Cyberkriminelle haben sich erfolgreich Zugang zum E-Mail-Verkehr zwischen Konkursverwaltern und Wehkamp – einem der größten Online-Händler in den Niederlanden – verschafft, das berichtet RTL Z. Mitarbeiter des Unternehmens überwiesen unwissentlich 144.000 Euro an Cyberkriminelle, die sich als Verwalter einer Kleidungsmarke ausgaben, die der Händler auf seiner Website anbietet.
Wehkamp ist ein Webshop, der auch Artikel anderer Einzelhändler verkauft. Didi ist seit 2012 im Sortiment. Damals bezeichnete Wehkamp-Direktor Paul Nijhof die Zusammenarbeit als „eine Win-Win-Situation“.
Die Bekleidungsmarke mit dem Namen Didi meldete bereits im Januar nach niederländischem Recht Konkurs an. Wehkamp verkauft jedoch nach wie vor aktuelle Kollektionen und Verkaufsartikel des Unternehmens. Der Erlös geht eigentlich an die Konkursverwalter von Didi, welche sich dann mit den Gläubigern einigen werden. Diese Treuhänder sind Marc le Belle und Tineke Wolfswinkel.
Einfach die Kommunikation proaktiv übernehmen und ein neues Bankkonto einführen
Betrügern gelang es Mitte Februar dann jedoch, die E-Mail-Kommunikation zwischen Wehkamp und den Treuhändern zu infiltrieren, wahrscheinlich unter Verwendung eines Passworts, das zuvor bei einem Datenvorfall geklaut wurde. Nachdem sie von den hohen Zahlungen des Online-Händlers an die Treuhänder gelesen hatten, fälschten die Cyberkriminellen die E-Mail-Adressen beider Parteien und übernahmen die Konversation, indem sie E-Mails verschickten, die denen sehr ähnlich waren, welche zuvor verschickt worden waren.
Besonders raffiniert war es, ein neues Bankkonto für die Zahlung der Ratenzahlungen einzuführen, das von Wehkamp anhand der betrügerischen E-Mail-Adresse verifiziert wurde. Die Bösewichte behaupteten, das Bankkonto sei tatsächlich korrekt. Wehkamp überwies dann einige Tage hintereinander Geld auf das ING-Konto des Hackers in Höhe von insgesamt 144.000 Euro.
Didis Treuhänder machen Wehkamp nun zumindest teilweise für das verschwundene Geld verantwortlich. Der Online-Händler behauptet, er sei dies nicht, weil seine Systeme „technisch nicht gehackt“ worden seien. Nachforschungen haben ergeben, dass der Briefkasten der Kuratoren nicht aufgebrochen wurde. Wehkamp hält diese jedoch zumindest für mitverantwortlich für den Schaden, weil sie auch nicht bemerkt haben, dass es eine Kommunikation mit Hackern gab. Laut Tweakers haben die Treuhänder den niederländischen Einzelhändler bereits vorgeladen. Laut Didis Treuhändern hätte Wehkamp gründlicher untersuchen müssen, ob die geänderte Kontonummer korrekt war, auch weil die Hackermail ziemlich amateurhaft war. Der Fall geht nun vor Gericht. Auch Wehkamp hat den Betrug angezeigt, die Kriminalpolizei in Zwolle untersucht den Fall.
Mehrere Szenarien möglich
Wehkamp sagt in einer Pressemeldung, es gebe keine Hinweise darauf, dass der Webshop für die Folgen des Betrugs verantwortlich sei. Es wurde festgestellt, dass der Betrüger eine E-Mail erhalten und verwendet hat, die tatsächlich vom Treuhänder kam und die spezifische Fallnummer für diesen Betrug enthielt. Wir haben eine interne Untersuchung durchführen lassen, ob es in Wehkamp einen Hack gegeben hat. Es stellte sich heraus, dass dies nicht der Fall war.
Ein mögliches Szenario ist, dass ein Mitarbeiter einer der Parteien Passwörter an mehreren Standorten wiederverwendet. Auf diese Weise könnten Kriminelle zum Beispiel zuvor unautorisierte Bestellungen über Thuisbezorgd aufgeben. Eines ist klar: Auch einfache und besonders amateurhafte Fälschungen von E-Mail-Adressen können einen hohen finanziellen Schaden anrichten, wenn Mitarbeiter nicht speziell darauf geschult sind, Betrugsversuche zu identifizieren.
Fazit
Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.
Mitarbeiter können ein Plug-In namens Phish-Alert-Button in ihr Outlook installieren. Dies ist ein Knopf, bei dem die Betroffenen bedrohlich wirkende E-Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Button vereinfacht diesen Prozess erheblich.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4
