Business-Mail-Betrugsmasche Wenn die E-Mail vom Chef gar nicht vom Chef kommt

Ein nigerianischer Instagram-Star soll von Firmen Millionen Euro durch E-Mail-Betrug erbeutet haben. Mit einer Masche, die bei Kriminellen beliebt und oft erfolgreich ist. Man kann sich aber schützen.
Von Eike Kühl
"Neue E-Mail-Nachricht" - vom Chef?

"Neue E-Mail-Nachricht" - vom Chef?

Foto: Jan-Philipp Strobel/ dpa

Ramon Olorunwa Abbas ist zwar nicht der nigerianische Prinz , der seit vielen Jahren auf der Suche nach gutgläubigen Opfern die E-Mail-Postfächer weltweit unsicher macht. Mit Betrug per E-Mail kennt er sich mutmaßlich trotzdem aus. Abbas, der auf Instagram und Snapchat unter den Namen "Hushpuppi" mehr als 2,5 Millionen Follower hat, wird vorgeworfen, Teil einer Cybercrime-Bande zu sein, die mit gefälschten E-Mails mehrere Millionen Euro von Banken und Unternehmen erbeutet haben soll.

Anfang Juli wurde Abbas in Dubai festgenommen und anschließend an die USA ausgeliefert. Derzeit sitzt er in Untersuchungshaft in Chicago. Die amerikanischen Behörden werfen ihm vor , unter anderem eine New Yorker Anwaltskanzlei um mehr als 920.000 US-Dollar betrogen zu haben. Auch an einem Hackerangriff auf die Bank von Valletta in Malta , bei dem rund 13 Millionen US-Dollar gestohlen wurden, soll der 37-jährige Nigerianer beteiligt gewesen sein. Abbas bestreitet all das; er habe sein Geld völlig legal als Influencer und mit Immobilien verdient, sagt sein Anwalt .

Die Vorwürfe beziehen sich konkret auf "betrügerische Banküberweisungen", die im Rahmen von ausgeklügelten E-Mail-Betrugsmaschen initiiert wurden, auch bekannt als Business E-Mail Compromise (BEC). Dabei handelt es sich um einen der ältesten E-Mail-Scams überhaupt - und um einen der bis heute erfolgreichsten: Nach Angaben des FBI  sollen Betrüger allein zwischen 2013 und 2018 rund 12 Milliarden US-Dollar durch BEC erbeutet haben. Die Opfer sind zumeist mittlere bis größere Unternehmen.

Gezielte Nachrichten an einzelne Mitarbeiter

Eine BEC-Masche kann unterschiedlich ablaufen, endet aber fast immer gleich: Ein Mitarbeiter oder eine Mitarbeiterin eines Unternehmens, häufig aus der Finanzabteilung, überweist hohe Summen auf das Konto der Angreifer - natürlich in der Annahme, ein legitimes Geschäft abzuschließen. Das Geld wird dann über mehrere Konten und Länder hinweg gewaschen, sodass man es schließlich nicht mehr zurückverfolgen kann.

Wie das IT-Sicherheitsunternehmen Trend Micro schreibt , sind verschiedene Szenarien denkbar. Häufig beginnt der Betrug damit, dass sich Hacker Zugriff auf die geschäftlichen E-Mail-Konten von Führungskräften verschaffen (sogenannter CEO-Betrug), etwa durch Phishing oder das Einschleusen von Trojanern. Im Namen der Führungsperson werden dann Mitarbeiter angewiesen, vermeintlich dringende Überweisungen zu tätigen.

Ein zweites Szenario beinhaltet falsche Rechnungen: Unternehmen, die viel mit externen Lieferanten aus anderen Ländern zusammenarbeiten, erhalten in deren Namen gefälschte Rechnungen oder die Aufforderung, künftig für Überweisungen eine andere Bankverbindung zu nutzen. Auch hier verschaffen sich die Angreifer zunächst Zugriff auf die E-Mail-Konten oder fälschen den Absender. Laut Trend Micro zielen die Betrugsmaschen vor allem auf CFOs, Buchhalterinnen und Controller in den Unternehmen ab - also jene Personen, die befugt sind, Zahlungen anzuweisen.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Auch Google und Facebook sind hereingefallen

