Wenn Behörden unprofessionell arbeiten, wie sollen dann Unternehmen vor Scams geschützt sein?
Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Ein internationales Team von Cyberkriminellen hat seinen moralischen Tiefpunkt erreicht. Ein ausgeklügelter Online-Betrug wurde dabei in die Wege geleitet, bei dem der gegenwärtige Bedarf an medizinischer Ausrüstung zur Bekämpfung von COVID-19 ausgenutzt wird.
Gerade wenn man glaubt, dass auch Betrüger nur Menschen seien, hört man von einem multinationalen Betrugsteam, das in der Zeit, in der es am dringendsten benötigt wird, Geld von Gesundheitsorganisationen erbeutet. Die Kriminellen gaben sich als eine legitime Firma beispielsweise in Spanien aus, die persönliche Schutzausrüstung (PSA) verkauft und nahmen eine Bestellung der deutschen Gesundheitsbehörden im Wert von über 1,5 Millionen Euro in Form von Schutzmasken entgegen. Die Betrüger nutzten auch Social Engineering, um am Tag vor der angeblichen Lieferung der gekauften Masken weitere 880.000 Euro einzusammeln. Gerade bei den Behörden sollte davon auszugehen sein, dass sie mit Beschaffungsexperten ausgestattet sind. Sie macht einen fatalen Fehler. Selbstverständlich sind die Masken nie geliefert worden.
Fälschlicherweise wurde eine Banküberweisung nach Irland veranlasst. Kurz vor dem Liefertermin wurden die deutschen Gesundheitsbehörden darüber informiert, dass die Gelder nicht eingegangen waren und dass eine Notüberweisung von 880.000 Euro direkt an den niederländischen Lieferanten erforderlich war, um die Ware zu sichern. Die Deutschen schickten die Überweisung, aber die Masken kamen nie an. Es stellte sich heraus, dass die niederländische Firma zwar existierte, ihre Website jedoch ebenfalls geklont worden war.
Inzwischen wurde eine Untersuchung eingeleitet, denn die deutschen Gesundheitsbehörden bemerkten, dass sie Betrügern auf den Leim gegangen waren. Die weltweite Knappheit von PSA hat zu einer erhöhten Online-Nachfrage nach entsprechenden Artikeln geführt und damit auch zu mehr Betrugsmöglichkeiten.
Alles, was es brauchte, war das Erstellen einer Website und das Ausnutzen der Bedürftigkeit eines Opfers, um einen schweren Betrug durchzuführen. Die COVID-19-Pandemie bietet die perfekte Gelegenheit, da das Lebens- und Todespotential des Virus die richtige Dringlichkeit dafür schafft, dass Social-Engineering-Betrügereien einwandfrei funktionieren.
Einer der größten bisher aufgedeckten Betrügereien wird von Interpol und dem National Economic Crime Bureau der Garda untersucht. In dem Fall geht es um einen Betrug in Höhe von 14,7 Millionen Euro bei der Lieferung von Antiviren-Gesichtsmasken. Es handelt sich bei dem Opfer um das Bundesland Nordrhein-Westfalen. Auch eine Firma aus Hamburg fiel auf die internationale Organisation herein. Dabei zahlten sie 2,4 Millionen Euro an die Betrüger.
Nachdem festgestellt worden war, dass es sich bei dem Kauf um einen Betrug handelte, wurden Behörden in Deutschland, Irland, Holland und Spanien eingeschaltet, wo alle überwiesenen Gelder wieder eingezogen und eingefroren wurden. Ein irischer Staatsangehöriger wurde festgehalten und zu dem Betrug befragt.
Es stellt sich besonders die Frage, wie solch hohe Summen leichtsinnig ausgezahlt werden. Der vorliegende Fall zeigt jedoch besonders eines: Die Behörden sind im Punkt Cybersicherheit noch nicht im Jahr 2020 angekommen. Social-Engineering-Bedrohungen, also das Ausnutzen einer zeitlichen Drucksituation, um schnelles und leichtsinniges Handeln zu bewirken, ist letztlich nichts neues. In Zeiten wie diesen ist es für Mitarbeiter wichtig, sich daran zu erinnern, dass nur weil eine E-Mail oder eine Webseite ein interessantes Angebot enthält, dies nicht bedeutet, dass die E-Mail oder die Website legitim ist. Ein Security-Awareness-Training hilft den Mitarbeitern zu verstehen, wie mit solchen Methoden versucht wird Zugangsdaten, Bankdaten, Kreditkarteninformationen oder in diesem Fall direkte Zahlungen à la CEO-Fraud abzuphishen.