„FAKE PRESIDENT“ in Baden

„FAKE PRESIDENT“
(CEO FRAUD)
in Baden-Württemberg
PHÄNOMENBESCHREIBUNG
UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
IMPRESSUM
1
IMPRESSUM
LAGEBILD „FAKE PRESIDENT“ (CEO FRAUD) BADEN-WÜRTTEMBERG
HERAUSGEBER
Landeskriminalamt Baden-Württemberg
Taubenheimstraße 85
70372 Stuttgart
Telefon 0711 5401-0
Fax
0711 5401-3355
E-Mail
[email protected]
Internet www.lka-bw.de
Ó LKA BW - 13.10.2016
IMPRESSUM
2
INHALT
1
ANALYSE ..................................................................................................................................................... 3
2
LAGEDARSTELLUNG............................................................................................................................... 3
3
VORGEHENSWEISE DER TÄTER.......................................................................................................... 4
4
1.
Vorbereitungsphase:.........................................................................................................4
2.
Kontaktphase:...................................................................................................................4
3.
Überzeugungs- und Überweisungsphase: ........................................................................4
HANDLUNGSEMPFEHLUNGEN / MASSNAHMEN............................................................................. 6
Erste Maßnahmen ....................................................................................................................6
Sicherung Gelder......................................................................................................................6
Präventionshinweise.................................................................................................................6
5
ANSPRECHPARTNER:.............................................................................................................................. 7
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
3
ANALYSE
1
ANALYSE
Bei der Betrugsmasche „Fake-President“ geben sich die Täter als Unternehmenschefs aus, treten
an die Beschäftigten in Buchhaltungen heran und verlangen, unverzüglich Millionenbeträge für
ein geheimes Investitionsgeschäft im Ausland auf Konten in China, Hongkong, Vietnam oder seltener im europäischen Ausland – auch unter Umgehung des Vier-Augen-Prinzips – zu
überweisen. Das Ganze sei sehr geheim und müsse deshalb vertraulich und vor allem aber schnell
ablaufen. Die Täter schlüpfen in die Rolle einer Autoritäts- bzw. Vertrauensperson („Wir vertrauen Ihnen ganz persönlich“) und steuern so das Opfer. Dabei wirken sie authentisch und lassen die
Überweisungsgründe völlig plausibel und nachfragefrei erscheinen. Hierzu kommunizieren die
Täter mit täuschend ähnlichen oder gefälschten Absenderadressen von E-Mails oder Telefonnummern und lassen so z.B. den Vorgesetzten als Absender erscheinen. In diesen E-Mails
werden Insiderinformationen einer Firmenübernahme vorgegaukelt. In einigen Fällen erklären die
„Chefs“ in einer Besprechung unabkömmlich und telefonisch nicht erreichbar zu sein und avisieren
die
Kontaktaufnahme
eines
Rechtsanwalts,
einer
namhaften
Anwaltskanzlei,
Wirtschaftsprüfungsgesellschaft oder eines Mitarbeiters einer Behörde wie der BaFin. Die quasi
autorisierte Kontaktperson tritt dann auf den Plan und meldet sich telefonisch bzw. per E-Mail
und gibt die detaillierten Täteranweisungen für die Geldtransaktion. Die Täter halten den Kontakt
schriftlich oder telefonisch aufrecht um das Vertrauen des Opfers vor der Überweisung nicht
noch zu verlieren.
Allen „Fake President“ Fällen geht ein intensives Ausspionieren der Opferfirmen und Sammeln
von Informations-Puzzlesteinen voraus. Beschäftigte lassen sich häufig ausfragen und geben aus
Unwissenheit oder mangelnder Sensibilität Auskünfte an Unberechtigte, missachten betriebliche
Sicherheitsvorgaben und lassen sich manipulieren (Social Engineering). Die Betrugsmasche
„Fake-President“ ist auch unter den Bezeichnungen „CEO Fraud“, „Fake Boss“, „Geschäftsführer-Masche“, „Enkeltrick für das Unternehmen“ oder „Business E-Mail Compromise“ bekannt.
Durch die gewerbs- und/oder bandenmäßige Begehungsweise (vgl. § 263 Abs. 3 und 5 StGB)
sowie der international ausgerichteten Vorgehensweise liegt in diesen Fällen zumeist ein besonders schwerer Fall des Betrugs vor.
2
LAGEDARSTELLUNG
„Fake-President“ ist seit 2013 in Deutschland bekannt und tritt seit Juli 2014 in BadenWürttemberg auf. Die Betrugsmasche hat insbesondere bei mittelständischen und großen Unternehmen mit internationalen Geschäftsbeziehungen bereits zu Millionenschäden geführt.
