Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Stell dir vor, du erhältst einen Anruf oder eine Nachricht von deinem unmittelbaren Vorgesetzten – oder vielleicht sogar vom Chef des gesamten Unternehmens. Darin wirst du vor einem hässlichen Vorfall gewarnt. Dieser würde Geldbußen oder andere finanzielle Verluste für das Unternehmen bedeuten, große Probleme für deine Abteilung und eine mögliche Kündigung für dich persönlich bringen. Kalter Schweiß rinnt dir den Rücken herunter, aber es gebe immer noch eine Chance, den Tag zu retten! Natürlich musst du dich beeilen und ein paar Dinge tun, die du normalerweise nicht tust, aber dann wird alles wieder gut…

Halte inne und atme ein paar Mal tief durch. Es besteht eine Chance von 99 %, dass dieser ganze Notfall komplett erfunden ist und die Jungs in der Leitung Betrüger sind. Woran erkennt man einen solchen Angriff und wie schützt man sich?

Anatomie des Angriffs

Diese Art von Betrug gibt es in allen möglichen Varianten. Je nach Land greifen Betrüger auf verschiedene Problembeschreibungen zurück, mit denen das Unternehmen angeblich konfrontiert ist; erwähnen Aufsichtsbehörden, die Polizei oder wichtige Geschäftspartner, die involviert sein sollen; und schlagen alle möglichen Lösungswege vor. Dennoch gibt es eine Reihe von Anhaltspunkten, wichtige psychologische Elemente, ohne die ein solcher Angriff so gut wie unmöglich ist. Und genau an diesen Punkten kannst du den Angriff erkennen.

  1. Autorität des Vorgesetzten oder schlicht Vertrauen in jemanden, den du kennst. Die meisten Menschen reagieren mittlerweile nicht mehr auf skurrile Anfragen von Unbekannten, sei es ein Kommissar, der über Instant Messaging zu erreichen ist, oder ein Bankangestellter, der sich persönlich um dein Wohlergehen sorgt. Diese Betrugsmasche ist anders: Die Person, die sich dem Opfer nähert, scheint eine Person zu sein, die du einigermaßen kennst und die zudem noch ziemlich wichtig ist. Als Köder wählen Betrüger oft das Profil eines Top-Managers. Erstens haben diese Leute Autorität, und zweitens kennt das Opfer die Person wahrscheinlich nicht gut genug, um die unvermeidlichen Unterschiede in der Sprache oder im Schreibstil zu erkennen. Es gibt jedoch Varianten dieser Masche, bei denen die Betrüger sich als Mitarbeiter aus einer relevanten Abteilung ausgeben, z. B. aus der Buchhaltung oder der Rechtsabteilung.
  2. Weiterleitung an eine externe Stelle. In den primitivsten Fällen ist der „Kollege“ oder „Manager“, der sich an dich wendet, auch die Person, von der du eine Finanzanfrage erhältst. In den meisten Fällen schlägt der „Chef“ jedoch nach dem ersten Kontakt vor, die Einzelheiten der Angelegenheit mit einem externen Vertragspartner zu besprechen, der sich an dich wenden wird. Abhängig von den Besonderheiten der Betrugsmasche kann es sich bei dieser „beauftragten Person“ um einen Polizei- oder Finanzbeamten, einen Bankangestellten, Wirtschaftsprüfer usw. handeln. Der „Chef“ bittet dich, der „benannten Person“ größtmögliche Hilfe zu leisten und das Gespräch nicht auf die lange Bank zu schieben. Allerdings können sich die Betrüger bei besonders ausgeklügelten Maschen, wie die, bei der 25 Millionen US-Dollar nach einer Deepfake-Videokonferenz gestohlen wurden, durchweg als Mitarbeiter des Unternehmens ausgeben.
  3. Ein Ersuchen muss dringend sein, damit das Opfer keine Zeit hat, innezuhalten und die Situation zu analysieren. „Die Prüfung ist morgen“, „Die Partner sind gerade angekommen“, „Der Betrag wird heute Nachmittag in Rechnung gestellt“ … lange Rede, kurzer Sinn, du musst jetzt handeln. Betrüger führen diesen Teil des Gesprächs oft per Telefon und weisen das Opfer an, nicht aufzulegen, bis das Geld überwiesen wurde.
  4. Absolute Geheimhaltung. Um zu verhindern, dass sich jemand in die Show einmischt, weist der „Chef“ das Opfer frühzeitig darauf hin, dass es strengstens verboten ist, mit anderen über den Vorfall zu sprechen, da dies katastrophale Folgen haben könnte. Der Betrüger könnte sagen, er habe niemanden, dem er vertrauen kann, oder einige der anderen Mitarbeiter seien kriminell oder dem Unternehmen gegenüber illoyal. Sie werden im Allgemeinen versuchen, das Opfer davon abzuhalten, mit jemandem zu sprechen, bis ihre Forderungen erfüllt sind.
Beispiel für eine betrügerische E-Mail von einem falschen Chef

