Immer raffiniertere Betrugsmuster

Wie Sie neue Geschäftspartner prüfen

27.07.2015 von Jörn Weber
Betrüger agieren über gefälschte Firmen-Websites oder Mitarbeiterprofile. Unternehmen sollten neue Partner daher genau prüfen und ihre Mitarbeiter sensibilisieren.
 
  • Die Überprüfung neuer Geschäftspartner oder Kunden nennen Wirtschaftsermittler "Investigative Due Diligence".
  • Workflows zum und vom Partner sollten im Vorhinein festgelegt werden. Die gründliche Prüfung von E-Mail- und Lieferadressen gehört ebenfalls zum Pflichtenheft des Anwenders.

"Dear Friend. Ich habe ein lukratives Geschäft Vorschlag von gemeinsamem Interesse mit Ihnen zu teilen ..." Für solch plumpe Betrugsversuche mit äußerst dubiosen Erzählungen steht seit Jahren der Begriff "Nigeria-Connection". Die Mails oder Faxe führen heute meist nur zu Lachern am Schreibtisch. Aber es gibt viel geschicktere und sehr erfolgreiche Betrugsmaschen, die nach demselben Prinzip ablaufen: In Erwartung eines guten Geschäfts wird der Betrogene veranlasst, Waren oder Kapital herauszugeben.

Neue Geschäftspartner, die Kontakt über das Internet aufgenommen haben, sollten Unternehmen genauestens unter die Lupe nehmen.
Foto: Marijus - Fotolia.com

Die Betrüger kopieren hierfür beispielsweise vollständige Firmen-Websites. Die neu registrierte Domain erhält einen leicht abgewandelten Namen, der jedoch dem Original täuschend ähnelt. Nun werden über diese falsche Domain Verkaufstransaktionen mit den unterschiedlichsten Firmen in ganz Europa angefragt und durchgeführt. Häufig werden die Sendungen nach Großbritannien geliefert, obwohl die anfragende Firma aus einem anderen europäischen Land stammt. Auf die Zahlung der Rechnung warten die betroffenen Unternehmen natürlich vergeblich.

Betrüger fälschen auch Websites von Banken

Doch damit begnügen sich die Betrüger nicht. Ohne weiteres gelingt es ihnen, die Websites namhafter Banken zu fälschen, um Unternehmer dadurch auf Phishing-Sites zu locken oder die nicht gesicherte E-Mail-Kommunikation abzufangen. In letzterem Fall geschieht es nicht selten, dass Rechnungen mit einer neuen Kontoverbindung versehen werden, bevor die E-Mail im Postfach des eigentlichen Adressaten landet. So werden Rechnungen zwar bezahlt, der Betrag erreicht aber nie den rechtmäßigen Empfänger.

Auf Banking-Sites blüht der Betrug.
Foto: hin255_shutterstock.com

Es gibt zwei Ursachen dafür, dass solche Affären momentan zunehmen: Einerseits kommt es im Geschäftsleben immer häufiger dazu, dass auch Handelsbeziehungen mit unbekannten Unternehmen beziehungsweise Personen aus dem fernen Ausland geknüpft werden. Wer sich nur auf den deutschen oder europäischen Markt beschränkt, schwächt auf Dauer seine Marktposition. Diese Tatsache nutzen die Betrüger aus. Ihre vorgelegten Dokumente oder Websites mögen zwar richtig erscheinen, doch sind viele der enthaltenen Informationen schwer zweifelsfrei überprüfbar.

