TOP 5 IRRTÜMER und TIPS bei Payment Diversion Fraud

22.11.2019 – Zahlreiche Firmen in Deutschland werden aktuell wieder Opfer eines Betruges, bei dem Zahlungen, die eigentlich an Lieferanten gehen sollen, auf Bankkonten von Betrügern überwiesen werden.

Die Vorgehensweise bei der Payment Diversion (Zahlungsumleitung) ist simpel aber effektiv: die Täter melden sich per E-Mail und geben sich als Lieferant aus, dessen Bankkontendaten sich angeblich geändert haben. Dabei spielen fake E-Mail-Domains eine zentrale Rolle, die oft nur in einem einzigen Buchstaben von der echten E-Mail-Domain des Lieferanten abweichen. Die Täuschung wird meist nicht bemerkt, bis das Geld schon überwiesen ist.

In den USA, wo Ermittlungsbehörden Statistiken zu diesen Fällen sammeln, sind laut dem Financial Crimes Enforcement Network (FinCEN) seit 2016 rund 32.000 Fälle mit einer Schadenssumme von insgesamt 9 Milliarden Dollar gezählt worden. Darunter sind auch zahlreiche Fälle einer weiteren Spielart, dem „CEO Fraud“, auch „Fake President“ genannt. Dabei geben sich die Täter bei den geschädigten Firmen nicht als deren Lieferant, sondern als ein Vorstandsmitglied der eigenen Firma aus und bringen einen Mitarbeiter der Finanzabteilung dazu, Geld für ein angebliches Spezialprojekt auf ein Konto der Betrüger zu überweisen.

Wir geben Tipps, welche Irrtümer geschädigte Firmen in solchen Situationen vermeiden sollten und was sie tun können, um das Geld zurückzuholen:

Irrtum #1

Unsere Hausbank wird das Geld zurückholen. Meistens klappt das nicht; allenfalls, wenn die besagte Zahlung, die fälschlicherweise an das Konto des Betrügers ging, maximal drei Tage zurückliegt. Alles, was länger her ist, kann die Hausbank nicht mehr zurückrufen. Meist wird ein solcher Betrug aber erst viel später entdeckt. Machen Sie den Versuch über Ihre Hausbank, aber warten Sie nicht ab, bis die sich wieder meldet, bevor sie weitere Maßnahmen treffen.

Irrtum #2

Die Polizei/Staatsanwaltschaft kann uns helfen. In der Regel nicht, weil die Zahlungen internationale Landesgrenzen überschreiten. Selbst die Polizei im jeweiligen Empfängerland kann erstmal nur Ihre Strafanzeige entgegennehmen. Bis sie dann aktiv ermittelt, können Wochen oder Monate vergehen; in der Zeit haben die Täter meist längst die Bankkonten geräumt und das Geld ist weg.

Irrtum #3

Es kommt nicht auf ein paar Stunden an. Doch, tut es. Je schneller Sie auf den Schadensfall reagieren, um so höher ist die Chance, dass das verschwundene Geld noch auf dem Empfängerbankkonto liegt. Zeit zu verspielen kann dabei extrem nachteilig sein. Verbringen Sie bitte keine Zeit damit, den Fall „intern“ erstmal aufzuklären – das dauert viel zu lange. Wichtiger ist, wenn auch nur der Verdacht auf Betrug besteht, sofort die Empfängerbank direkt zu kontaktieren (siehe Tipps unten). Erst Alarm schlagen, dann intern aufklären.

Irrtum #4

Unsere Standard-Prozesse bei Rechnungsvorgängen hätten uns doch eigentlich schützen müssen. Oft zeigt sich, dass die Standard-Prozesse von eigenen Mitarbeitern umgangen wurden (manchmal aus gutem Grund), damit die Zahlung durchgehen konnte. Oder dass die Prozesse bereits fehlerhaft aufgesetzt wurden und eine Kontrolle dadurch gar nicht möglich war.

Irrtum #5

Der Schaden ist zwar bedauerlich, aber wir müssen zur Tagesordnung übergehen – the show must go on. Kann man so machen, ist aber nicht zu empfehlen. Denn ohne einen konkreten Maßnahmenplan zur künftigen Absicherung der Zahlungsvorgänge kann so ein Betrug jederzeit wieder passieren.

Was also tun?