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
3
LAGEDARSTELLUNG
Entwicklung des „Fake President“ seit 2014 in Baden-Württemberg – (Stand 15.09.2016)
Seit Mitte 2014 bis einschließlich Mitte September 2016 wurden in Baden-Württemberg in 26
Monaten insgesamt 79 Fälle des „Fake President“ bekannt. Davon wurden zwölf Taten mit einem Schaden von 26,1 Mio. Euro vollendet. In 44 Fällen blieb es beim Versuch, 23 Fälle
wurden lediglich als Vorbereitungshandlung eingestuft.
Das bedeutet einen überproportionalen Anstieg beim Versuch, während die Vollendungen auf
konstant niedrigem Niveau blieben, aber zu sehr hohen Schäden für die Unternehmen führten.
Bislang zeichnet sich kein regionaler Brennpunkt in Baden-Württemberg ab.
Fallzahlen und Schadensentwicklung der beim LKA BW bearbeiteten Fälle
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
3
LAGEDARSTELLUNG
Beim strafrechtlichen Schaden handelt es sich um die Beträge, die von den Unternehmen auf die
Zielkonten der Täter überwiesen wurden.
Der wirtschaftliche Schaden errechnet sich aus der Differenz des strafrechtlichen Schadens und
der durch Polizei sowie geschädigte Unternehmen gesicherten Gelder. In den meisten Fällen hat
die Zusammenarbeit zwischen Polizei, Banken und Unternehmen zum Erfolg geführt. So konnte
in einem Fall erreicht werden, dass fast der gesamte Betrag in Höhe von rund 1,9 Mio. Euro von
einem Empfängerkonto in China wieder zurücküberwiesen wurde.
Die Grafik zeigt, dass bei mittelständischen Unternehmen „Fake President“ eine höhere Erfolgsquote aufweist. In Konzernen werden die betrügerischen Angriffe offensichtlich in einem frühen
Stadium erkannt, so dass es deutlich seltener zu einem Schadenseintritt kommt.
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
4
VORGEHENSWEISE DER TÄTER
3
VORGEHENSWEISE DER TÄTER
1. VORBEREITUNGSPHASE:
In dieser Phase recherchieren die Täter nach Unternehmen, die für einen „Fake President“ geeignet erscheinen, und sammeln aus öffentlich zugänglichen Quellen z.B. auf der Homepage des
Unternehmens, in Mitarbeiter– und Jubiläumsschriften oder in sozialen Netzwerken (Xing, Linked
In,
Facebook
etc.),
Jahresabschlussberichten
im
elektronischen
Handelsregister,
Zeitungsartikeln etc. Informationen, um firmenbezogenes Wissen über Organisationsstruktur, Berechtigungen für Zahlungsvorgänge, Abläufe und Mitarbeiter zu erlangen. Oftmals erfolgen im
Anschluss daran „Ausspähanrufe“ bei den ausgewählten Unternehmen z.B. unter dem Vorwand
einer unbezahlten Rechnung, um weitere Informationen und Kontaktdaten von Mitarbeitern in
der Buchhaltung zu bekommen. Dieses Vorgehen wird als Social Engineering bezeichnet, also
eine zwischenmenschliche Beeinflussung mit dem Ziel der Informationsgewinnung.
2. KONTAKTPHASE:
In der Kontaktphase wenden sich Täter meist mit ge- oder verfälschten Absenderdaten per Telefon und E-Mail an Zahlungsverantwortliche der Buchhaltung. Hierbei treten die Täter in
unterschiedlichen Rollen als Vorstand, Geschäftsführer oder als Beauftragte eines Rechtsanwaltsbüros, Wirtschaftsprüfungsgesellschaft oder als Behördenmitarbeiter wie der BaFin, auf.
3. ÜBERZEUGUNGS- UND ÜBERWEISUNGSPHASE:
Die Täter bedienen sich einer Legende, um einen glaubwürdigen und plausiblen Anlass für die
Zahlungen zu schaffen. In allen bislang bekannten Fällen wurde hierfür eine streng geheime Firmenübernahme im Ausland verwendet. Außerdem wirken die Täter psychologisch auf die
„angegriffenen“ Beschäftigten ein, um diese zu steuern und letztlich zu den Überweisungen zu
bewegen. Dies geschieht im Wesentlichen durch vier Elemente:
§
Autorität:
- „Sie werden angewiesen diese Überweisungen vorzunehmen…“
§
Strengste Geheimhaltung:
- „Die Angelegenheit muss absolut vertraulich behandelt werden.“
- „Niemand sonst, auch nicht innerhalb des Hauses, wird darüber derzeit informiert…“
- „Jeglicher persönlicher oder telefonischer Austausch ist untersagt…“
§
Zeitdruck:
- „Diese Angelegenheit hat absolute Priorität“
§
Gespieltes Vertrauen und Komplimente:
- „Ihre Arbeit ist tadellos“;
- „Ich zähle auf Ihre Diskretion und Mitarbeit“;
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
4
VORGEHENSWEISE DER TÄTER
- „Ihren Einsatz und Ihre Professionalität werden bei mir nicht in Vergessenheit geraten!“
VERSCHLEIERUNGSMÖGLICHKEITEN
Um die vorgetäuschte Identität des „Fake-President“ oder Anwalts etc. glaubwürdig erscheinen
zu lassen, bedienen sich die Täter verschiedener technischer Möglichkeiten:
E-MAIL-ABWANDLUNG
Generierung einer E-Mail, die von ihrer Adresse so aussieht, als wäre sie von der Geschäftsführung versandt worden. Hierzu registrieren die Täter eine Domain, die der Firmendomain zum
Verwechseln ähnlich sieht. Dabei werden Originalbuchstaben durch ähnlich aussehende Buchstaben ersetzt, z.B. das „m“ durch die Kombination von „r“ und „n“, was bei einem schnellen
Hinsehen nicht erkannt wird.
