„Chef-Trick“: Tausende Euro Schaden für Firma
Vor zwei Tagen bekam die Buchhalterin des Villacher Unternehmens eine Mail von ihrem Chef, zumindest gab sich der Adressat als Geschäftsführer aus. In dieser E-Mail wurde sie aufgefordert, sofort eine dringende Überweisung an ein Bankkonto in England durchzuführen. Ohne an der Echtheit des E-Mails zu zweifeln überwies die Angestellte mehrere tausend Euro auf das angeführte Bankkonto. Die Ermittlungen der Polizei laufen, hieß es am Mittwoch.
Erst letzte Woche gab es in Kärnten einen ähnlichen Betrugsversuch. Auch hier sollte laut einer Mailanweisung Geld nach Großbritannien überwiesen werden. Der Chef der Spittaler Firma war allerdings skeptisch und konnte so einen hohen Schaden vermeiden - mehr dazu in Stutziger Chef vereitelt Großbetrug.
Überweisung oft „Geheimsache“
Die Betrugsmasche ist den Kriminalisten jedenfalls nicht unbekannt, vielmehr ist sie als CEO-Betrug (Chief Executive Officer, englisch für Geschäftsführer; Anmerkung) keine Seltenheit mehr und seit 2015 zunehmend. Seit dem Jahr 2016 ist eine eigene Ermittlungsgruppe im Bundeskriminalamt gegen diese Betrugsform international im Einsatz.
Die vermeintlichen Firmenchefs kontaktieren mit einer manipulierten E-Mail-Adresse ihre Zielpersonen, in der Regel Mitarbeiterinnen und Mitarbeiter aus dem Treasury, der Buchhaltung oder dem Accounting. Dabei wird eine dringende Überweisung unter strikter Geheimhaltung angeordnet.
Täter spionieren Firma und Mitarbeiter vorab aus
Die Täter durchstöbern auf der Suche nach potentiellen Unternehmen Jahresberichte, das Firmenbuch, den Internetauftritt oder Werbebroschüren. Für die Täter sind auch An- und Abwesenheitensnotizen von Interesse, da sie daraus einen Zeitpunkt für die Kontaktaufnahme herleiten. Zusätzlich nutzen sie soziale Netzwerke, in denen Mitarbeiter ihre Funktion und Tätigkeit oder persönliche Details preisgeben. Auf diese Weise, dem so genannten „social engineering“, verschaffen sich die Täter notwendiges Insiderwissen.
Die Polizei rät, Mails genau zu kontrollieren, etwa die Schreibweise der Absenderadresse und auch, durch die Antworten-Funktion den Absender zu prüfen. Zahlungsanweisungen sollten durch einen Rückanruf bei einem Vorgesetzten verifiziert werden. Besondere Skepsis ist bei unbekannten Konten und atypischen Länderkennzeichen des IBAN angebracht.