"Fake Presidents": Betrüger erleichtern Dax-Konzerne um Millionen

Zahlreiche Unternehmen sehen sich aktuell auch hierzulande mit einer Betrugsmasche konfrontiert, die als "Fake President" bezeichnet wird. Da Berichte über entsprechende Fälle schon die Runde machten und ein Lerneffekt zu erwarten ist, gehen die ... mehr... Arm, Tastatur, Kriminalität, Monitor, Cybercrime, Computerkriminalität, Safe, Bargeld, Geldschein Bildquelle: funkwood / deviantart Arm, Tastatur, Kriminalität, Monitor, Cybercrime, Computerkriminalität, Safe, Bargeld, Geldschein Arm, Tastatur, Kriminalität, Monitor, Cybercrime, Computerkriminalität, Safe, Bargeld, Geldschein funkwood / deviantart

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die wichtigste Frage ist wohl, wie kommen die Betrüger an die Signaturen des Managements?
 
@Draco2007: hm? was meinst du mit Signaturen? Das übliche im Mailfuß, welche in den meisten unternehmen standardisiert ist (corporated identity) oder die zertifikatssignatur welche in den meisten unternehmen nicht im Einsatz ist?
 
@0711: Du willst mir sagen, dass in Unternehmen, die mal schnell Millionen überweisen können völlig unsignierte E-Mails benutzt werden, die von jedem Affen mit Mailserver gefaked werden können?
 
@Draco2007: ja

i.d.R. schützt man sich von außen kommenden fake mails über andere wege...und darauf wird vertraut ebenso auf dass, das interne netz "vertrauenswürdig" ist. Insofern geht's nicht ganz mit "jedem Affen mit Mailserver" aber ja...
 
@Draco2007: Quasi
 
@-adrian-: Dann bleibt nur zu sagen "vollkommen selbst schuld"...
 
@Draco2007: Wie bei den meisten Social engineering attacken nehme ich an, richtig :)
 
@Draco2007: Im Artikel steht ja, dass sie sich sogar soweit Zugriff auf das Intranet verschaffen, dass sie Einblick in die Mailkorrespondenz nehmen können. D.h. sie haben offenbar Vollzugriff auch auf die Postfächer. Da bräuchten sie dann womöglich nicht mal etwas fälschen sondern könnten gleich wirklich über das Postfach des Chefs die Mails verschicken. SMIME-Zertifikate werden in Unternehmen auch oft eh zentral verwaltet und werden bei der Anmeldung von der Domäne aufgespielt. Das System ist solange sicher, wie das interne Netz nicht kompromittiert wurde. Wie es aussieht ist es das in den jeweiligen Fällen jedoch.
 
Was mich etwas wundert ist das "einfache" Buchhaltungsangestellte Prokura über solche Summen haben.
Bei uns muss z.B. bis zu einer Summe immer 2 Gesellschafter zustimmen/anweisen, ab dieser Summe und darüber müssen alle Gesellschafter zustimmen [Damit keiner die Konten abräumt ;-)] und das immer schriftlich an die Bank/Banken, Mail zählt nicht.
 
@Kribs: Ja man sollte meinen, dass Millionenbeträge nicht so schnell den Besitzer wechseln ^^
 
@Kribs: Das ist für mittelständische Unternehmen möglich. Aber bei grossen Konzernen mit Zehntausenden Angestellten oder noch mehr, ist das nicht mehr machbar, da die Anzahl der Transaktionen etliche Hunderte am Tag sein können.

Ich hab selbst in der IT-Sicherheit eines grossen Konzerns gearbeitet und hab vergebens E-Mail Verivizierungen einführen wollen. War nicht zu machen.

Bei einer Firma (1200 Angestellte) war nicht einmal das Wlan gesichert. Der Gastzugang war ohne Passwort erreichbar und man konnte die Aufträge der Firma, die Lohnbuchhaltung und auch die Entwicklungsabteilung ohne Probleme ausforschen.
Das war vielleicht der krasseste Fall, den ich je hab absichern müssen , aber ich denke dass es noch vergleichbare Fälle geben kann. So selten scheint das nicht zu sein.
 
