Was ist Payment Diversion?

Ein ganz normaler Vorgang: Ihre Buchhaltung bekommt eine Mitteilung von einem Lieferanten, dass sich dessen Bank­verbindung geändert hat. Wie geht es dann weiter? Die neue Bank­verbindung wird erfasst und alle zukünftigen Zahlungen werden auf das neue Bankkonto geleistet.

Hier ist Vorsicht geboten, denn bei der angeblichen Mitteilung vom Lieferanten könnte es sich um eine Fälschung eines Angreifers handeln. Dieser versucht die Zahlungen auf sein Konto umzuleiten. Briefe, Faxe und auch E-Mail-Absender können technisch leicht gefälscht werden, Rufnummern auch.

In den vergangenen Jahren ist Unternehmen durch Payment Diversion – der Umleitung von Zahlungsströmen – ein hoher Schaden entstanden. Ein litauischer Betrüger konnte über zwei Jahre hinweg Facebook- und Google-Zahlungen in Höhe von über 100 Millionen Dollar auf seine Konten umleiten. Kleine und mittlere Unternehmen sind für dieses Szenario genauso anfällig wie große.

Das Vorgehen ist bei spektakulären und weniger spektakulären Fällen ähnlich: Die Betrüger bereiten sich gründlich vor und informieren sich über die internen Gegebenheiten des Unternehmens und des Lieferanten. Die Angreifer nutzen dazu alle verfügbaren technischen Möglichkeiten. Ebenso kommt Social Engineering zum Einsatz, bei dem sich Angreifer menschliche Eigenschaften wie beispielsweise Hilfsbereitschaft oder Vertrauen zunutze machen. Damit gelangen sie früher oder später an Informationen oder können Menschen zu bestimmten Handlungen bewegen.

• Die Angreifer sammeln und analysieren Informationen aus frei zugänglichen Quellen:
  der Firmen-Homepage, aus Social Media Profilen der MitarbeiterInnen et cetera.
• Mit Anrufen und Fragen zu Nebensächlichkeiten erhalten die Angreifer scheinbar unwichtige Informationen, die sie später dazu verwenden können als Insider zu erscheinen.
• Mit belanglosen E-Mail-Anfragen können Arbeitszeiten, Abwesenheiten und Vertretungs­regelungen abgeklopft werden.
• Sicherheitslücken in der IT werden ausgenutzt, beispielsweise wird E-Mail-Verkehr mitgelesen oder es werden E-Mails mit gefälschtem E-Mail-Absender gesendet.

Die Betrüger sind gut gerüstet für ihren eigentlichen Angriff. Die gefälschte E-Mail, das Fax oder der Brief wird zum richtigen Zeitpunkt (beispielsweise während der Urlaubszeit) an die richtige Person versendet. Wenn die Fälschung nicht erkannt wird, fällt der Schaden manchmal erst auf, wenn Mahnungen für bereits bezahlte Rechnungen ins Haus flattern.

Payment Diversion – was ist dagegen zu tun?

Wenn Sie von einem Geschäftspartner über die Änderung seiner Bankverbindung informiert werden, gehen Sie am besten so vor:

• Erhalten Sie die Mitteilung per E-Mail, überprüfen Sie die Absenderadresse. Manchmal ist nur ein Punkt oder Buchstabe verändert. Fahren Sie je nach E-Mail-Programm mit der Maus über den E-Mail-Absender, damit der tatsächliche Absender angezeigt wird.
• Verifizieren Sie die Kontoänderung, indem Sie den Geschäftspartner anrufen oder ihm einen Bestätigungsbrief senden. Möchten Sie per E-Mail antworten, nutzen Sie dazu nicht den Antwortbutton, sondern die Adresse aus Ihrem Adressbuch.
• Fragen Sie gegebenenfalls bei der Geschäftsführung nach.

Auch folgende Maßnahmen dienen der Prävention:

• Achten Sie darauf, welche Details über das Unternehmen öffentlich sichtbar sind – auch auf privaten Social Media Accounts. Die Veröffentlichung von Informationen über solche Kanäle ist möglich; jedoch muss beachtet werden, dass diese Informationen ab diesem Zeitpunkt öffentlich zugänglich sind und missbraucht werden können.
• Seien Sie sparsam mit Informationen in Abwesenheitsnotizen.
• Führen Sie klare Abwesenheitsregelungen ein.
• Definieren Sie klare Prozesse für Stammdatenverwaltung und Zahlungsanweisungen.
• Sensibilisieren Sie Ihre MitarbeiterInnen bezüglich Social Engineering-Methoden.

Wappnen Sie sich gegen Payment Diversion und machen Sie es Angreifern besonders schwer, Zahlungsströme in Ihrem Unternehmen zu manipulieren.