Neue Betrugsmasche mit echten Rechnungsdaten | So funktioniert der Rechnungsbetrug
Derzeit häufen sich Fälle bei uns, in denen Unternehmen Opfer einer ausgeklügelten Betrugsmasche werden. Die Angreifer nutzen „Pretexting“, um unter einem glaubwürdigen Vorwand sensible Informationen über Geschäftsbeziehungen zu erlangen. In unseren Fällen kamen die Mails vermeintlich von "Statistik Austria" zur Erhebung aktueller Zahlen. Anschließend kommt es zu „Invoice Fraud“ (Rechnungsbetrug) bei den Partnerunternehmen. Rechnungen mit korrekten Beträgen, aber manipulierten IBANs werden an Geschäftspartner versendet, die genannt wurden. Diese überweisen die Beträge in gutem Glauben, doch das Geld landet in Wirklichkeit bei den Betrügern. Dieser Beitrag zeigt, wie die Masche funktioniert, warum sie aktuell besonders gefährlich ist und welche Schutzmaßnahmen Unternehmen ergreifen sollten.
Am Ende bieten wir wie immer alle uns bekannten IOCs, um diese schon proaktiv blockieren zu können.
Wie funktioniert der Rechnungsbetrug?
In den uns vorliegenden Fällen kontaktierten die Angreifer die Unternehmen als "Statistik Austria" von der Domain statistik-gv.at. Ziel war es, sensible Informationen über bestehende Geschäftsbeziehungen zu erlangen. Namen von Geschäftspartnern, Zahlungsmodalitäten, offene Beträge und geplante Zahlungstermine. Dabei wird ein gefälschtes Dokument angehängt, was erklärt, dass Ströme zwischen österreichischen Unternehmen und ausländischen Geschäftspartnern ermittelt werden müssen. Das Dokument sieht wie folgt aus:
Außerdem finden sich in den Mails oftmals mehrere Excel Files darin, welche ausgefüllt werden sollten. All diese Dokumente enthalten unseren Analysen zufolge keine Schadsoftware.
Nachdem die Buchhaltung, der Steuerberater oder die Finanzabteilung diese Infos weitergegeben hat, wurden diese anschließend genutzt, um täuschend echte Rechnungen zu erstellen. Dabei wussten die Angreifer die korrekten Beträge und manipulierten dann den IBAN. Die Rechnungen wurden dann im Namen des betroffenen Unternehmens an dessen Geschäftspartner versendet (Oftmals mit neu registrierter Domain). Da die Beträge und Zahlungsfristen stimmten, schöpfte der Empfänger keinen Verdacht und überwies das Geld. Dabei allerdings direkt an die Betrüger.
Erst mit der ersten Mahnung des echten Unternehmens wird der Betrug bemerkt. Zu diesem Zeitpunkt sind die Angreifer aber längst verschwunden.
Was Unternehmen jetzt tun sollten
Diese Art von Angriff ist auf einige wenige Unternehmen sehr zugeschnitten und funktioniert dort am Besten. Wir haben gerade bei einigen Steuerberatern gesehen, dass diese viele Informationen haben und deswegen ein Ziel geworden sind. Was kann ich als Unternehmen nun aber konkret dagegen tun?
Sensibilisierung der Mitarbeitenden: Besonders in der Buchhaltung und im Vertrieb muss klar sein, wie Social Engineering funktioniert und woran man gefälschte Anfragen erkennt.
Verifizierung von Anfragen: Offizielle Anfragen sollten immer über bekannte Kanäle rückverifiziert werden. Etwa durch einen Anruf bei der Behörde oder der Organisation.
Technische Schutzmaßnahmen: E-Mail-Filter, Domain-Authentifizierung (z. B. SPF, DKIM, DMARC), Typosquatting Erkennung und Monitoring verdächtiger Aktivitäten helfen, Angriffe frühzeitig zu erkennen.
Kommunikation mit Geschäftspartnern: Informieren Sie Ihre Partner über mögliche Betrugsversuche und etablieren Sie sichere Kommunikationswege für Rechnungsdaten.
Fazit
Der beschriebene Fall zeigt, wie gefährlich Social Engineering sein kann. Unternehmen müssen nicht nur ihre IT-Systeme schützen, sondern auch ihre Prozesse und Mitarbeitenden. Nur wer wachsam bleibt und klare Sicherheitsstandards etabliert, kann sich gegen diese Form des Betrugs effektiv wehren.
Wir unterstützen Sie gerne dabei und benachrichtigen Sie gerne bevor solche Fälle bei Ihnen Realität werden und ein Schaden entsteht.
IOCs
Nachfolgend finden Sie eine Übersicht aller Informationen, die wir bis jetzt bereits gesammelt haben. Am Besten blockieren Sie die Hashes und Domains in Ihrer EDR oder Firewall.