Spam: Was ein einzelner Bot "leisten" kann
Der Versuchsaufbau
Wieviel Spam kann ein Botnetz versenden? Security-Anbieter SophosLabs ging dieser Frage nach und konfigurierte einen speziellen, mit einer Malware infizierten Honeypot, der Spamming-Befehle entgegen nahm und Spam versendete (natürlich über einen Sackgassen-Server, sodass nicht tatsächlich eine Spamwelle entstand). Die Zahlen sind erschreckend.
5,5 Millionen E-Mail-Adressen...
... wurden mithilfe eines einzigen Rechners, der mit Malware infiziert war, innerhalb von nur einer Woche gespammt.
30 Gigabyte ausgehende E-Mails...
... konnten über diesen einen Rechner in einer Woche verschickt werden. Der Wert basiert zudem laut Sophos auf einem durchschnittlichen Datendurchsatz von 400 KB pro Sekunde - weniger als die Hälfte der Upload-Bandbreite einer regulären ADSL-Verbindung. In der Realität kann die Datenmenge also noch um einiges höher ausfallen.
720.286 individuelle Spam-Nachrichten...
... konnten erstellt und versandt werden. Hier stimmten also zumindest die Ansprache des Empfängers mit seinem richtigen Namen. Abhängig davon, wo bestimmte E-Mail-Adressen abgegriffen wurden, kann zudem der Kontext der E-Mail ebenfalls noch auf die Interessen des Empfängers abgestimmt sein.
26 Prozent der Spam-Mails...
... beinhalteten eine weitere Malware - insgesamt elf verschiedene Typen von Schädlingen, die den Spam-Empfänger beglückten. Durch Öffnen einer Anlage oder Aufsuchen eines Links hätte sich diese Malware rasend schnell einnisten und weiterverbreiten können.
3771 verschiedene URL-Kurzversionen...
... kamen zum Einsatz. Gefälschte Absender, Links innerhalb der E-Mail: Wichtig ist aber immer, dass die Adressen echt aussehen, den Spam-Empfänger zum bedenkenlosen Klicken bringen und schlecht bis gar nicht nachverfolgbar sind.

Verantwortliche lassen sich allzu oft vom visuellen Eindruck der Dokumente und Websites täuschen. Andererseits bietet das Internet an sich Betrügern ungeahnte Möglichkeiten. Authentisch und seriös wirkende Internetpräsenzen eines Unternehmens können sehr schnell geschaffen werden. Werden dann noch Profile von angeblichen Mitarbeitern in sozialen Netzwerken angelegt, stimmen alle Voraussetzungen für einen gelungenen Betrug.

Wie können Unternehmen neue Geschäftspartner prüfen?

Die Überprüfung neuer Geschäftspartner oder Kunden nennen Wirtschaftsermittler "Investigative Due Diligence". In ihr werden die Unternehmenslenker, die Zusammenhänge zu anderen Firmen, Lieferanten und Kunden betrachtet. Besitztümer werden geprüft, die Firmenhistorie angeschaut und in Mediendatenbanken und Social Media nach Berichten über das Unternehmen und die Angestellten recherchiert. Es wird geklärt, ob Mitarbeiter oder das Unternehmen bereits mit dem Gesetz in Konflikt geraten sind und soziale Standards eingehalten werden. Alle zugänglichen Informationen, wie zum Beispiel Angaben in Broschüren und auf der Webseite, fließen in die Investigative Due Diligence mit ein. Hierbei wird nicht nur der Inhalt der vorgelegten Dokumente auf Vollständigkeit geprüft, sondern auch deren Echtheit.

In gewissem Maße können Unternehmen eine Investigative Due Diligence selbst durchführen. Die Mitarbeiter sollten hierfür allerdings umfassend geschult werden. Dies reicht von der einfachen Überprüfung aller Daten, wie des Firmennamens und der Adresse bis zur forensischen, softwarebasierten Prüfung von JPGs oder PDFs, um zum Beispiel Manipulationen und Plagiate zu erkennen.

Anzeichen für einen Cyber-Angriff
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

To-Do-Liste

Zudem ist es wichtig, die Workflows im Vorhinein zu definieren: Wie erfolgt die Datenerhebung, was ist zu beachten? Wie können die gewonnenen rohen Informationen bereinigt, angereichert und standardisiert bereitgestellt werden? Wie werden die Daten miteinander verknüpft? Wer ist für welche Schritte zuständig? Weiterhin müssen die Mitarbeiter wichtige Basisinformationen für die Internetrecherche besitzen, denn mit simplem "Googeln" ist es hier nicht getan. Unabdingbare Elemente einer solchen Recherche sind:

Falls möglich, sollte man auch erwägen, direkt vor Ort zu recherchieren. Handelt es sich um eine Briefkastenfirma oder stimmen die gemachten Angaben mit dem tatsächlichen Erscheinungsbild überein? Ein solcher Check sagt oft wesentlich mehr aus als veraltete Fotos von Google Street View. (bw)