Mit Bargeld wäre das nicht passiert! :-)
 
Kann man das Geld dann nicht von der Bank zurückfordern? Es ist ja relativ klar auf welches Konto es geflossen ist und dass die Überweisung durch das suggerieren falscher Tatsachen veranlasst wurde. Alternativ könnte man sich auch die Anschrift des Kontoinhabers geben lassen und da mal persönlich vorbeifahren.
 
@unwichtig: Nicht gelesen? Überweisung ins Ausland.

Du glaubst doch nicht, dass das Geld da länger als ein paar Minuten/Stunden auf dem Zielkonto bleibt und auch nur irgend einer realen Person zuzuordnen wäre....
 
@Draco2007: soviel zum Thema, dass die Abschaffung von Bargeld Kriminalität und Terrorismus verhindern kann. Ein Gesetz hingegen, dass eine Überweisung genauso wie eine Abbuchung zu behandeln ist, d.h. bis zu 6 Wochen nach Bekanntwerden zurückholbar ist, würde sofort geeignete Sicherheitsmaßnahmen von den Banken bringen.
 
@eshloraque: Wieso? Wenn jemand zu blöd ist und einen Betrag OHNE ZWANG an jemanden überweißt ist doch wohl der Überweisende das Problem.

Was meinst du wie das bei Händlern mit Vorkasse zukünftig laufen würde...bestellen und schon die Überweisung Rückgänig machen...super...
 
@Draco2007: Funktioniert ja per SEPA-Mandat auch.
 
@eshloraque: dazu müsste die bank das überwiesene geld 6 Wochen lang sperren...das ist für die institute und auch für den Empfänger kaum handhabbar.
 
@0711: Machen Sie bei SEPA-Mandat auch nicht. Nur stellen die Banken sicher, dass der Typ, der das Geld erhält, existiert. Was ja anderweitig ein großes Problem zu sein scheint.
 
@eshloraque: die Existenz des typs ist wohl selten das problem...fake konten haben oft reale Inhaber...das bringt am ende nichts.
 
@eshloraque: Also hat der Empfänger erst nach Ablauf der 6-Wochen-Frist die Sicherheit, dass die Kohle bleibt, wo sie ist? Na ganz herrlich!

Selbst die letzten zwei Gehälter vom Arbeitgeber können so bei einem unbeabsichtigten Schaden zurück geholt werden. Macht doch keinen Sinn! Der Empfänger muss die Sicherheit haben, dass ein überwiesener Betrag bleibt, wo er ist. Vorkasseüberweisungen bedürfen in der Regel nach Geldeingang keine Wartezeit mehr, da die Kohle da ist. Somit kann der Warenversand unmittelbar erfolgen. Wäre da eine Frist von 6 Wochen, um die Überweisung zurück zu holen, welcher Händler könnte dann noch guten Gewissens nach Geldeingang eines Neukunden, die Ware sofort versenden?

Ne ne... Wer überweist, sollte wissen, was er tut. Und wenn er es nicht weiß, besteht noch immer die Möglichkeit, bei der Bank vorzusprechen. Die kontaktieren die Zielbank und fragen, ob der Betrag schon gutgeschrieben wurde. Wenn nicht, kann die Zielbank das Geld zurück transferieren. Ist es schon gutgeschrieben, wird der Zielkontoinhaber kontaktiert und über die irrtümliche Zahlung aufmerksam gemacht. Dann liegt es allein in dessen ermessen, ob die Kohle zurück kommt. Weigert er sich jedoch, hilft nur der Gang zum Anwalt und später zum Gericht.