Beispiel für eine betrügerische E-Mail von einem falschen Chef

 

Angriffsziele

Abhängig von der Tätigkeit und dem Einkommen des Opfers kann ein Angriff unterschiedliche Ziele verfolgen. Wenn das Opfer vom Unternehmen autorisiert wurde, Finanztransaktionen auszuführen, versuchen die Betrüger, es dazu zu überreden, eine dringende geheime Zahlung an einen Anbieter zu leisten, beispielsweise an eine Anwaltskanzlei, um Hilfe bei der Lösung von Problemen zu erhalten – oder das Geld des Unternehmens einfach auf ein „sicheres“ Konto zu überweisen.

Mitarbeiter, die nicht mit Geld umgehen, werden zum Ziel von Angriffen, die darauf abzielen, an Unternehmensdaten wie Kennwörter für interne Systeme oder an ihr eigenes Geld zu gelangen. Betrüger können Dutzende von Hintergrundgeschichten finden, die von einem Datenleck in der Buchhaltung, das das Konto des Opfers gefährdet, bis hin zu der Notwendigkeit, die Liquiditätslücke des Unternehmens bis zum Abschluss der Prüfung zu schließen, reichen können. In jedem Fall wird das Opfer aufgefordert, sein Geld auf irgendeine Weise zu verwenden: es auf ein anderes Konto zu überweisen, Geschenkkarten oder Gutscheine zu bezahlen oder es abzuheben und einer „vertrauenswürdigen Person“ zu übergeben. Um die Überzeugungskraft zu erhöhen, können die Betrüger dem Opfer eine großzügige Entschädigung für deine Ausgaben und Mühen versprechen, die jedoch erst später kommt.

Überzeugender Detailgrad

Social-Media-Beiträge und zahlreiche Datenlecks haben es Betrügern erheblich erleichtert, sorgfältig vorbereitete und personalisierte Angriffe zu starten. Sie können die vollständigen Namen des Opfers, seines unmittelbaren Vorgesetzten, des CEO und der Mitarbeiter in den entsprechenden Abteilungen, z. B. der Buchhaltung, sowie die genauen Namen der Abteilung finden; sie suchen nach Bildern dieser Personen, um überzeugende Instant-Messaging-Profile zu erstellen; und bei Bedarf sogar Sprachproben, um Audio-Deepfakes zu erstellen. Wenn viel Geld auf dem Spiel steht, investieren die Betrüger möglicherweise viel Zeit, um die Show so überzeugend wie möglich zu gestalten. In einigen Fällen wussten die Angreifer sogar, wo sich die Unternehmensabteilungen innerhalb von Gebäuden befanden und wie die Schreibtische der einzelnen Mitarbeiter angeordnet waren.

Technische Seite des Angriffs

Ausgefeilte Betrugsmaschen wie diese beinhalten fast immer einen Anruf der Betrüger. Der erste „Anruf vom Chef“ kann jedoch auch in Form einer E-Mail oder einer Sofortnachricht erfolgen. In einfacheren Versionen des Angriffs erstellen die Betrüger einfach ein neues Instant Messaging- oder E-Mail-Konto mit dem Namen des Vorgesetzten und hacken in komplexeren Fällen ihre Unternehmens-E-Mail- oder privaten Konten. Dies wird als BEC-Angriff (Business E-Mail Compromise) bezeichnet.

Bei Telefonaten nutzen die Betrüger häufig Spoofing-Dienste oder verschaffen sich eine illegale Kopie der SIM-Karte – als Anrufer-ID des Opfers wird dann die allgemeine Telefonnummer des Unternehmens oder sogar die Telefonnummer eines Vorgesetzten angezeigt.

