unders.com enthielt. Bitte beachten Sie, dass das kleine “o“ (Buchstabe) in founders durch eine „0“ (Zahl) ersetzt wurde. Im Zuge dieses Artikels wurde die Domain verändert dargestellt, um so die Identität der MitarbeiterInnen zu schützen. 

In diesem Fall ist alles vergleichsweise harmlos ausgegangen. Es finden sich jedoch leider immer mehr Betrugsfälle, die zu großen Schäden geführt haben. Ein solcher wurde einem der Investoren von difacturo zum Verhängnis. 

Der angesprochene Investor tätigt regelmäßig Immobiliengeschäfte in Spanien, bei denen Immobilien gekauft, renoviert und wiederverkauft werden. Dabei werden alle rechtlichen Dokumente, wie Verträge und Rechnungen, über einen regionalen Notar in Spanien abgewickelt. In diesem konkreten Fall, wurde eine Rechnung in Höhe von über 200.000 Euro vom Notar per Email ausgesendet, welche nachweislich (via Bankauszug) vom Unternehmer bezahlt wurde. Nach zwei Wochen erhält dieser die Nachricht, dass die vom Notar ausgesendete Rechnung noch nicht beglichen wurde – Betrugsalarm. Im Zuge der polizeilichen Anzeige und forensischen Arbeit der Beamten, wurde schnell klar, dass der Rechner des Notar von einem Trojaner namens Emotet (https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html), der bevorzugt Office 365 angreift, befallen und dessen Mail Server manipuliert wurde. Der Notar hat eine korrekte Rechnung mit den korrekten Bankdaten ausgesendet, dabei fing der Trojaner Emotet das entsprechende Email ab, manipulierte dabei das PDF indem der IBAN ausgetauscht wurde und sendete dem Empfänger die angepasste Email zu.

Da der Betrug erst nach zwei Wochen auffiel, konnte nur mehr ein Teil der Summe zurückgerufen werden.

Die Realität ist, Unternehmen investieren viel Geld um ihre Geschäftsgeheimnisse zu schützen indem sie Firewalls, diverse Hardware und Software einsetzen. Geschäftsgeheimnisse sind per Definition nur dann Geschäftsgeheimnisse, wenn sie auch entsprechend geschützt werden. Wenn kein entsprechender Schutz vorhanden ist und Geschäftsgeheimnisse gestohlen werden, handelt der Verantwortliche (GF oder CEO) fahrlässig. Wenn Unternehmen gehackt werden, muss dies sogar gemeldet werden.

Mit der OpenSource Software von difacturo soll der Fahrlässigkeit, bei den Geschäftsgeheimnissen wie Kunden, Lieferanten Preise, Konditionen als Rechnung in ein öffentlich einsehbares System geschrieben werden, ein Ende bereitet werden. Wir machen es erstmals möglich, dass alle Teilnehmer eines Rechnungsprozesses, mit ein und demselben Dokument arbeiten, mit dem Resultat, dass es keine Möglichkeit für Fehleingaben oder Manipulation gibt. Möchten Sie mehr Informationen dazu wie Sie mithilfe von difacturo solchen Betrugsfällen entgegenwirken können? Melden Sie sich für unseren monatlichen Newsletter an und erhalten Sie regelmäßigen relevante Updates zu E-Invoicing, Cybersecurity (u.a. SSI) und Datenschutz.

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.