Payment Diversion Fraud in Hongkong mittels Social Engineering

PrintMailRate-it

veröffentlicht am 1. Juli 2019 | Lesedauer ca. 5 Minuten

Autor: Marc Tschirner
 

Der Dämon unter der bemalten Haut: Teil II
  
In unserem zweiteiligen Beitrag zu wirtschaftskriminellen Handlungen geben wir Ihnen heute einen kurzen Überblick zum sogenannten Payment Diversion Fraud, zu Deutsch „dem Umleiten von Zahlungs­­­strömen”. Neben dem CEO Fraud handelt es sich hierbei eine relativ simple Betrugs­masche, die gnadenlos aufzeigt, wo Schwachstellen und Angriffspunkte im Unternehmen vor­handen sind. Beginnen möchten wir mit einem Überblick zum möglichen Tatvorgang.

 

 

 

Payment Diversion Fraud – Genereller Überblick

Im Unterschied zum CEO Fraud, bei dem die Täter sich als vermeintliches Vorstandsorgan gerieren, geben sich die Täter hierbei als Lieferant oder Geschäftspartner des Zielunternehmens aus und verleiten Mitarbeiter dazu, mittels gefälschter Mitteilungen Entgelte für Waren oder Dienstleistungen auf andere als die sonst üblichen Konten zu überweisen, indem eine vermeintlich neue Bankverbindung fingiert wird.

 

Üblicherweise geschieht das durch Verwendung eines Domainnamens, der täuschend dem eines tatsächlichen Lieferanten des Zielunternehmens ähnelt oder bei dem es sich tatsächlich um den E-Mail Account eines Lie­feran­ten handelt, der im Vorfeld der Tat von den Betrügern durch das Einschleusen von Schadsoftware oder durch Phishing gekapert wurde. Beim Payment Diversion Fraud müssen die Täter lediglich wissen, wer das Ziel­unternehmen beliefert.

 

Social Engineering sei Dank, ist das oftmals aber leichter als gedacht und sei an folgendem Beispiel illustriert:

Im Rahmen einer Transparenzoffensive, die zur Übernahme von unternehmerischer Verantwortung, ver­stärkter Zusammenarbeit im nationalen sowie internationalen Handel und schließlich zur besseren Um­setzung von Sozial- und Umweltstandards in Produktionsländern führen soll, sind führende deutsche Dis­counter und Einzelhandelsunternehmen dazu übergangen, ihre Zulieferer im Textilbereich mit Adresse im Inter­net offen­zulegen. Da diese Zulieferer häufig in Ländern des panasiatischen oder auch afrikanischen Raums ver­ortet werden können und es sich oftmals um Betriebe mit limitiertem Bewusstsein für Cyber Crime, Compli­ance und IT-Sicher­heitsstrukturen handelt, ist es für Täter erheblich einfacher Social Engineering zu betreiben. Alternativ wird auch das Einschleusen von Schadsoftware bzw. Phishing – bezeichnet den Versuch über be­trügerische E-Mails und Kopien von legalen Websites an Finanz­daten und sonstige personenbezogene Informa­tionen von ahnungs­losen Computernutzern zu gelangen – genutzt, um an die für sie relevanten Daten zu ge­langen.

 

Haben die Täter mittels gefälschter oder „gehackter” Accounts des Lieferanten erst einmal die Kontrolle über die Kommunikation zwischen Lieferant und Zielunternehmen gewonnen, sind ihre Aussichten auf Erfolg ungleich höher, da die Gelder ja nur auf ein anderes, unter der Kontrolle der Täter stehendes Bankkonto umgeleitet werden müssen, während alle anderen Informationen zum üblichen Zahlungsprocedere des Zielunternehmens, das von einem „ihm bekannten Lieferanten” kontaktiert wird, passen.

