CEO-Fraud durch Social Engineering in Hongkong: Deutscher Mittelstand unterschätzt Bedrohung

PrintMailRate-it

veröffentlicht am 14. Juni 2019 | Lesedauer ca. 6 Minuten

Autor: Marc Tschirner
 

Der Dämon unter der bemalten Haut: Teil I
  
Seit Jahren häufen sich die Schlagzeilen in deutschen Zeitungen, dass Unternehmen und hochrangige Führungskräfte um Millionensummen betrogen werden. Gerade mittelständische Unternehmen wägen sich oftmals in trügerischer Sicherheit, da sie sich als zu klein für solche Angriffe empfinden. Eine fatale Fehleinschätzung.

 

 

Weltweit nimmt nämlich die Zahl der Unternehmen, die den immer ausgeklügelteren E-Mail basierten Betrugsversuchen zum Opfer fallen, dramatisch zu. Dazu bedarf es keiner ausgefeilten Hacking-Techniken, im Gegenteil, die Betrugsmasche ist in ihrer vermeintlichen Simplizität beinahe bestechend. Wenige Schritte genügen, um die Sicherheit Ihres Unternehmens gegen solche Angriffe von außen signifikant zu stärken und im Falle eines Vermögensschadens die Chancen auf Rückerlangung des Geldes zu erhöhen.
 

CEO Fraud – Genereller Überblick

In der breiten Grauzone zwischen professionellem Hacking und dem hinlänglich bekannten Vorauszahlungs­betrug vornehmlich aus Nigeria initiiert, auch 4191 genannt, hat sich in den letzten Jahren mit Hongkong als Drehscheibe eine neue Betrugsmasche als Massendelikt etabliert, die auf „Social Engineering”2,  cleverer Täuschung und der geschickten Verwendung öffentlich zugänglicher Informationen beruht. Dabei handelt es sich um den CEO Fraud einerseits und andererseits in einer Variante desselben um den Payment Diversion Fraud, auf den wir in einem gesonderten Beitrag eingehen werden.
 

Beim CEO Fraud nehmen die Täter nach detaillierter Recherche und meistens mit gefälschten E-Mail-Adressen Kontakt zu Mitarbeitern von Unternehmen auf, geben sich als Führungskraft oder Lieferant aus und veranlassen die Mitarbeiter unter Vorspiegelung einer betrieblichen Transaktion oder einer vermeintlich legitimen Rechnung zur Überweisung größerer Geldsummen ins Ausland. Als Transferziel werden in der Regel Banken in Hongkong, aber auch direkt in der Volksrepublik China angegeben. Zwar erscheint das als ein sehr einfach zu durch­schauender Trick, aber viele Unternehmen überweisen ständig größere Beträge ins In- und Ausland und somit ist ein derartiger Vorgang für den Mitarbeiter in der Finanzbuchhaltung per se nicht außergewöhnlich. Die Anweisungen des Täters weisen in der Regel darauf hin, dass eine sofortige Überweisung geboten ist, wobei die Begründungen für die vorzunehmende Zahlung unterschiedlich sind. Vorwiegend handelt es sich um eine angeblich unaufschiebbare und äußerst sensible Transaktion, bspw. um einen wichtigen Vertragsabschluss abzuwickeln oder um einen größeren Verlust für die Firma abzuwenden. Berater und Aufsichtsbehörden sind ebenfalls oft Teil eines solchen Szenarios.
 

Täter bauen darauf, dass die firmeninterne Beziehung zwischen der für die Zahlung verantwortlichen Person und dem Auftrag gebenden „Geschäftsführer” so ist, dass der Zahlungsauftrag nicht als ungewöhnlich erscheint. Funktioniert die Vorgehensweise nicht, sind Täter darauf bedacht, geschickt den Druck zu erhöhen oder versuchen, sich die in vielen insbesondere klein– und mittelständischen Unternehmen vorhandenen patriarchalischen Führungsstrukturen und starken Hierarchiegefüge zu Nutze zu machen, was in beiden Fällen dazu führt, dass der Auftrag ohne Nachfrage ausgeführt wird und dabei im schlimmsten Falle existierende Prozessvorgaben, wie das Vier-Augen-Prinzip, umgangen werden.
 

Hintergrund

Der Fachbegriff für solche Delikte lautet in chinesischen Polizeikreisen „Huàpí zhàpiàn”, was sinngemäß so viel bedeutet wie „Betrug mit der bemalten Haut”. Die Begrifflichkeit geht auf eine Erzählung aus den Liáozhāi Zhìyì, „den seltsamen Geschichten aus dem Studierzimmer” zurück, einer Sammlung von 500 Mythen und Legenden, Volksmärchen, Fabeln, zeitgenössischen Anekdoten und Kriminalfällen aus dem 17. Jahrhundert des Autors Pu Songling.
 

