Betrüger fordern Geld im Namen von Behörden

Eine neue Welle betrügerischer Überweisungen zielt auf Bürger und Unternehmen ab. Cyberkriminelle geben sich als staatliche Stellen aus, um Opfer um hohe Summen zu prellen. US-Bundesbehörden warnen eindringlich vor diesen ausgeklügelten Betrugsmaschen.

Die Betrüger nutzen Angst und Einschüchterung, um ihre Opfer zur Zahlung zu bewegen. Diese als Business Email Compromise (BEC) bekannten Scams werden immer überzeugender. Die Täter setzen auf raffinierte Social-Engineering-Taktiken und sogar künstliche Intelligenz (KI), um Seriosität vorzutäuschen. Das FBI warnt: Keine echte Behörde wird jemals per Telefon oder E-Mail Geld oder Bankdaten fordern.

So funktioniert der Behörden-Betrug

Im Kern geht es um Täuschung. Die Betrüger inszenieren aufwendige Szenarien, um ihre Ziele zu manipulieren. Oft geben sie sich am Telefon, per SMS oder E-Mail als Bundesagenten oder Staatsanwälte aus. Sie behaupten falsch, das Opfer sei entweder Verdächtiger in einer Betrugsuntersuchung oder selbst ein Geschädigter, der sein Geld sichern müsse.

Viele Behörden- und Lieferanten-Scams beginnen genau so wie im Artikel beschrieben – mit gefälschten E-Mails, Domain-Spoofing und erfundenen Dringlichkeits-Szenarien, die selbst erfahrene Mitarbeiter unter Druck setzen. Das kostenlose Anti-Phishing-Paket bietet eine 4-Schritte-Anleitung speziell für Kommunen und Verwaltungen: praktische Prüflisten, Vorlagen für Out-of-Band-Verifizierungen und Beispiele zu CEO-Fraud sowie Domain-Spoofing-Erkennung. Schützen Sie öffentliche Gelder mit konkreten Maßnahmen und Schulungsunterlagen. Anti-Phishing-Paket jetzt herunterladen

Dabei handelt es sich um eine Variante des BEC-Betrugs. Kriminelle senden E-Mails, die von einer bekannten oder legitimen Quelle zu stammen scheinen, und fordern eine Überweisung. Bei Angriffen auf Behörden imitieren sie oft vertrauenswürdige Lieferanten einer Kommune. Häufig nutzen sie „Domain Spoofing“, indem sie eine Webdomain registrieren, die einer echten ähnelt (z.B. .org statt .gov).

Das Ziel ist stets, ein Gespräch zu beginnen, Vertrauen aufzubauen und dann auf finanziellen Betrug umzuschwenken. Die Täter fordern eine Änderung der Zahlungsdaten auf ein von ihnen kontrolliertes Konto. Diese „nützlastfreien“ Angriffe setzen nicht auf Schadsoftware, sondern rein auf Social Engineering.

KI und Deepfakes: Die Gefahr wird raffinierter

Die Methoden der Cyberkriminellen entwickeln sich ständig weiter. Der Einsatz von KI und großen Sprachmodellen bereitet Experten zunehmend Sorgen. Diese Tools ermöglichen es Betrügern, hochgradig überzeugende Kommunikation zu verfassen. Es wird ein Anstieg von „Deepfake“-Audio erwartet, bei dem Kriminelle die Stimme eines vertrauten Partners oder Amtsträgers imitieren, um Opfer zur Überweisung zu bewegen.

Diese fortschrittlichen Techniken werden mit etablierten Social-Engineering-Strategien kombiniert. Die Angreifer nutzen öffentlich verfügbare Informationen über Behörden – etwa zu Führungspersonen oder bestehenden Vertragsbeziehungen –, um ihre Attacken maximal glaubwürdig zu gestalten.

Die FBI sieht auch im verbreiteten Remote Work einen Risikofaktor. Die Arbeit außerhalb des traditionellen Büroumfelds könnte die Erfolgsquote von Phishing-Angriffen erhöhen. Die digitale Transformation zwingt Kommunen zudem, mehr Online-Plattformen zu nutzen. Dadurch sammeln und speichern sie mehr sensible Daten – und werden so zum lukrativen Ziel.