Schadakteure können Deepfake-Sprachgeneratoren verwenden, sodass man sich selbst bei einer bekannten Stimme am anderen Ende der Leitung bezüglich der Authentizität des Anrufers nicht sicher sein kann. Bei Betrügereien wie diesen werden sogar Videoanrufe eingesetzt, bei denen das Gesicht des Anrufers ebenfalls ein Deepfake ist.

So schützt du dich vor Betrügern

In erster Linie sind Wachsamkeit und der Mut, die Informationen trotz der Drohungen der Betrüger zu überprüfen, zwei Dinge, die dich vor solchen Angriffen schützen können.

Gehe die Dinge langsam an und gerate nicht in Panik. Die Betrüger wollen dich aus dem Gleichgewicht bringen. Bleibe ruhig und überprüfe noch einmal alle Fakten. Auch wenn dein Gesprächspartner darauf besteht, dass du den Hörer nicht auflegst, kannst du so tun, als ob der Anruf unterbrochen wurde. Dies verschafft dir etwas Zeit, um weitere Fakten zu überprüfen.

Achte auf die Adresse, die Telefonnummer und den Benutzernamen des Absenders. Wenn du es gewohnt bist, mit deinem Chef per E-Mail zu kommunizieren, aber plötzlich eine Sofortnachricht von einer unbekannten Nummer in seinem Namen erhalten, solltest du auf der Hut sein. Wenn du schon immer über eine Instant-Messaging-App gesprochen hast und eine neue Nachricht erhältst, deren Verlauf jedoch nicht vorhanden ist, verwendet jemand ein neu erstelltes Konto – dies ist ein wichtiges Warnsignal. Leider verwenden Cyberkriminelle manchmal gefälschte E-Mail-Adressen, die nur schwer von den echten zu unterscheiden sind, oder gehackte E-Mail- oder Instant Messaging-Konten. All dies erschwert die Erkennung von Fälschungen erheblich.

Achte auf kleine Details. Wenn sich eine dir bekannte Person mit einer seltsamen Bitte an dich gewandt hat, gibt es dann irgendwelche Hinweise darauf, dass es sich bei der Person um einen Betrüger handelt? Sehen die E-Mails irgendwie ungewöhnlich aus? Werden uncharakteristische Redewendungen verwendet? Sprecht ihr euch normalerweise mit Vornamen an, jetzt aber wird eine formelle Anrede verwendet? Versuche, die Person nach etwas zu fragen, das nur die echte Person weiß.

Sei skeptisch, wenn du eine ungewöhnliche Anfrage erhältst. Wenn dein Chef oder Kollege dich dringend auffordert, etwas Ungewöhnliches zu tun und dies obendrein geheim zu halten, ist dies fast immer ein Zeichen für Betrug. Daher ist es wichtig, dass du die erhaltenen Informationen und die Identität des Gesprächspartners überprüfst. Das Mindeste, was du tun kannst, ist, diese Person über einen anderen Kommunikationskanal zu kontaktieren. Es ist am besten, sich persönlich zu treffen, aber wenn das nicht möglich ist, rufe die Büro- oder Privatnummer an, die du in deinem Telefonbuch hast, oder gib die Nummer manuell ein, aber nutze nicht die Wahlwiederholung mit der zuletzt eingegangenen Nummer, um nicht wieder zu den Betrügern zurückzukehren. Verwende alle anderen verfügbaren Kommunikationskanäle. Die Handynummer, mit der du angerufen wurdest – selbst wenn es sich um die echte Nummer deines Chefs oder Kollegen handelt, die du in deinem Telefonbuch gespeichert hast – könnte durch einen SIM-Tausch oder einen einfachen Telefondiebstahl kompromittiert worden sein.

Erkundige dich bei deinen Kollegen. Auch wenn du aufgefordert wirst, „alles geheim zu halten“, kann es je nach Art der Anfrage nicht schaden, die Informationen gemeinsam mit deinen Kollegen zu überprüfen. Wenn du eine Nachricht von einer Person aus der Buchhaltung erhältst, wende dich an andere Personen in derselben Abteilung.

Informiere deine Kollegen und die Strafverfolgungsbehörden. Wenn du eine solche Nachricht erhältst, bedeutet dies, dass Betrüger dein Unternehmen und deine Kollegen im Visier haben. Wenn ihre Tricks bei dir nicht funktionieren, versuchen sie es in der nächsten Abteilung. Warne deine Kollegen, warne den Sicherheitsdienst und melde den Betrugsversuch der Polizei.

Tipps