In der Geschichte verfällt ein Gelehrter namens Wang einem bildschönen obdachlosen Mädchen, welches er am Wegesrand aufliest und bei sich aufnimmt. Zwischen den beiden entwickelt sich eine Romanze, doch die Schönheit des Mädchens ist nur ein Trugbild und entpuppt sich als eine übergestülpte „schön bemalte” Haut unter der ein grässlicher Dämon sein Dasein fristet. Wang versucht den Dämon zu vertreiben, doch dieser gerät in Wut, reißt Wang das Herz heraus und frisst es auf.
 

Die Folgen in der Realität sind weniger blutig, aber nicht minder erschreckend. Laut Schätzungen des amerikanischen Federal Bureau of Investigation (FBI) haben diese und vergleichbare Delikte jährliche Zuwachsraten von weit über 100 Prozent und verursachten im Zeitraum von Oktober 2013 bis Dezember 2018 Schäden in Höhe von 12,5 Milliarden USD3. Nicht inbegriffen ist die hohe Zahl der Fälle, die nach wie vor im Verbogenen bleiben bzw. nicht zur Anzeige gebracht werden. Einer großen Wirtschaftsprüfungsgesellschaft zufolge ergab eine repräsentative Befragung unter 500 deutschen Unternehmen, dass 40 Prozent der be-fragten Firmen innerhalb der vergangenen 24 Monate zumindest einmal zum Ziel einer „CEO Fraud”-Attacke wurden, wobei die Kriminellen in fünf Prozent der Fälle Erfolg hatten.4

 

Modus Operandi

Der mehrstufige Ablauf der Betrugsmasche gestaltet sich meist wie folgt:
  • Der Täter sichert sich einen Internet-Domainnamen, der dem des Zielunternehmens oder seiner Zulieferer/Geschäftspartner optisch sehr ähnelt und sich nur durch Auslassen, Auswechseln oder Hinzufügen von einzelnen Buchstaben oder Ziffern bzw. durch Abänderung der Endung bspw. von „com” auf „net” unterscheidet. Ein besonders perfider Trick hierbei ist es, bestimmte Buchstaben einfach durch täuschend ähnlich aussehende zu ersetzen. Der Buchstabe „L” in seiner kleingeschrieben Variante „l” kann z. B. sehr simpel durch ein großes „I” ersetzt werden. Für den Laien ist der von Experten auch als „Spoofing” bezeichnete Schwindel nahezu kaum erkennbar. Als Spoofing bezeichnen Experten bspw. die Fälschung des Headers von E-Mails um die Herkunft der Mail zu verschleiern.
  • Für die Beschaffung von Erstinformationen über das Zielunternehmen sind die sozialen Medien und Netzwerke eine wahre Fundgrube. Social-Media-Portale wie Xing oder LinkedIn sind für Täter besonders attraktiv, weil dort Informationen über geschäftliche Beziehungen oder die Identität und Funktion von Mitarbeitern zu finden sind, wobei ein Schwerpunkt der Aktivitäten insbesondere leitenden Mitarbeitern der Finanzabteilung und der Unternehmensführung gilt. Weitere Quellen können das Handelsregister, die Webseite des Unternehmens oder andere öffentlich einsehbare Quellen sein.
  • Die Täter bedienen sich dabei des sog. „Social Engineering”,  um an den Namen und die E-Mail-Adresse eines Mitarbeiters des Zielunternehmens zu gelangen, der üblicherweise mit der Ausführung von Überwei-sungen betraut ist. Das geschieht oftmals durch telefonische Kontaktaufnahme, um die An- oder Abwesenheit des Geschäftsführers in Erfahrung zu bringen. In anderen Fällen ruft der Täter Mitarbeiter eines Unternehmens an und gibt sich bspw. als Bankmitarbeiter aus, der Fragen zu einer Überweisung hat. Der Fantasie sind insofern keine Grenzen gesetzt. Ziel ist i.d.R. die Namen und E-Mail-Adressen zuständiger Personen in der Finanzabteilung zu erhalten.
  • Die vorab beschriebene Datensammlung hilft dem Täter bei der Manipulation und dabei, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf oder nutzt Autoritätsaspekte aus, indem er bspw. Bezüge zu Aufsichtsbehörden wie der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) herstellt. Bei mangelnder Kooperationsbereitschaft des Opfers droht der Täter üblicherweise dessen Vorgesetzten zu involvieren. Mit der nur vordergründig simpel erscheinenden Vorgehensweise ist es nicht unüblich, dass Täter mit nur wenigen Versuchen an die gewünschten Informationen gelangen. Mit diesen hat der Täter zwei wesentliche Werkzeuge des Betrugs in der Hand: den Namen und die E-Mail-Adresse einer Person, die zur Ausführung von Überweisungen berechtigt ist. Das Format der E-Mail-Adressen des Unternehmens kann durch eine einfache Google-Recherche herausgefunden werden.

