Ramon Olorunwa Abbas ist nicht nigerianischer Prinzder seit vielen Jahren Opfer von Treu und Glauben in E-Mail-Posteingängen auf der ganzen Welt sucht. Er weiß offenbar immer noch über E-Mail-Betrug Bescheid. Abbas, der mehr als 2,5 Millionen Follower auf Instagram und Snapchat unter dem Namen „Hushpuppi“ hat, wird beschuldigt, Teil einer Cybercrime-Bande zu sein, die angeblich mehrere Millionen Euro von Banken und Unternehmen mit gefälschten E-Mails beschlagnahmt hat.
Abbas wurde Anfang Juli in Dubai festgenommen und später an die USA ausgeliefert. Er befindet sich derzeit in der Haft in agoikago. Amerikanische Behörden beschuldige ihn, einschließlich des Betrugs einer New Yorker Anwaltskanzlei von mehr als 920.000 US-Dollar. Sogar in einem Hackerangriff vor der Küste von Valletta in MaltaDer 37-jährige Nigerianer war Berichten zufolge an dem 37-jährigen Nigerianer beteiligt. Abbas bestreitet dies alles; er verdiente sein Geld ganz legal als Influencer und mit Immobilien, sagt sein Anwalt.
Die Vorwürfe beziehen sich speziell auf „betrügerische Banküberweisungen“, die im Rahmen ausgefeilter E-Mail-Betrugsprogramme, auch als Business E-Mail-Kompromiss (BEC) bezeichnet, eingeleitet wurden. Oneshtë ist einer der ältesten E-Mail-Betrügereien – und einer der erfolgreichsten: Nach FBI-Informationen Zwischen 2013 und 2018 haben Betrüger Berichten zufolge allein vom BEC rund 12 Milliarden US-Dollar beschlagnahmt. Die Opfer sind meist mittlere und große Unternehmen.
Zielnachrichten für einzelne Mitarbeiter
Ein BEC-Betrug kann anders ablaufen, endet jedoch fast immer auf die gleiche Weise: Ein Mitarbeiter eines Unternehmens, häufig aus der Finanzabteilung, überweist große Beträge auf das Konto des Angreifers – vorausgesetzt natürlich, er macht einen Deal. legitim. Das Geld wurde dann über mehrere Konten und Websites gewaschen, so dass es nicht mehr zurückverfolgt werden konnte.
mögen schreibt die IT-Versicherungsgesellschaft Trend Microsind verschiedene Szenarien vorstellbar. Betrug beginnt häufig damit, dass Hacker Zugriff auf geschäftliche E-Mail-Konten erhalten (sogenannter CEO-Betrug), beispielsweise über Phishing oder Trojaner injizieren. Im Namen des Managers werden die Mitarbeiter dann angewiesen, vermeintlich dringende Überweisungen vorzunehmen.
Ein zweites Szenario betrifft falsche Rechnungen: Unternehmen, die stark mit externen Lieferanten aus anderen Ländern zusammenarbeiten, erhalten in ihrem Namen gefälschte Rechnungen oder fordern die Verwendung eines anderen Bankkontos für zukünftige Überweisungen an. Auch hier erhalten Angreifer zunächst Zugriff auf E-Mail-Konten oder entschuldigen den Absender. Laut Trend Micro richten sich Betrügereien hauptsächlich an CFOs, Buchhalter und Wirtschaftsprüfer im Unternehmen – dh. Personen, die zur Zahlung befugt sind.
Google und Facebook fielen ebenfalls darauf herein
Da Kompromisse im E-Business mehr Vorarbeit erfordern – Autoren müssen zunächst einen Einblick in die Unternehmensstrukturen haben – und sehr zielgerichtet sind, sind sie schwieriger zu erkennen als normaler E-Mail-Spam. welches in loser Schüttung versendet wird. 2016 mussten Mitarbeiter des Nürnberger Automobilzulieferers Leoni beweisen, wie überzeugend Betrüger sein können: Die Hacker konnten 40 Millionen Euro durch gefälschte Identitäten und Dokumente umleiten. Sogar Google und Facebook sind bereits auf den Trick hereingefallen: Zwischen 2013 und 2015 erhielt ein Lette von den beiden Unternehmen in seinen Konten rund 100 Millionen US-Dollar, nachdem er und seine Kampagnenfreunde als taiwanesischer Handelspartner.
Anfang Juli veröffentlichte ein auf E-Mail-Sicherheit spezialisiertes IT-Unternehmen Agari ein BerichtDanach entdeckten sie einen mutmaßlichen Ring russischer Cyberkriminalität namens Cosmic Lynx, dessen Mitglieder seit Juli letzten Jahres an bis zu 200 BEC-Kampagnen weltweit beteiligt waren. Viele Fortune-500-Unternehmen waren unter den Opfern, und die Angriffe hatten gezeigt, wie betrügerisch und organisiert die BEC-Betrügereien jetzt sind.
Ramon „Hushpuppi“ Abbasi soll auch nicht alleine gehandelt haben. mögen berichtet Online-Magazin „Forbes“Er soll innerhalb der Bande maßgeblich für die Eröffnung gefälschter Konten an verschiedenen Orten verantwortlich gewesen sein, über die später Zahlungen eingegangen sind. Andere Leute haben offenbar das Fischen und Hacken der Opfer übernommen. ich mag das im FBI-Bericht heißt esAbbas hatte das Smartphone eines zweiten Verdächtigen entdeckt und ihn schließlich anhand seiner Instagram- und Snapchat-Profile identifiziert, in denen er hauptsächlich vor Privatjets und Luxusautos posierte.
Schutz vor BEC: Mitarbeiter schulen, Zahlungen unterschreiben
Geben Sie beides, um sich und Ihr Unternehmen vor geschäftlichen E-Mail-Kompromissen zu schützen FBI und Micro Security Trend Scholars ähnliche Tipps. Erstens müssen Unternehmen ihre Mitarbeiter in IT-Sicherheit schulen und zusätzliche Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung für E-Mail-Posteingänge einführen. die Verwendung von DMARC-Sicherheitsprotokoll kann auch helfen, gefälschte E-Mail-Absender zu identifizieren. Wie bereits erwähnt, beginnen die meisten BEC-Betrügereien damit, dass Mitarbeiter auf Phishing-E-Mails hereinfallen und so ihre Anmeldedaten mit Hackern austauschen oder Trojaner in das Unternehmensnetzwerk einführen.
Ein zweiter Tipp: Der Antrag, die Konten von Geschäftspartnern auf deren Wunsch zu ändern oder ungewöhnliche Überweisungen vorzunehmen, sollte immer von einer zweiten Person unterschrieben und geprüft werden. Es geht darum, eine interne Kontrollstruktur zu schaffen. Dies sollte eigentlich in jedem großen Unternehmen vorhanden sein, aber die angeführten Beispiele zeigen, dass gefälschte einzelne E-Mails – angeblich von Führungskräften – ausreichen, um Prozesse zu umgehen.
Der dritte Tipp ist wahrscheinlich der einfachste: Jeder, der vom Chef eine E-Mail erhält, um einen großen Betrag auf ein externes Konto zu überweisen, sollte sich die Zeit nehmen, direkt über einen zweiten Kanal erneut zu fragen, entweder persönlich oder telefonisch. Dies mag zunächst etwas umständlich sein, kann aber bestenfalls viel Geld und Ärger sparen.