Am Ende des Jahres – vor den Weihnachts- und Neujahrsfeiertagen – sind die Finanzabteilungen vieler Unternehmen besonders beschäftigt; um es gelinde auszudrücken. Vor allem in Ländern, in denen das Steuerjahr mit dem Kalenderjahr übereinstimmt. Buchhalter haben alle Hände voll zu tun mit der Finanzberichterstattung, der Budgetplanung für die nächste Finanzperiode usw. Und das alles trotz des Vorweihnachts-Fiebers, das von Firmenfeiern beherrscht wird und oftmals mit Kollegen einhergeht, die bereits mehr in Weihnachts- als in Arbeitsstimmung sind. Eine solche Situation können Cyberkriminelle natürlich nicht ignorieren: In diesem besonderen Zeitraum senden sie gefälschte Rechnungen an beliebige Mitarbeiter von Unternehmen, in der Hoffnung, dass jemand inmitten der Dokumentenflut eine von ihnen ausgestellte Zahlung genehmigt.
Betrügerische E-Mails: Das sind erste Warnsignale
Zum einen sollte die Tatsache, dass eine solche E-Mail an einen beliebigen Mitarbeiter und nicht an die Finanzabteilung gesendet wurde, die ersten Alarmglocken läuten lassen. Kriminelle haben in der Regel keine Möglichkeit, an die echten E-Mail-Adressen von Unternehmens-Buchhaltern zu kommen; sie nutzen Spam-Mailing-Datenbanken, die in erster Linie aus öffentlich zugänglichen Kontakten bestehen. Diese E-Mails werden also für gewöhnlich von HR- und PR-Mitarbeitern oder dem technischen Support empfangen.
In einigen Fällen schreiben die Absender betrügerischer E-Mails, dass sie die korrekte Adresse verloren oder sich beim Aufschreiben vertippt haben, und bitten dann darum, die Rechnung an die Buchhaltungsabteilung weiterzuleiten; manchmal machen sie sich nicht einmal die Mühe nach einer Erklärung zu suchen. Trotzdem kann das keine Entschuldigung dafür sein, eine E-Mail an eine beliebige Adresse weiterzuleiten. Wenn die Rechnung wirklich von einem Unternehmensmitarbeiter benötigt wird, würde sich dieser selbst mit dem Absender in Verbindung setzten, um nach Gründen für die verzögerte Zustellung zu suchen und die E-Mail-Adresse gegebenenfalls mit der Finanzabteilung abgleichen.
Unerwartete E-Mails an Kollegen weiterzuleiten, kann mehr schaden als nützen, denn eine betrügerische E-Mail, die von einem Kollegen weitergeleitet wird, hat eine größere Erfolgschance. Wenn Sie eine Rechnung an einen Buchhalter weiterleiten, könnte dieser denken, dass Sie die Rechnung bezahlt haben wollen. Und im Allgemeinen erregt eine E-Mail von einem Mitarbeiter desselben Unternehmens weniger Misstrauen als externe Korrespondenz.
Darüber hinaus wissen Kriminelle, dass es eine nicht so gute Idee ist, einen hohen Geldbetrag einzufordern. Es ist unwahrscheinlich, dass eine solche Rechnung ohne weiteres Nachfragen gezahlt wird. Deshalb stellen sie Rechnungen über relativ kleine Beträge aus, die vergleichsweise unbedeutend für Großunternehmen sind.
Zuletzt handelt es sich bei derartigen Rechnungen in den meisten Fällen um Rechnungen von Kurier-Diensten. Darüber hinaus ist die begleitende E-Mail so vage wie möglich formuliert, sodass nicht immer klar ist, ob die Rechnung vom Absender direkt oder vom Zustelldienst ausgestellt wurde.
Worauf setzen Betrüger?
Wie bereits zuvor erwähnt, setzen Kriminelle auf die hohe Arbeitsbelastung am Jahresende, die allgemeine Unaufmerksamkeit der Mitarbeiter und die „Hilfe“ von Nichtfachleuten bei der Weiterleitung solcher E-Mails an die Finanzabteilung. Doch der Hauptgrund, warum solche Maschen überhaupt funktionieren, ist die rechtliche Straflosigkeit. Im Großen und Ganzen haben sie keine Angst vor legalen Konsequenzen. Betrüger machen authentische Unternehmen ausfindig und stellen ihnen Rechnungen aus. Rechtlich gesehen handelt es sich dabei um eine Dienstleistung, die zwar bezahlt, aber nicht erbracht wurde. Würde jemand dagegen vor Gericht ziehen, würde er wahrscheinlich für schuldig befunden werden. Aber würde wirklich jemand wegen solch geringfügiger Beträge vor Gericht gehen?
Wenn Sie im Internet nach dem Namen des Unternehmens suchen, das die Rechnung ausgestellt hat, werden Sie vermutlich auf zahlreiche empörte Kommentare von Unternehmen stoßen, die auf ähnliche Weise betrogen wurden. Möglicherweise ändern die Kriminellen von Zeit zu Zeit sogar die Rechtsform der Bagatellgrenze, indem sie ein Unternehmen durch Konkurs schließen und ein anderes eröffnen.
Wie können Sie sich schützen?
Zunächst empfehlen wir Ihnen wärmstens den Einsatz von Sicherheitslösungen mit effektiven Anti-Spam-Technologien auf E-Mail-Gateway-Ebene des Unternehmens. In der Regel versenden die Angreifer solche E-Mails in großen Kampagnen, sodass wir sie rechtzeitig als Spam klassifizieren können.
Darüber hinaus sollten Sie Mitarbeiter wissen lassen, dass E-Mails, die von einem Unbekannten stammen und in denen eine Zahlung oder persönliche Daten verlangt werden, definitiv als verdächtige E-Mails eingestuft werden.
Idealerweise ist es eine gute Idee, das Sicherheitsbewusstsein der Mitarbeiter regelmäßig zu stärken; beispielsweise mithilfe der automatisierten Online-Plattform Kaspersky Automated Security Awareness Platform. Dies würde es den Mitarbeitern ermöglichen, auf unerwartete E-Mails von Angreifern vorbereitet zu sein, egal ob es sich um einfache betrügerische Spam-E-Mails oder ausgeklügeltes Spearphishing handelt.