Der vermögende Industrielle, der einen Geschäftspartner sucht. Der reiche Prinz, der ein Erbe zu vergeben hat. Oder der seit Jahrzehnten auf einer Raumstation gefangene Astronaut, der Geld für die Finanzierung seiner Rückkehr braucht. All das sind Geschichten, die von nigerianischen Scammern geschrieben werden, die unbedarften Nutzern ihr Geld abluchsen wollen.

Nach jahrelanger medialer Berichterstattung über das Phänomen sollte man meinen, dass heutzutage niemand mehr auf solche Tricks hereinfällt. Doch weit gefehlt, berichtet "Wired". E-Mail-Betrug ist so erfolgreich wie nie zuvor.

Wie die Mafia von damals

Das geht aus einem Bericht des IT-Sicherheitsdienstleisters Crowdstrike (PDF) hervor. Gruppen wie "Black Axe" haben ihre Methoden verfeinert und gelernt, wie man überzeugende E-Mails verfasst. Sie seien technisch nicht besonders fortschrittlich, sondern eher vergleichbar mit der Mafia aus vergangenen Zeiten, weil sie als Organisationen ähnlich wie eine "Familie" funktionieren.

Neue Mitglieder erhalten einen eigenen Namen. Es gibt einen eigenen Sprachgebrauch und eigene Musik. Und mitunter gibt man sogar in sozialen Netzwerken mit den eigenen Taten an. Lange wurden die jungen Scammer "Yahoo Boys" genannt, weil sie ihre E-Mails oft von Yahoo-Adressen aus versandten und andere Yahoo-Nutzer beschickten. In dem Rap-Song "Yahooze" werden die Scammer glorifiziert.

Längst sind es allerdings nicht nur Privatpersonen, die sie im Visier haben. Man hat auch Kleinunternehmen als lukrative Zielgruppe entdeckt. Offenbar mit Erfolg. Denn zuletzt konnten die Betrüger den finanziellen Ertrag ihrer Angriffe im Schnitt steigern. Das FBI schätzt, dass es zwischen 2013 und 2016 weltweit zu 40.000 "Business-E-Mail-Kompromittierungen" gekommen ist, die 5,3 Milliarden Euro Schaden verursacht hätten.

Gefinkeltes Social Engineering

Bei Unternehmen setzen die Cyberkriminellen allerdings nicht auf klassischen Spam, in dem sie gegen eine "kleine" Überweisung die Auszahlung von Millionenbeträgen versprechen. Sie schicken gezielt Fake-Mails an Firmenmitarbeiter in der Hoffnung, dass diese unvorsichtig agieren und ihre Rechner mit Malware infizieren. Damit überwachen sie ihre Opfer längere Zeit, loggen Accountdaten mit und machen sich ein Bild davon, wie das Unternehmen organisiert ist.

Im letzten Schritt versuchen sie sich als Mitarbeiter oder als Vertreter einer Partnerfirma auszugeben, mitunter durch die Übernahme ihrer Accounts. Sie versuchen etwa echte Rechnungen abzufangen, die Bankdaten zu ändern und diese anschließend an die eigentliche Zielperson weiterzuleiten. Diese und andere "Man in the Middle"-Angriffe werden so lange durchgezogen wie möglich.

Malware von der Stange

Dabei greift man auf recht billige Methoden zurück. Man registriert etwa Domains, die den realen Adressen von Firmen sehr ähnlich sind, und weicht sofort auf eine andere Adresse aus, wenn sich eine Domain nicht mehr "melken" lässt. Statt selbstentwickelter Schadsoftware setzt man auf günstige fertige Malware. Mehr Mühe gibt man sich bei Identitätsklau. Hier versucht man etwa an offizielle Briefköpfe zu kommen und sucht sogar Videos von Angestellten, die bei Skype-Anrufen vorgeschalten werden.

Die Scammer dingfest zu machen ist nicht einfach. Die Geldströme sind nur schwer nachvollziehbar, da die ergaunerten Beträge häufig über mehrere Stationen in Asien geleitet werden, ehe sie in Nigeria ankommen. Der Traffic ist freilich bis Nigeria nachvollziehbar, und auch die Pseudonyme in sozialen Medien sind nur ein begrenzter Schutz. Dass tatsächlich hochrangige Scammer festgenommen werden, kommt jedoch selten vor.

Betriebe nach Angriff oft vor dem Aus

Für die Opfer sind die Folgen oft gravierend. Das FBI arbeitet mit Banken zusammen, um das Geld zurückzuholen, was sich jedoch schwierig gestaltet. "Wenn ein Kleinunternehmen um 200.000 oder 500.000 Dollar betrogen wird, dann ist es erledigt", sagt dazu ein FBI-Vertreter aus Los Angeles.

Das Problem dürfte Behörden und Opfer auch noch eine ganze Weile beschäftigen. Denn, so beobachten Sicherheitsexperten, die kriminelle Szene ist ausgesprochen innovativ. Die Gruppen lernen voneinander und entwickeln immer ausgeklügeltere Methoden. Viele Firmen wiederum sollten zumindest einen grundlegenden Schutz in ihrer IT-Praxis implementieren – etwa einen strengen E-Mail-Filter, das zeitnahe Einspielen von Softwareupdates und die Verwendung von Zwei-Faktoren-Authentifizierung, damit Unbekannte mit geklauten Logindaten nicht sofort Schaden anrichten können. (red, 7.5.2018)