Er kommt per E-Mail, sieht aus wie eine echte Rechnung, aber die CBU-Nummer stimmt nicht überein. Ohne Schadsoftware und komplizierte Hackerangriffe gelingt es den Betrügern, Unternehmen und Privatpersonen große Summen zu stehlen.
„Dies ist eine der effektivsten Phishing-Attacken in Lateinamerika. Das Schlimme daran ist, dass fast niemand sie bemerkt, bis es zu spät ist“, warnt der Experte.
Eine neue Art des Phishing bereitet Unternehmen, kleinen und mittleren Betrieben sowie Privatnutzern Sorgen. Es handelt sich um Betrug mit „gefälschten Rechnungen“, eine digitale Täuschung, die harmlos erscheint, aber bereits zu Millionenverlusten in der Region geführt hat.
Der Mechanismus ist einfach, aber effektiv. Die Betrüger geben sich als Lieferanten oder Online-Shops aus und versenden per E-Mail gefälschte Rechnungen. Sie ändern lediglich die CBU oder den Pseudonym des Empfängers.
„Die Effizienz dieser Attacke ist sehr hoch. Sie erfordert keine Schadprogramme, Viren oder technische Schwachstellen. Eine gut gemachte Kopie des Designs und ein unaufmerksames Opfer reichen aus“, erklärte Alan Mai, CEO des Cybersicherheitsunternehmens Bloka, gegenüber TN Tecno.
So funktioniert der Betrug
Der Betrug beginnt mit einer E-Mail, die so aussieht, als stamme sie von einer vertrauenswürdigen Quelle, beispielsweise einem Stammzulieferer, einem Online-Shop oder einem Auftragnehmer. Der Anhang ist eine PDF-Datei, die das Original der Rechnung mit Logos, Auftragsnummern und entsprechenden Beträgen kopiert. Der einzige Unterschied besteht darin, dass die CBU-Nummer, an die die Zahlung überwiesen werden soll, geändert wurde.
Betrug. Die Phishing-Kampagne, die Google imitiert, ist so raffiniert, dass Gmail nicht vor ihr warnen konnte
Der ahnungslose Empfänger genehmigt die Transaktion und überweist das Geld auf ein von Kriminellen kontrolliertes Konto. Der Betrug wird in der Regel erst entdeckt, wenn der rechtmäßige Lieferant die Zahlung verlangt, und in vielen Fällen ist eine Rückerstattung des Geldes nicht mehr möglich.
Dies betrifft auch normale Nutzer
Diese Art von Phishing ist nicht auf Unternehmen beschränkt. Immer mehr Menschen tappen nach Einkäufen in Online-Shops in die Falle. Cyberkriminelle versenden E-Mails, die Rechnungen oder Versandbestätigungen imitieren und auf Datenprobleme oder Lieferverzögerungen verweisen.
In ihrer Ungeduld, die Bestellung zu erhalten, klicken viele Opfer auf die Links oder öffnen die Dateien und geben, ohne es zu ahnen, ihre Bankdaten weiter oder laden schädliche Software herunter, mit der Passwörter gestohlen werden können.
Warum ist das so schwer zu erkennen?
„Gefälschte Rechnungen“ sind ein klassisches Beispiel für Social Engineering: Sie appellieren an Vertrauen, Gewohnheiten und Dringlichkeit. In den E-Mails werden Domains verwendet, die den Originalen ähneln (mit nur einem Buchstaben Unterschied), es werden glaubwürdige Dokumente angehängt und es müssen keine Dateien ausgeführt oder Programme installiert werden. Es handelt sich um Phishing ohne Schadsoftware, was die Erkennung durch herkömmliche Sicherheitssysteme erschwert.
Marken, die von Betrügern am häufigsten für Identitätsdiebstahl bei Phishing-Angriffen verwendet werden
Darüber hinaus verfügen viele Unternehmen nicht über interne Überprüfungsverfahren für die Autorisierung von Zahlungen, was bei hoher Arbeitsbelastung zu menschlichen Fehlern führt.
So schützen Sie sich vor Betrug mit gefälschten Rechnungen
Experten empfehlen eine Kombination aus digitaler Aufklärung und Kontrollprotokollen, um solche Angriffe zu verhindern.
- Überprüfen Sie immer die Bankdaten, bevor Sie Geld überweisen, auch wenn Ihnen der Anbieter bekannt ist.
- Überprüfen Sie den Absender der E-Mail sorgfältig: Ein einziger geänderter Buchstabe kann ein Hinweis auf einen Betrugsversuch sein.
- Führen Sie interne Kontrollen ein, z. B. muss eine zweite Person alle Änderungen an Bankkonten bestätigen.
- Schulen Sie Ihr Verwaltungs- und Buchhaltungspersonal in Bezug auf gängige Cyberbetrugsmaschen.
- Richten Sie erweiterte E-Mail-Filter ein, die verdächtige Domains oder gefälschte Dateien erkennen.