Beispiel:
E-MAIL-SPOOFING
Täter täuschen in E-Mails andere Identitäten vor, die E-Mail Adresse sieht genauso aus wie die
echte Adresse z.B. des Geschäftsführers, tatsächlich handelt es sich aber um eine völlig andere,
beliebige E-Mail Adresse.
SERIOSITÄT VORGESPIELTER E-MAIL-ADRESSEN
Die Täter verwenden E-Mail-Adressen, die den Anschein von Seriosität erwecken.
VORTÄUSCHEN VON TELEFONNUMMERN
Die Täter täuschen Rufnummern von z.B. in Deutschland ansässigen Rechtsanwaltskanzleien
oder Wirtschaftsprüfungsgesellschaften vor (Call ID-Spoofing).
VORTÄUSCHEN VON IP-ADRESSEN
Die Täter nutzen oftmals Internet-Anonymisierungsdienste, die in erster Linie darauf basieren,
dass auf den Servern der Dienste ein Austausch der wahren IP-Adresse des Anwenders durch eine IP-Adresse des Dienstes stattfindet.
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
5
HANDLUNGSEMPFEHLUNGEN
4
HANDLUNGSEMPFEHLUNGEN / MASSNAHMEN
ERSTE MAßNAHMEN
Wenden Sie sich bei Auffälligkeiten wie z.B. der Eingang von verdächtigen E-Mails oder Telefonanrufen an Ihre örtliche Polizeidienststelle oder die Zentrale Ansprechstelle Cybercrime
(ZAC) beim Landeskriminalamt Baden-Württemberg. Die ZAC ist wie folgt erreichbar:
Telefon: +49 (0)711 5401 2444
E-Mail: [email protected]
SICHERUNG GELDER
Wurden bereits Gelder überwiesen, sollten unverzüglich mehrere parallele Maßnahmen mit dem
Ziel der vorläufigen Sicherung eingeleitet werden:
§
Sofortige Veranlassung eines Überweisungsrückrufes.
§
In asiatischen Ländern – insbesondere China und Hong Kong sollte sich eine Vertrauensperson (Mitarbeiter einer zur geschädigten Firma gehörenden Niederlassung, Geschäftspartner,
Rechtsanwalt etc.) unverzüglich vor Ort an die z.B. chinesische Empfängerbank wenden.
§
Ein örtlicher Rechtsanwalt im Empfängerland sollte von der geschädigten Firma sofort beauftragt werden, um auf zivilrechtlichem Wege eine Kontosperre bzw. ein Verfügungsverbot zu
erwirken.
§
Kontaktaufnahme mit der hiesigen IHK, die über ihre Auslandsvertretung im betreffenden
Land initiativ werden kann.
§
Eine Kopie der Überweisung bzw. Anzeigeerstattung sollte möglichst übermittelt und bei der
Empfängerbank zur Dokumentation der betrügerischen Geldtransaktion sowie der Legitimation des Handelns vorgelegt werden..
PRÄVENTIONSHINWEISE
Es wird auf die Anlagen
§
Warnmeldung des LKA BW an Unternehmen vom 18.01.2016
§
BKA-Flyer „CEO-Fraud Warnhinweis“
hingewiesen.
Die Warnmeldungen sind auch auf der Homepage des LKA BW ersichtlich. Diese werden anlassbezogen aktualisiert.
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
6
ANSPRECHPARTNER
5
ANSPRECHPARTNER:
Für Rückfragen zum Thema „Fake President“ stehen Ihnen folgende Ansprechpartner im LKA
BW zur Verfügung:
Inspektion 310 – Ermittlungen
EKHK Nannt
Inspektion 310, Tel.: 0711 5401-2311
KHK Busch
Inspektion 310, Tel.: 0711 5401-3826
KOK Schuster
Inspektion 310, Tel.: 0711 5401-3822
„FAKE-PRÄSIDENT“ – PHÄNOMENBESCHREIBUNG UND HANDLUNGSEMPFEHLUNGEN FÜR UNTERNEHMEN
7

Download Report