Man kann einfach nicht alles so sicher machen, dass dem dümmsten Hansel nicht etwas schief geht. Sonst brauchen wir die Leute mit Verstand nicht mehr, denn die fühlen sich total eingeengt und beeinträchtigt. Neudeutsch gegängelt! Und ich möchte nicht auch noch bei Bankgeschäften gegängelt werden.
 
@SunnyMarx: Nachdem alle Nase lang irgendwelche Sicherheitsmaßnahmen gebrochen werden, könnten die ja auch mal für den Kunden funktionieren. Wenn ich mir eine Prepaid Karte hole, muss ich mich ausweisen. Wenn eine Abbuchung oder Überweisung nicht ausgeführt werden konnte, kriege ich einen kostenpflichtigen Brief. Wenn ich Geld abhebe, wird mein Gesicht gefilmt. Und wenn ein Krimineller mein Geld auf ein Konto mit unbekanntem Empfänger verschiebt, gibt es keine Sicherheitsmaßnahme. Ist auch klar, da ist die Bank aus der Haftung, also sorgt die auch nicht für Sicherheit.
 
@eshloraque: Es gibt doch ne Sicherheit. Pin/Tan-Verfahren mit Generator. Da wird der Empfänger, die Kontonummer und der Betrag als Code mit eingerechnet. Ändert sich per Man-In-The-Middle der Empfänger, passt die TAN nicht mehr und der Vorgang wird abgebrochen. Dank IBAN hat jedes Konto ne Prüfsumme mit drin. Die ersten 4 Stellen muss man Aufmerksam eingeben, und beim Rest fallen Zahlendreher sofort auf. Und wenn ne Firma einem Mitarbeiter Alleinprokura gibt, ist sie selbst schuld.
 
@unwichtig: Wenn du selbst eine Überweisung tätigst, kannst du nicht ohne Weiteres den Betrag zurück holen. Das geht nur, wenn bei dir was abgebucht wurde. Also auch Vorsicht bei Zahlendrehern wenn du das nächste Mal eine Überweisung ausfüllst. ;-)
 
No Violence, no blood ... creative Crime ... Congratulation!
 
Nenene. Die Kohle wäre schon da, zwar 6 Wochen lang Stornierbar, aber da immerhin ist man mit Händler XY ja auch einen gültigen, bindenden Vertrag eingegangen. Diesen könnte Händler XY gerichtlich geltend machen - also einklagen.
Im Grunde ist das auch nichts anderes, als ein Kauf auf Rechnung. Der Händler schickt die Ware raus, im Vertrauen darauf, dass die Rechnung bezahlt wird.

Das mag bei vielen Onlinehändlern mittlerweile nicht mehr gang und gäbe sein, bzw sitzen Da dann Firmen wie Amazon, ebay, Paypal und Co. als Treuhändler dazwischen, doch "offline", im ganz normalen Warengeschäft läuft es immer noch genau so. Oder meinst du, Edeka bezahlt seine Milch online im Vorraus?

Geschickt gemacht, ist die Abzocke aber auch heute noch, auch online Möglich. DHL liefert recht schnell, schneller als die meisten Unternehmen mit Lastschrift abbuchen, von daher...

Aber ja: Dass Unternehmen ihre Netzwerke offensichtlich nicht ausreichend sichern ist sicherlich die eine Sache.
Dass Mitarbeiter so blauäugig Kohle überweisen eine andere. Selbst wenn ein Schriftverkehr als Nachweis erforderlich ist, so kann man trotzdem ein kurzes Telefonat führen und sich in seinem Schriftverkehr sogar noch darauf beziehen!

Aber selbst wenn man heut zu Tage nicht den digitalen Weg geht, lässt man sich halt bei BMW in der internen Poststelle anstellen und schmeisst seine eigenen Abzockebriefchen halt mit in den Pott; fertig.
Oder man lässt sich gleich als Buchhalter ausbilden. Bis das Fehlen der Beträge auffällt, vergeht genug Zeit, um sich abzusetzen...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter