Die niederländische Niederlassung des französischen Filmproduktions- und Vertriebsunternehmens Pathe hat durch BEC-Betrüger über 19 Millionen Euro verloren, berichtete Dutch News .
Der Betrug
Informationen darüber, wie die Betrüger vorgegangen sind, gehen aus Gerichtsakten im Zusammenhang mit einer Klage wegen ungerechtfertigter Entlassung hervor, die Edwin Slutter, der frühere Finanzvorstand der niederländischen Niederlassung von Pathe France, angestrengt hatte.
Der Angriff begann am 8. März, als Pathe Nederland-Direktorin Dertje Meijer eine E-Mail erhielt, die offenbar vom Vorstandsvorsitzenden der französischen Muttergesellschaft stammte. Tatsächlich wurde die E-Mail von einer gefälschten E-Mail-Adresse gesendet, von der die Betrüger behaupteten, es handele sich um die persönliche E-Mail-Adresse des französischen Chefs.
Die Betrüger begannen die Interaktion mit einer einfachen Frage: „Wurden Sie heute Morgen von Herrn [richtiger Name des Mitarbeiters] von KPMG kontaktiert?“
Als Meijer verneinte, begannen die Betrüger mit der Vorbereitung ihres Betrugs: Sie forderten sie auf, ihr den aktuellen „Bankkontostand“ zu übermitteln, erklärten, dass sie „derzeit eine Finanztransaktion für die Übernahme einer ausländischen Gesellschaft mit Sitz in Dubai durchführen“ und baten sie, sich über die von ihr angegebene E-Mail-Adresse mit dem oben genannten KPMG-Mitarbeiter in Verbindung zu setzen, um die Bankdaten der in Dubai ansässigen Gesellschaft zu erhalten, damit sie den erforderlichen Geldbetrag auf das Konto überweisen könnten.
„Als Sicherheitsmaßnahme für diese Art vertraulicher Transaktionen müssen wir über meine persönliche E-Mail-Adresse kommunizieren, damit unsere Gespräche frei von jeglichem Risiko einer Offenlegung sind und die Transaktionsnormen eingehalten werden. Es ist zwingend erforderlich, dass dies in jedem Fall geschieht, ob mündlich oder telefonisch. Gemäß den Normen von KPMG ist meine persönliche E-Mail-Adresse das einzige Kommunikationsmittel. Sobald die Überweisungsaufträge ausgestellt wurden, leiten Sie bitte die Bestätigung per E-Mail an Herrn [echten KPMG-Mitarbeiter] oder an mich selbst weiter“, schrieben die Betrüger.
An diesem Punkt wurde Meijer misstrauisch, also leitete sie die E-Mail an Slutter weiter und fragte ihn, ob er das seltsam fände. Er riet ihr, auf die E-Mail zu antworten und eine zusätzliche Bestätigung vom Pathe France-Manager oder einem anderen hochrangigen Mitarbeiter anzufordern.
Die Betrüger stimmten zu und schickten eine E-Mail, in der sie sich als Manager von Pathe France ausgaben. Darin bestätigten sie offenbar die Notwendigkeit der Transaktion, erneuerten die Geheimhaltungspflicht und schickten die Rechnung der Firma aus Dubai mit der Beschreibung „Betrag für 10 % des Erwerbs“, die sowohl vom Manager als auch vom Geschäftsführer von Pathé France unterzeichnet war.
Slutter prüfte die Unterschriften und dann erfolgte die Zahlung. In den darauffolgenden Tagen erfolgten mehrere weitere Zahlungen im Gesamtwert von über 19 Millionen Euro. Das Geld stammte aus verschiedenen Quellen, unter anderem aus dem sogenannten „Cashpool“ der Pathé-Gruppe in Frankreich.
Im Laufe ihrer verschiedenen Interaktionen mit den Betrügern machten diese eine Reihe kleiner Fehler, die Meijer und Slutter eigentlich misstrauisch hätten machen sollen (z. B. war eine von einer gefälschten E-Mail-Adresse gesendete E-Mail vom Inhaber der anderen Adresse signiert), die ihnen jedoch offensichtlich nicht auffielen.
Nach der letzten Transaktion versicherten die Betrüger, dass das gesamte abgehobene Geld zurückgezahlt würde. Doch noch am selben Tag „kamen aus Frankreich Fragen zu den aus dem Cashpool angeforderten Beträgen. Bei einer telefonischen Beratung am selben Tag wurde klar, dass Pathé Opfer eines sogenannten CEO-Betrugs geworden war.“
Pathé beauftragte ein externes Unternehmen mit der Untersuchung, ob Meijer und Slutter an dem Betrug beteiligt waren. Sie kamen zu dem Schluss, dass dies nicht der Fall war und dass das Unternehmen im Visier einer „professionellen Betrügerbande“ war.
Trotzdem wurden Meijer und Slutter entlassen. Es ist nicht bekannt, ob das gestohlene Geld wiedergefunden wurde.
Taktiken von BEC-Betrügern
Slutter erhob schließlich Klage wegen ungerechtfertigter Entlassung gegen das Unternehmen und argumentierte, dass er „alles Notwendige getan habe, um zu überprüfen, ob die Zahlungsanweisungen autorisiert waren“, dass Pathé ihn nie darin geschult oder angewiesen habe, Betrug zu erkennen, und dass die „Warnzeichen“, die Pathé seiner Meinung nach hätte erkennen müssen, nicht leicht zu erkennen gewesen seien.
Das niederländische Gericht gab ihm recht und entschied, dass das Unternehmen ihm seinen Arbeitsplatz nicht zurückgeben müsse, ihm aber das Gehalt weiterzahlen müsse, das er von März bis Dezember 2018 erhalten hätte.
Es besteht kein Zweifel, dass dieser Betrug gut durchdacht war. Die Betrüger haben offensichtlich ihre Hausaufgaben gemacht und es geschafft, sich einen guten Einblick in die internen Abläufe des Unternehmens zu verschaffen, um einen glaubwürdigen Angriff durchzuführen utimaco.
Es gelang ihnen auch, Slutter daran zu hindern, die Transaktionen telefonisch zu bestätigen, indem sie darauf bestanden, dass die Kommunikation ausschließlich per (der gefälschten persönlichen) E-Mail erfolgen dürfe, „als Sicherheitsmaßnahme für diese Art vertraulicher Transaktionen“.
Das Initiieren einer E-Mail-Konversation mit dem Ziel, die von herkömmlichen E-Mail-Sicherheitslösungen nicht markiert wird, da die E-Mail keine schädlichen Nutzdaten oder Links enthält, ist eine von BEC-Betrügern häufig verwendete Taktik.
Bei diesen „Gesprächsstarter“-E-Mails handelt es sich üblicherweise um legitime Zahlungsaufforderungen, Rechnungen, E-Mails zur Dokumentenzustellung, Warnmeldungen mit der Aufforderung zur „Kontoüberprüfung“, weil E-Mails angeblich nicht zugestellt werden können, dringende Anfragen, die angeblich von Kollegen und Vorgesetzten kommen, usw.