Du musst Regestriert sein, um das angehängte Bild zusehen.
Beim BEC-Betrug (Business-E-Mail Compromise) manipulieren Täter digital versandte Rechnungen für tatsächlich erbrachte Leistungen, um Geld auf ihre eigenen Konten umzuleiten.Das Kommissariat 7 der Bezirkskriminalinspektion Kiel, zuständig für Cybercrime-Ermittlungen, warnt vor einer zunehmenden Anzahl von Betrugsversuchen mittels BEC-Betrug.
Was ist BEC-Betrug?
In jüngster Zeit tritt das Phänomen des BEC-Betrugs verstärkt im Bereich Cybercrime auf.Betroffen sind vor allem Gewerbetreibende und Unternehmen jeglicher Größe und Branche weltweit.
Die Schäden belaufen sich teilweise auf sechs- bis siebenstellige Beträge.
Privatpersonen waren bisher nicht Ziel von Betrugsversuchen.
Beim BEC-Betrug manipulieren die Täter digitale Rechnungen für bereits erbrachte Leistungen oder Warenlieferungen.
Ihr Ziel ist es, die Rechnungen so zu verändern, dass die Zahlungen auf ihre eigenen Konten fließen.
Die gefälschte Rechnung gelangt dann mit der ursprünglichen E-Mail in das Postfach des Empfängers.
Gemäß einer Pressemitteilung ist es für den Verbraucher oft schwer, diese gefälschten E-Mails zu erkennen.
Die E-Mail-Adresse des Absenders und der Inhalt der Nachricht bleiben unverändert.
Lediglich das angehängte PDF-Dokument (die eigentliche Rechnung) wurde manipuliert, um Geld auf die Konten der Cyberkriminellen umzuleiten, hierin besteht der BEC-Betrug.
Der Empfänger der Rechnung überweist arglos den geforderten Betrag.
Dieser landet jedoch nicht beim legitimen Verkäufer, sondern auf den Konten der Betrüger.
Oft wird der Betrug erst Tage oder Wochen später entdeckt, wenn der Verkäufer seine Zahlungseingänge überprüft und eine Zahlungserinnerung sendet.
BEC-Betrug ist schwer zu erkennen, da er in der Regel keine Malware oder bösartige URLs enthält, die von gängigen Cyberabwehrprogrammen erkannt werden können. Stattdessen beruht der BEC-Betrug auf Identitätsdiebstahl und anderen Social-Engineering-Techniken, um Menschen dazu zu bringen, im Sinne des Angreifers zu handeln.
BEC-Betrug – verschiedene Varianten
Beim BEC-Betrug lassen sich grob mehrere Varianten unterscheiden:Variante 1:
Die Täter verwenden die echte E-Mail-Adresse des Unternehmens, das die Rechnung stellt.Oft haben sich die Täter zuvor durch Phishing-Mails Zugang zum E-Mail-Account des Unternehmens verschafft oder geben die korrekte E-Mail-Adresse vor.
Variante 2:
Die Mailserver des Unternehmens, das die Rechnung erhalten soll, werden angegriffen.Die Täter erhalten Zugriff auf die Kontodaten und ändern die Rechnung mithilfe spezieller Software in wenigen Sekunden.
Variante 3:
Die Täter richten eine sehr ähnliche E-Mail-Adresse ein (z.B. mit vertauschten Buchstaben).Ihr Ziel ist oft der Versand einer gefälschten Rechnung mit geändertem Zielkonto.
Was sollten Mitarbeiter von betroffenen Firmen beachten?
- Wenn Cyberkriminelle gefälschte Rechnungen in Deinem Namen versenden, muss davon ausgegangen werden, dass Dein E-Mail-Konto oder E-Mail-Server gehackt wurde. In diesem Fall sollte sofort das Passwort geändert und die E-Mail-Filter sowie Weiterleitungsregeln überprüft werden.
- Bei Versand von Rechnungen per E-Mail sollte nicht die „allgemeine“ E-Mail-Adresse (z.B. info@firma.de) verwendet werden.
- Bei Unregelmäßigkeiten sollte man den E-Mail-Anbieter kontaktieren.
- Zur leichteren Erkennung manipulierter E-Mails sollten PGP/S-MIME-basierte Signierungen/Verschlüsselungen genutzt werden.
BEC-Betrug: Hinweise für Käufer und Empfänger von E-Mails
- Vergleiche die Angebotsdaten mit den Rechnungsdaten, um Veränderungen festzustellen.
- Vergleiche die Kontodaten auf der Rechnung mit denen auf der Firmen-Homepage.
- Sei besonders auf ausländische Bankverbindungen aufmerksam, dies sollte skeptisch machen.
- Überprüfe bei ungewöhnlichen E-Mails telefonisch die Richtigkeit der Bestellung.
- Bei verdächtigen Nachrichten sofort den Rechnungssteller kontaktieren.
- Bestätigt sich der Betrugsverdacht, unverzüglich die Polizei informieren und versuchen, bereits getätigte Überweisungen bei der Bank rückgängig zu machen.
- Nutze am besten Vorlagen in Deinem Banking-Workflow, um bereits verwendete IBANs wiederzuverwenden.
