„Achtung – geänderte Bankverbindung!“ – Betrug bei Rechnungsstellung per E-Mail
30.08.2016, 10:43 Uhr — Erstveröffentlichung (aktuell)
Seit einiger Zeit verbreitet sich in Deutschland und auch im Bundesland Sachsen einen neue Betrugsmasche. „Wir haben unsere Bankverbindung geändert“ – so oder so ähnlich heißt es in der E-Mail, welche die potentiell Geschädigten in Ihrer elektronischen Rechnungsstellung finden. Dabei handelt es sich möglicherweise um einen Betrug. In Zeiten des elektronischen Zahlungsverkehrs werden Rechnungen in vielen Geschäftsbereichen nur noch elektronisch versandt. Kriminelle nutzen dies aus und schalten sich mit verschiedensten Methoden in den Nachrichtenaustausch zwischen Verkäufer/Dienstleister und Kunde. Letzterer überweist daraufhin den tatsächlich offenen Rechnungsbetrag auf das Konto der Betrüger.
Doch woher wissen die Täter, dass eine offene Forderung besteht, und wie schalten sie sich in die Kommunikation ein?
Die Kriminellen „hacken“ sich auf einen der beteiligten E-Mail-Server ein, fangen die relevanten E-Mails ab und verändern die Inhalte ganz oder teilweise. Oft handelt es sich um E-Mail-Accounts ausländischer Produktionsfirmen bzw. Lieferanten. In diesen manipulierten elektronischen Rechnungen wird darauf hingewiesen, dass sich die Bankverbindung des Rechnungsstellers geändert hat. Die Täter manipulieren die Kommunikation so, dass auch bei Rückfragen per E-Mail der Betrug zunächst unentdeckt bleibt. Es gibt auch Fälle, in denen die Betrüger zusätzlich gefälschte Dokumente per Briefpost verschickten, um den manipulierten E-Mail Verkehr glaubwürdig zu machen. Bei den so umgeleiteten Geldbeträgen handelt es sich pro Betrugsfall fast immer um eine 5-stellige Schadenssumme.
.
Um einem solchen Betrug vorzubeugen, rät das LKA Sachsen:
• Sensibilisieren Sie Ihre Mitarbeiter, machen Sie diese Betrugsmasche in Ihrem Unternehmen bekannt.
• Überprüfen Sie E-Mails mit Rechnungen sorgfältig auf den richtigen Absender und die korrekte Schreibweise der E-Mail Domain.
• Prüfen Sie bei verdächtigen E-Mails die vorliegenden Informationen über einen zweiten Kommunikationskanal. Nutzen Sie statt E-Mail hierzu z.B. das Telefon.
• Halten Sie Ihre Software stets auf dem neuesten Stand (beispielsweise durch ein Patchmanagementsystem).
• Weisen sie prophylaktisch in Ihrer geschäftlichen E-Mail Signatur darauf hin, dass Sie Ihren Kunden eine Änderung der Bankverbindung niemals via E-Mail mitteilen werden.
• Wenn möglich, nutzen Sie digitale Signaturen.
Bereiten Sie sich trotz Ihrer Sicherheitsmaßnahmen auf den Schadensfall vor. Teil Ihres Notfallplanes sollte die sofortige Einbeziehung Ihrer Hausbank, die Information des möglicherweise ebenfalls betroffenen Geschäftspartners und die Anzeige bei der Polizei sein. Hierfür können sie beispielsweise die Online-Wache der Polizei Sachsen nutzen, welche sie über www.polizei.sachsen.de erreichen.