Gefälschte E-Mails US-Manager überweist 17 Millionen Dollar an Betrüger

Mit gefälschten E-Mails haben Internetbetrüger einen amerikanischen Top-Manager dazu gebracht, umgerechnet 15 Millionen Euro auf ein Bankkonto in China zu überweisen. Das Opfer glaubte, auf Anweisung seines Chefs zu handeln.

Website von Scoular Co.: "Ich will, dass du dich um etwas kümmerst"

Website von Scoular Co.: "Ich will, dass du dich um etwas kümmerst"


Die Geschichte, die der "Omaha World Herald" aufgeschrieben hat, liest sich wie ein Filmplot: Mit gefälschten E-Mails veranlassten Kriminelle einen Manager der amerikanischen Agrar-Management-Firma Scoular Co. dazu, insgesamt 17,2 Millionen Dollar (umgerechnet 15 Millionen Euro) auf ein chinesisches Bankkonto zu überweisen.

Der Gelackmeierte dachte, die Aufträge seien von seinem Geschäftsführer und einer externen Buchprüfungsfirma gekommen. Weil die Betrüger ihn auch noch glauben ließen, es ginge um eine vertrauliche Transaktion, bewahrte er seinen Kollegen gegenüber Stillschweigen.

Die Vorgehensweise der Betrüger lässt den Coup als ein Beispiel für perfektes Social Engineering erscheinen. Die E-Mails, die sie im Namen von Scoular-Geschäftsführer Chuck Elsea sendeten, verschickten sie von einer anderen als dessen üblicher E-Mail-Adresse. Es gehe um die lange geplante Übernahme einer chinesischen Firma, hieß es darin. Eine Behauptung, die dem Empfänger plausibel erschien, denn bei Scoular hatte es tatsächlich Gespräche über eine solche Expansion gegeben.

Das Opfer folgte den Anweisungen

"Ich will, dass du dich um etwas kümmerst", hieß es in der ersten angeblichen E-Mail vom Chef. In den vergangenen Monaten habe man an der Übernahme einer chinesischen Firma gearbeitet, schrieben die Betrüger weiter. Die amerikanische Börsenaufsicht SEC (Securities and Exchange Commission) sei bereits involviert. Aber das alles sei sehr vertraulich, "also kommuniziere mit mir nur über diese E-Mail-Adresse, damit wir keine SEC-Vorschriften verletzen", hieß es in der Mail.

Nachdem sie auf diese Weise Spannung aufgebaut hatten, forderten die Betrüger ihr Opfer dreimal auf, Geld an eine Bank in Shanghai zu überweisen. Zuerst waren es 780.000 Dollar, dann sieben Millionen und schließlich 9,4 Millionen. Das Opfer tat, wie ihm geheißen.

Um dieses Maß an Gehorsam zu erreichen, musste Vertrauen aufgebaut werden. In einer der fingierten E-Mails wurde das Opfer dazu aufgefordert, bei der Rechnungsprüfungsfirma anzurufen, die für Scoular arbeitet. Der Name und die Durchwahl des zuständigen Mitarbeiters wurde gleich mitgeliefert. Klar, dass der Betrogene, unter dieser Nummer den erwarteten Gesprächspartner erreichte, der ihm auch die gewünschten Informationen lieferte.

Das Opfer hat die Firma verlassen

Das FBI bemüht sich nun, das gestohlene Geld zurückzufordern. Der Manager, den die Betrüger zum Opfer machten, hat die Scoular Co. unterdessen verlassen. Ob er aus freien Stücken ging oder ihm gekündigt wurde, ist unklar.

Scoular-Geschäftsführer Elsea gibt sich unterdessen optimistisch, dass der Fall seinem Unternehmen keinen großen Schaden zufügen wird: "Glücklicherweise habe wir eine ausgeglichene Bilanz und robuste Umsätze. Es geht uns sehr gut."

Scoular Co. gehört zu den umsatzstärkeren Firmen der Vereinigten Staaten. Mit einem Umsatz von 6,2 Milliarden Dollar belegt das Unternehmen, das in Belegschaftsbesitz ist, Platz 55 auf der "Forbes"-Liste der größten US-Unternehmen.

kno

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
klugscheißer2011 09.02.2015
1. Mitleid
Topmanager dürfte er damit längste Zeit gewesen sein. Mit diesem Mann kann man jetzt nur noch Mitleid haben. Gibt's irgendwo ein Muster von der Mail, die so verfasst gewesen sein muss, dass sogar ein Topmanager darauf hereinfiel? Und zweite Frage: Gibt es in Deutschland eine legale Möglichkeit diesen Fall nachzuahmen..? Nein, schade, dann lass ich es!
openminded 09.02.2015
2. Selbst Schuld, Firma und
Den Chef anrufen? Dem Chef eine Email an die bekannte Adresse senden und fragen, ob die andere Emailadresse wirklich seine ist? Den "Verifizierungskontakt" selbst ermitteln/nachvollziehen? Sich als Topmanager fragen, warum man über firmenfremde Accounts - aber nur auf einer Seite - kommunizieren muss, um SEC-konform zu handeln? Als "Topmanager" hätte man sich die eine oder andere Frage stellen sollen. Einer (angestellten) Einzelperson, die nicht mal zur obersten Führungsriege gehört (sonst hätte er keinen Chef, warum dann eigentlich Topmanager?) Einzelverfügungsvollmacht über derartige Beträge einzuräumen, offensichtlich ohne jede Kontrolle, ist außerdem etwas fahrlässig.
rot 09.02.2015
3. Eine Ansichtskarte wäre zuverlässiger!
Das Ganze ist ja nur sehr schwer zu glauben. Entwendender ist die Geschichte erfunden, oder das angebliche Opfer ist der eigentliche Täter. So schwachsinnig, um nur auf ein Mail hin, irgendwohin Geld zu überweisen, kann man eigentlich nicht sein. Wie kann so ein Mensch Manager werden, der Zugriff auf Millionen hat? Die Porto-Kasse wäre schon zu viel Verantwortung. Aber offensichtlich ist manchen Leuten nicht bekannt, dass man mit entsprechenden Kenntnissen eine E-Mail mit jedem belieben Absender versehen kann. Da ist eine Ansichtskarte noch vertrauenswürdiger, falls man die Handschrift kennt.
s342 09.02.2015
4.
Kann man auf diese Weise auch eine "Verzollung" umgehen? Wer weiß, wer weiß... Ob da alles wirklich so stimmt wie angegeben.
pavot 09.02.2015
5. Kein Fake
Nein, das ist leider kein Fake. Sowetwas kommt vor. Die Größenordnung in diesem Fall ist durchaus beeindruckend, der Modus Operandi aber "bewährt". Das ist in jedem Fall schon "hohe Schule" und nix von und mit Kleinkriminellen...... Der Mitarbeiter den es hier getroffen hat kann einem wirklich leid tun. Hinterher ist es immer recht einfach es besser zu wissen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.