Millionenschaden und Vertrauensverlust

Der finanzielle und reputative Schaden durch diese Betrügereien kann immens sein. Wird eine Behörde erfolgreich angegriffen, sind direkte Geldverluste und ein Erodieren des öffentlichen Vertrauens die Folge. Zahlreiche Kommunen in den USA sind bereits Opfer geworden und haben Millionen an Steuergeldern verloren.

Ein Beispiel: Die Stadt Arlington in Massachusetts verlor im Juni 2024 über 445.000 US-Dollar durch einen BEC-Betrug. Kriminelle hatten Zugriff auf städtische E-Mail-Konten erlangt, die Korrespondenz mit einem legitimen Lieferanten überwacht und sich dann als dieser ausgegeben. Sie forderten eine Änderung der Zahlungsmethode auf eine elektronische Überweisung und leiteten vier Monatszahlungen um, bevor der Betrug aufflog. Ähnliche Vorfälle in anderen Gemeinden führten zu Verlusten in Höhe von Zehntausenden bis Millionen Dollar.

Warum Kommunen verwundbar sind

Lokale Regierungen sind aus mehreren Gründen attraktive Ziele. Ihre Betriebsinformationen sind oft öffentlich, was Kriminellen die Details für gezielte Angriffe liefert. Zudem verfügen sie häufig nicht über die robusten Cybersicherheitsressourcen und das spezialisierte Personal großer Privatkonzerne.

Der Druck, grundlegende Dienstleistungen aufrechtzuerhalten, und das hohe Transaktionsvolumen mit zahlreichen Lieferanten schaffen ein Umfeld, in dem eine clever getarnte betrügerische Anfrage durchrutschen kann. Der Erfolg dieser Scams hängt oft davon ab, die menschliche Psychologie auszunutzen – ein Gefühl von Dringlichkeit oder Angst zu erzeugen, das einen Mitarbeiter veranlasst, Standardüberprüfungsverfahren zu umgehen.

Abwehrstrategie: STOP–ANRUFEN–BESTÄTIGEN

Angesichts der eskalierenden Bedrohung betonen Behörden und Cybersicherheitsexperten die Bedeutung von Wachsamkeit und starken internen Kontrollen. Das FBI rät: Wer einen unaufgeforderten Anruf oder eine E-Mail mit der Aufforderung zur Zahlung erhält, sollte keine Daten preisgeben und den Vorfall sofort melden.

Für Organisationen ist die „STOP–ANRUFEN–BESTÄTIGEN“-Methode eine zentrale Verteidigungsstrategie. Bei einer Aufforderung zur Änderung von Zahlungsdaten sollten Mitarbeiter innehalten, einen bekannten und verifizierten Kontakt der anfragenden Stelle anrufen und die Legitimität der Anfrage bestätigen, bevor sie handeln.

Weitere empfohlene Sicherheitsmaßnahmen sind:
* Mitarbeiterschulungen: Regelmäßige Sensibilisierung hilft, Phishing-Versuche und betrügerische Anfragen zu erkennen.
* Multi-Faktor-Authentifizierung (MFA): MFA für alle E-Mail-Kontente fügt eine kritische Sicherheitsebene hinzu.
* Verifizierungsprozesse: Zahlungsanweisungen niemals nur aufgrund einer E-Mail-Anfrage ändern. Etablieren Sie out-of-band-Kommunikationskanäle, wie einen Anruf unter einer bereits bekannten Nummer, um Änderungen zu verifizieren.

Die Bekämpfung von Behörden-Imitationen erfordert eine Kombination aus technologischen Sicherheitsvorkehrungen und einer gut informierten, vorsichtigen Belegschaft. Die Abwehrmaßnahmen müssen mit der wachsenden Raffinesse der Betrüger Schritt halten.

PS: Für Verwaltungen und Unternehmen, die konkrete Schutzmaßnahmen sofort umsetzen wollen, enthält das Anti-Phishing-Paket fertige Schulungsfolien, Checklisten für Zahlungsänderungen und Ablaufpläne für Incident-Response. Es gibt praxisnahe Übungen gegen Deepfake-Anrufe und Vorlagen für interne Verifizierungsprozesse – besonders nützlich in Remote-Work-Umgebungen. Setzen Sie auf erprobte Präventionsmaßnahmen, um Überweisungsbetrug zu verhindern. Jetzt Anti-Phishing-Paket gratis sichern