 

Das zeitnahe Entdeckungsrisiko eines solchen Payment Diversion Fraud ist äußerst überschaubar: Oftmals kommt die Sache erst dann ans Licht, wenn das geschädigte Unternehmen von seinem wahren Lieferanten wegen der Zahlung offenstehender Forderungen angemahnt wird. Opfer sind häufig kleine und mittel­stän­dische Unternehmen. Die Deliktssummen liegen im fünf- bis sechsstelligen Bereich. Doch für die invol­vierten Unter­nehmen kann es noch schlimmer kommen: Je nach Fallkonstellation, insb. bei Identitäts­diebstahl mittels Schadsoftware, kommt zudem ein Verstoß gegen die Datenschutz­grundverordnung (DSGVO) in Be­tracht. Unternehmen haben maximal 72 Stunden ab Kenntnis­erlangung von einer Datenpanne1, um sie entsprechend anzuzeigen. Als Datenpanne im Sinne der Verordnung gelten insb. auch
  • unbefugtes Offenlegen von Daten, z.B. Fehlversendungen von E-Mails oder 
  • unbefugte Zugriff auf Daten, z.B. Zugriff durch Hacker oder durch nicht befugte Mitarbeiter bzw. Dritte.

Im schlimmsten Fall können sogar sowohl der tatsächliche Lieferant (Identitätsdiebstahl) als auch das ge­schädigte Unternehmen (Fehlversendungen einer E-Mail aufgrund von Täuschung bzw. Zugriff auf Daten durch nicht befugte Dritte (gefälschte Rechnung) noch in den „Strudel” der DSGVO geraten.

 

Zuwiderhandlungen gegen die DSGVO können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 Prozent des Konzernumsatzes belegt werden. 

 

Beispiele einer Datenpanne:
  • Vernichtung von Daten, z.B. Daten wurden gelöscht/zerstört, können nicht wiederhergestellt werden
  • Verlust von Daten, z.B. gestohlener Laptop, verschlüsselte Daten durch Ransomware
  • Unbefugtes Offenlegen von Daten, z.B. unbeabsichtigte Veröffentlichung im Internet, unbeabsichtigter Zugriff von außen auf eine interne Datenbank, Fehlversendungen per Post oder E-Mail
  • Unbefugter Zugriff auf Daten, z.B. Zugriff durch Hacker oder nicht befugte Mitarbeiter

Gem. Art. 33 Abs. 1 DSGVO sind Verantwortliche nach Eintritt einer Datenpanne zu einer Meldung an die Auf­sichts­behörden verpflichtet. Dabei sollte beachtet werden, dass durch die Meldung an die Behörden grund­sätzlich eine Selbstbelastung vorliegt, was wiederum zu einer möglichen strafrechtlichen Verfolgung führen kann. Darüber hinaus wird durch die Behörden ein Mindestinhalt verlangt, der vor der Versendung der Meldung an­walt­lich und fachgerecht bewertet werden sollte, um mögliche Risiken zu minimieren.
 

So schützen Sie ihr Unternehmen

Wir empfehlen Unternehmen folgende Präventivmaßnahmen:

 

1. Führen Sie ein internes Kontrollsystem (IKS) ein, in dem alle wichtigen Schutz- und Handlungsmaßnahmen für die Führungskräfte und Mitarbeiter hinterlegt sind.
 
2. Begleitend zur Einführung des IKS: Sensibilisieren und schulen Sie regelmäßig die Mitarbeiter des Unter­nehmens, insb. Mitarbeiter der Abteilung Finanzen und Buchhaltung, um das Problembewusstsein zu schärfen. 
 
3. Überprüfen Sie, welche Informationen über ihr Unternehmen öffentlich sind bzw. wo und was Sie und ihre Mitarbeiter im Zusammenhang mit ihrem Unternehmen publizieren. Je weniger Interna Sie auf der Firmen­website preisgeben, umso besser ist das Unternehmen geschützt. Die Publikation von internen E-Mail-Adressen oder direkten Durchwahlnummern – insb. zur Finanzbuchhaltung – verstehen Betrüger geradezu als Ein­ladung. 

 

4. Geben Sie bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Informationen preis und befolgen Sie keine Anweisungen, auch wenn Sie sich evtl. unter Druck gesetzt fühlen. 

 

5. Informieren Sie im Schadensfall unverzüglich Ihre Bank und Ihren Anwalt.
 
1 Art. 4 Nr. 12 EU-DSGVO: „Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu