Beim BEC-Scam verschicken Täter digital versandte Rechnungen für tatsächlich erbrachte Leistungen, die man zuvor manipuliert hat.
Das für Ermittlungen im Bereich Cybercrime zuständige Kommissariat 7 der Bezirkskriminalinspektion Kiel warnt vor zahlreichen Betrugsversuchen mithilfe von BEC-Scam.
Was ist BEC-Scam?
Dieses im Fachjargon als BEC-Scam (Business-E-Mail Compromise) bezeichnete Phänomen aus dem Deliktsbereich Cybercrime tritt in den letzten Monaten verstärkt auf. Die Betrugsversuche betreffen vor allem Gewerbetreibende und Unternehmen aller Größenordnungen und Branchen weltweit. Teilweise entstehen dabei Schäden im sechsstelligen Bereich. Privatpersonen waren von den Betrugsversuchen bislang nicht betroffen.
Bei einem BEC-Betrug fangen die Täter digital versandte Rechnungen für tatsächlich erbrachte Leistungen oder Warensendungen ab. Ihnen geht es darum, die Rechnungen zu manipulieren. Dabei werden die echten Kontodaten des Rechnungsstellers (IBAN und Bankname) durch die Kontodaten der Täter ersetzt. Die so gefälschte Rechnung gelangt dann mit der Original-E-Mail in das Postfach des Empfängers.
Der Verbraucher erkennt diese E-Mails nach Angaben der Pressemitteilung womöglich nicht als Fälschung. Die E-Mail-Adresse des Absenders und der Inhalt der E-Mail bleibt unverändert. Lediglich das angehängte PDF-Dokument (die eigentliche Rechnung) hat man manipuliert, damit das Geld auf den Konten der Cyberkriminellen landet. Darum geht es ja schließlich beim BEC-Scam.
Der Rechnungsempfänger überweist daraufhin gutgläubig den entsprechenden Betrag. Dieser landet jedoch nicht beim Verkäufer, sondern auf den Konten der Täter. Meist fällt der Betrug erst Tage oder Wochen später auf, wenn der Verkäufer seine Zahlungseingänge überprüft und dem Käufer eine Zahlungserinnerung schickt.
Einen BEC-Scam kann man nur schwerlich erkennen, da sie in der Regel keine Malware oder bösartige URLs enthalten, die von Standard-Cyberabwehrprogrammen analysiert werden können. Stattdessen basiert der BEC-Scam auf dem Vortäuschen einer fremden Identität und anderen Social-Engineering-Techniken, die Menschen dazu verleiten sollen, im Sinne des Angreifers zu handeln.
BEC-Scam – mehrere Varianten aufgetaucht
Beim BEC-Scam kann man grob zwischen mehreren Varianten unterscheiden.
Variante 1:
Die Täter verwenden die echte E-Mail-Adresse des Unternehmens, das die Rechnung stellt. Häufig haben sich die Täter zuvor – meist durch eine vorgängige Phishing-Mail – Zugang zum E-Mail-Account des Unternehmens verschafft. Oder aber man täuscht die korrekte E-Mail-Adresse vor.
Variante 2:
Die Mailserver des jeweiligen Unternehmens, das die Rechnung erhalten soll, werden angegriffen. Auch hier gelangen die Täter an die Zugangsdaten des Accounts und ändern mit Hilfe einer speziellen Software die Rechnung innerhalb weniger Sekunden.
Variante 3:
Hier richten sich die Täter eine sehr ähnliche E-Mail-Adresse ein (z.B. werden Buchstaben vertauscht). Ziel ist meist der Versand einer gefälschten Rechnung mit geändertem Zielkonto.
Was müssen die Mitarbeiter der Firma beachten, deren Rechnungen betroffen sind?
- Wenn Cyberkriminelle für den BEC-Scam gefälschte Rechnungen in Deinem Namen versenden, musst Du davon ausgehen, dass Dein E-Mail-Konto oder E-Mail-Server gehackt wurde. Ändere in diesem Fall sofort das Passwort und überprüfe Deine E-Mail-Filter und Weiterleitungsregeln.
- Werden Rechnungen per E-Mail verschickt, sollte nicht die „allgemeine“ E-Mail-Adresse (z. B. info@firma.de) verwendet werden.
- Wende Dich sich bei Unregelmäßigkeiten an den E-Mail-Anbieter.
- Verwende eine Signierung/Verschlüsselung auf PGP/S-MIME-Basis, um um manipulierte E-Mails leichter erkennen zu können.
BEC-Scam: Hinweise für den Käufer bzw. Empfänger der E-Mails
- Vergleiche die Angebotsdaten mit den Rechnungsdaten, ob man etwas verändert hat.
- Vergleiche die Kontodaten auf der Rechnung mit denen auf der Firmen-Homepage.
- Achte besonders auf ausländische Bankverbindungen. Das sollte Dich skeptisch stimmen.
- Überprüfe telefonisch die Richtigkeit der Bestellung bei ungewöhnlichen Mails, ob die Bestellung korrekt ist.
- Bei verdächtigen Nachrichten sollte man sich sofort mit dem Rechnungssteller in Verbindung setzen.
- Bestätigt sich der Betrugsverdacht, kontaktiere sofort die Polizei und versuche bereits getätigte Überweisungen bei der eigenen Bank unverzüglich rückgängig zu machen.
- Nutze am besten Vorlagen in Deinem Banking-Workflow, um bereits verwendete IBANs wiederzuverwenden.