 

Vereinfacht gesagt, handelt es sich bei der beschriebenen Vorgehensweise um eine Art Puzzlespiel, mit dem erfahrene Täter innerhalb weniger Stunden die notwendigen Vorbereitungen für ihren Betrugsversuch schaffen.
 

Der nächste Schritt besteht darin, eine fast täuschend echte E-Mail mit dem gefälschten Domainnamen an die Person zu versenden, die befugt ist, Überweisungen anzuweisen. Durch die sehr geschickt hergestellte Ähnlichkeit der E-Mail-Adresse glaubt der betroffene Mitarbeiter, eine E-Mail von seinem CEO zu erhalten, in der er aufgefordert wird, umgehend eine Überweisung auf ein bestimmtes Bankkonto zu senden – selbstverständlich zusammen mit einer plausiblen Erklärung, warum das Geld überwiesen werden soll.
 

Hongkong als Drehscheibe

Gleichwohl ein Teil Chinas, aber durch den politischen Status „Ein Land, zwei Systeme” bis 2047 gegenüber der Volksrepublik vertraglich abgesichert, stellt Hongkong mit seinem wirtschaftsfreundlichen Bankenumfeld und extrem liberalen Wirtschaftssystem einen gefundenen Nährboden für solche Transaktionen dar. Die unkomplizierte Gründung und Schließung von Gesellschaften sowie hohe Transaktionsvolumina sind für eine internationale Handelsmetropole nichts Ungewöhnliches. Viele der in der VR China ansässigen Täter, die in Hongkong über Scheingesellschaften und Bankkonten verfügen, nutzen den vorbezeichneten Status und die räumliche Nähe zur Volksrepublik für ihre kriminellen Zwecke aus. In der Regel verbleiben die betrügerisch vereinnahmten Gelder nur kurze Zeit in Hongkong, bevor sie dann anschließend sternförmig auf Konten in Hongkong, meist aber ins Ausland – mit Schwerpunkt in die VR China – weiterverteilt werden. Ein Umstand, der die Rechtsverfolgung zusätzlich erschwert. Aus diesem Grund ist bei der Einleitung von Wiederbeschaffungs­maßnahmen höchste Eile geboten.
 

So schützen Sie Ihr Unternehmen

Wir empfehlen Unternehmen folgende Präventivmaßnahmen:
  • Führen Sie ein internes Kontrollsystem (IKS) ein, in dem alle wichtigen Schutz- und Handlungsmaßnahmen für die Führungskräfte und Mitarbeiter hinterlegt sind.
  • Begleitend zur Einführung des IKS: Sensibilisieren und schulen Sie regelmäßig die Mitarbeiter des Unternehmens, insbesondere Mitarbeiter der Abteilung Finanzen und Buchhaltung, um das Problembewusstsein zu schärfen.
  • Überprüfen Sie, welche Informationen über Ihr Unternehmen öffentlich sind bzw. wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren. Je weniger Interna Sie auf der Firmenwebseite preisgeben, umso besser ist Ihr Unternehmen geschützt. Die Publikation von internen E-Mail-Adressen oder direkten Durchwahlnummern, insbesondere der Finanzbuchhaltung, verstehen Betrüger geradezu als Einladung.
  • Geben Sie bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Informationen preis und befolgen Sie keine Anweisungen, auch wenn Sie sich unter Druck gesetzt fühlen.
  • Informieren Sie im Schadenfall unverzüglich Ihre Bank, die Polizei und Ihren Anwalt.

 
1 § 419 ist der Strafrechts-Paragraph, der sich mit dem Vorauskasse-Betrug in Nigeria vor Erlass der Vorauszahlungsverordnung Nr. 13 im Jahre 1995 befasste.
2 Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft”, auch „soziale Manipulation”) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. (Quelle: Wikipedia)
3 FBI Public Service Announcement I-071218, “Business E-Mail Compromise the 12 Billion Dollar Scam”

4 PriceWaterhouseCoopers, Wirtschaftskriminalität in Deutschland, 2018

 

 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu