Chamaeleon

Was ist Payment Diversion?

Ein ganz normaler Vorgang: Ihre Buchhaltung bekommt eine Mitteilung von einem Lieferanten, dass sich dessen Bank­verbindung ge√§ndert hat. Wie geht es dann weiter? Die neue Bank­verbindung wird erfasst und alle zuk√ľnftigen Zahlungen werden auf das neue Bankkonto geleistet.

Hier ist Vorsicht geboten, denn bei der angeblichen Mitteilung vom Lieferanten könnte es sich um eine Fälschung eines Angreifers handeln. Dieser versucht die Zahlungen auf sein Konto umzuleiten. Briefe, Faxe und auch E-Mail-Absender können technisch leicht gefälscht werden, Rufnummern auch.

In den vergangenen Jahren ist Unternehmen durch Payment Diversion – der Umleitung von Zahlungsstr√∂men – ein hoher Schaden entstanden. Ein litauischer Betr√ľger konnte √ľber zwei Jahre hinweg Facebook- und Google-Zahlungen in H√∂he von √ľber 100 Millionen Dollar auf seine Konten umleiten. Kleine und mittlere Unternehmen sind f√ľr dieses Szenario genauso anf√§llig wie gro√üe.

Das Vorgehen ist bei spektakul√§ren und weniger spektakul√§ren F√§llen √§hnlich: Die Betr√ľger bereiten sich gr√ľndlich vor und informieren sich √ľber die internen Gegebenheiten des Unternehmens und des Lieferanten. Die Angreifer nutzen dazu alle verf√ľgbaren technischen M√∂glichkeiten. Ebenso kommt Social Engineering zum Einsatz, bei dem sich Angreifer menschliche Eigenschaften wie beispielsweise Hilfsbereitschaft oder Vertrauen zunutze machen. Damit gelangen sie fr√ľher oder sp√§ter an Informationen oder k√∂nnen Menschen zu bestimmten Handlungen bewegen.

  • Die Angreifer sammeln und analysieren Informationen aus frei zug√§nglichen Quellen:
    der Firmen-Homepage, aus Social Media Profilen der MitarbeiterInnen et cetera.
  • Mit Anrufen und Fragen zu Nebens√§chlichkeiten erhalten die Angreifer scheinbar unwichtige Informationen, die sie sp√§ter dazu verwenden k√∂nnen als Insider zu erscheinen.
  • Mit belanglosen E-Mail-Anfragen k√∂nnen Arbeitszeiten, Abwesenheiten und Vertretungs­regelungen abgeklopft werden.
  • Sicherheitsl√ľcken in der IT werden ausgenutzt, beispielsweise wird E-Mail-Verkehr mitgelesen oder es werden E-Mails mit gef√§lschtem E-Mail-Absender gesendet.

Die Betr√ľger sind gut ger√ľstet f√ľr ihren eigentlichen Angriff. Die gef√§lschte E-Mail, das Fax oder der Brief wird zum richtigen Zeitpunkt (beispielsweise w√§hrend der Urlaubszeit) an die richtige Person versendet. Wenn die F√§lschung nicht erkannt wird, f√§llt der Schaden manchmal erst auf, wenn Mahnungen f√ľr bereits bezahlte Rechnungen ins Haus flattern.

Payment Diversion – was ist dagegen zu tun?

Wenn Sie von einem Gesch√§ftspartner √ľber die √Ąnderung seiner Bankverbindung informiert werden, gehen Sie am besten so vor:

  • Erhalten Sie die Mitteilung per E-Mail, √ľberpr√ľfen Sie die Absenderadresse. Manchmal ist nur ein Punkt oder Buchstabe ver√§ndert. Fahren Sie je nach E-Mail-Programm mit der Maus √ľber den E-Mail-Absender, damit der tats√§chliche Absender angezeigt wird.
  • Verifizieren Sie die Konto√§nderung, indem Sie den Gesch√§ftspartner anrufen oder ihm einen Best√§tigungsbrief senden. M√∂chten Sie per E-Mail antworten, nutzen Sie dazu nicht den Antwortbutton, sondern die Adresse aus Ihrem Adressbuch.
  • Fragen Sie gegebenenfalls bei der Gesch√§ftsf√ľhrung nach.

Auch folgende Maßnahmen dienen der Prävention:

  • Achten Sie darauf, welche Details √ľber das Unternehmen √∂ffentlich sichtbar sind – auch auf privaten Social Media Accounts. Die Ver√∂ffentlichung von Informationen √ľber solche Kan√§le ist m√∂glich; jedoch muss beachtet werden, dass diese Informationen ab diesem Zeitpunkt √∂ffentlich zug√§nglich sind und missbraucht werden k√∂nnen.
  • Seien Sie sparsam mit Informationen in Abwesenheitsnotizen.
  • F√ľhren Sie klare Abwesenheitsregelungen ein.
  • Definieren Sie klare Prozesse f√ľr Stammdatenverwaltung und Zahlungsanweisungen.
  • Sensibilisieren Sie Ihre MitarbeiterInnen bez√ľglich Social Engineering-Methoden.

Wappnen Sie sich gegen Payment Diversion und machen Sie es Angreifern besonders schwer, Zahlungsströme in Ihrem Unternehmen zu manipulieren.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zur√ľck und kl√§ren mit Ihnen die Details f√ľr ein verbindliches Angebot ab.