Weil Business E-Mail Compromises mehr Vorarbeit erfordern - die Täter müssen zunächst einen Einblick in Unternehmensstrukturen erhalten - und sehr gezielt sind, sind sie schwieriger zu erkennen als gewöhnlicher E-Mail-Spam, der massenhaft versendet wird. Wie überzeugend die Scammer sein können, mussten 2016 etwa Mitarbeiter des Nürnberger Automobilzulieferers Leoni erleben: 40 Millionen Euro konnten Hacker durch gefälschte Identitäten und Dokumente abzweigen. Selbst Google und Facebook sind schon auf die Masche hereingefallen: Zwischen 2013 und 2015 bekam ein Litauer rund 100 Millionen Dollar von den beiden Firmen auf seine Konten überwiesen, nachdem er und seine Mitstreiter sich als ein taiwanesischer Handelspartner ausgegeben hatten .

Anfang Juli veröffentlichte das auf E-Mail-Sicherheit spezialisierte IT-Unternehmen Agari einen Bericht , wonach man einen mutmaßlich russischen Cybercrime-Ring namens Cosmic Lynx entdeckt habe, deren Mitglieder allein seit Juli vergangenen Jahres an bis zu 200 BEC-Kampagnen weltweit beteiligt waren. Unter den Opfern seien viele Fortune 500 Unternehmen gewesen, und die Angriffe hätten gezeigt, wie ausgeklügelt und organisiert BEC-Scams inzwischen seien.

Auch Ramon "Hushpuppi" Abbas soll nicht allein agiert haben. Wie das Onlinemagazin "Forbes" berichtet , soll er innerhalb der Bande vor allem dafür verantwortlich gewesen sein, falsche Konten in verschiedenen Ländern zu eröffnen, auf denen dann die Zahlungen eingingen. Das Phishing und Hacking der Opfer übernahmen offenbar andere Personen. Wie es im FBI-Bericht heißt , sei man Abbas über das Smartphone eines zweiten Verdächtigen auf Schliche gekommen und habe ihn letztlich auch mithilfe seiner Instagram- und Snapchat-Profile, auf denen er zumeist vor Privatfliegern und Luxusautos posierte, identifiziert.

Schutz vor BEC: Mitarbeiter schulen, Zahlungen abzeichnen

Um sich und sein Unternehmen vor Business E-Mail-Compromise zu schützen, geben sowohl das FBI  als auch die Sicherheitsforscher von Trend Micro  ähnliche Tipps. Zunächst sollten Firmen ihre Angestellten in Sachen IT-Sicherheit schulen und zusätzliche Sicherheitsmechanismen, etwa Zwei-Faktor-Authentifizierung, für E-Mail-Postfächer einführen. Die Verwendung des Sicherheitsprotokolls DMARC  kann ebenfalls dazu beitragen, gefälschte Mail-Absender zu erkennen. Die meisten BEC-Scams beginnen nämlich wie gesagt damit, dass Mitarbeiter auf Phishing-Mails hereinfallen und damit ihre Log-in-Daten mit den Hackern teilen oder Trojaner in das Firmennetzwerk einschleusen.

Ein zweiter Tipp: Die Aufforderung, Konten von Geschäftspartnern auf deren Wunsch zu ändern oder außergewöhnliche Überweisungen zu tätigen, sollten immer durch eine zweite Person abgezeichnet und überprüft werden. Es geht also darum, intern eine Kontrollstruktur zu etablieren. Die sollte es eigentlich in jedem größeren Unternehmen ohnehin geben, doch die erwähnten Beispiele zeigen, dass offenbar einzelne gefälschte E-Mails - vermeintlich von Führungskräften - ausreichen, um Abläufe zu umgehen.

Der dritte Tipp ist vielleicht der einfachste: Wer eine Mail vom Chef oder der Chefin bekommt, eine hohe Summe auf ein fremdes Konto zu überweisen, sollte sich die Zeit nehmen, lieber noch einmal direkt über einen zweiten Kanal nachzufragen, entweder persönlich oder telefonisch. Das mag im ersten Moment vielleicht etwas unangenehm sein, könnte im besten Fall aber sehr viel Geld und Ärger sparen.

Hinweis: In einer früheren Version dieses Artikels hieß es, Google und Facebook seien auf einen Letten hereingefallen. Der Mann ist Litauer - wir haben das korrigiert.

Die Wiedergabe wurde unterbrochen.