TIPP #1

Sofort handeln. Sobald der Verdacht auf eine betrügerische Zahlung besteht, sollten Sie die Empfängerbank kontaktieren – auch wenn der Fall noch nicht voll aufgeklärt ist. Entweder tut das ein Mitarbeiter des geschädigten Unternehmens oder ein professioneller Sicherheitsdienstleister, der sich mit so etwas auskennt. Bei der Empfängerbank sind die Ansprechpartner: der Geldwäschebeauftragte (Anti-Money-Laundering Officer) oder die Fraud-Abteilung, je nachdem, wer schneller erreichbar ist.

TIPP #2

Hartnäckig bleiben. Bei manchen Banken ist der Kontakt außerordentlich schwierig herzustellen, weil die Ansprechpartner nirgendwo recherchierbar im Internet zu finden sind und es Stunden dauern kann, bis man sich zur richtigen Stelle durchgefragt hat. Zudem spricht nicht jeder Bankmitarbeiter im Ausland gut Englisch; fremde Akzente komplizieren die Kommunikation. Geben Sie nicht auf, seien Sie hartnäckig! Wenn Sie dann erstmal die richtigen E-Mail-Adressen und Telefonnummern haben, nutzen Sie diese Kanäle am besten alle parallel, damit keine Zeit verspielt wird. Informieren Sie die Empfängerbank über den „Fraud & Money-Laundering Incident“ und fordern Sie diese auf, das Konto sofort zu sperren – das funktioniert. Als nächstes schicken Sie Beweise für den Betrug und erstatten Strafanzeige bei der Polizei im Zielland der Überweisung.

TIPP #3

Geht’s auch ohne Gerichtsprozess? Fragen Sie den Anti-Money-Laundering Officer oder die Fraud-Abteilung der Empfängerbank, wie sie das Geld zurückholen können. In manchen Ländern der Welt muss man vor Gericht ziehen, was kostspielig ist und lange dauert. In anderen Ländern geht es je nach Gesetzeslage auch ohne, nämlich mit einem Vorgang namens „Hold Harmless“. Das ist eine Abmachung zwischen Banken, die greift, wenn Gelder unter betrügerischen Umständen überweisen wurden. Fragen Sie die Empfängerbank danach!

TIPP #4

E-Mails der Täter analysieren. Das Schwierige an einem solchen Fraud ist, dass die geschädigte Firma auch danach noch mit ihrem Lieferanten zusammenarbeiten muss, aber oft nicht weiß, ob neue E-Mails vom echten Lieferanten kommen oder stattdessen immer noch von den Tätern. Vor allem, wenn im Rahmen des Betruges tatsächlich Mail-Accounts bei Ihrem Lieferanten gehackt wurden, was keine Seltenheit ist. Dann hilft eine Analyse der Meta-Daten der E-Mails: Täter nutzen eine andere technische Infrastruktur zum Versenden der E-Mails als der echte Lieferant, da sie ja nicht am selben physischen Ort wie der Lieferant sitzen. Diesen „Fingerprint“ der Täter in den Metadaten zu identifizieren ist wichtig, um legitime von fake E-Mails zu unterscheiden – damit das Geschäft weiterlaufen kann.

TIPP #5

Strafanzeigen klug platzieren. In manchen Fällen ist es sinnvoll, Strafanzeigen in Drittländern zu stellen, die besonders kompetente Fraud- und Cyber-Ermittlungsbehörden haben. Dabei kommt es nur darauf an, ob man „jurisdiction“, also Zuständigkeit, in dem jeweiligen Land herstellen kann. Das kann z.B. über die Infrastruktur geschehen, die bei dem Betrug zum Einsatz kam: Wo stammen die Fake-Domains her, die benutzt wurden; wo stehen die E-Mail-Server; welche Provider waren beteiligt; in welcher nationalen Währung wurde das Geld überwiesen? Wir können Ihnen aus jahrelanger Erfahrung sagen, in welchen Ländern es sich lohnt, die Behörden anzusprechen, und wo nicht; und können den direkten Kontakt für Sie herstellen. Wir haben Ansprechpartner weltweit.

Sie sind Opfer einer Payment Diversion oder eines CEO Frauds geworden oder möchten Ihre Zahlungsvorgänge für die Zukunft sicher machen? Sprechen Sie uns an:

Sebastian Okada, Prokurist und Leiter Ermittlungen & Prävention | Wirtschaftskriminalität

+49 89 599 88 75 80

intelligence[at]corporate-trust.de