Expats neues Ziel der Internetbetrüger

Beim „Immigration Fraud“ kontaktieren Internetbetrüger gezielt Personen, die von ihren Firmen gerade in ein anderes Land entsandt wurden. Dabei geben sie sich als Mitarbeiter der Einwanderungsbehörde aus. Sie drohen aufgrund eines formellen Fehlers mit Verhaftung und Abschiebung, falls eine Gebühr nicht sofort bezahlt wird.

Diese neue Betrugsform setzt auf sogenannte „Social Engineering“ Methoden. Sie zielen darauf ab, frisch umgezogene Expats zu manipulieren. Die Betrüger rechnen damit, dass diese Personen in ihren Gastländern noch nicht mit allen Gegebenheiten vertraut und aufgrund der Verschärfungen im Fremdenrecht vieler Länder verunsichert sind. Das nutzen sie aus, indem sie sich als Behördenvertreter ausgeben. Die Täter gehen in der Regel sehr professionell vor. Sie kennen in den meisten Fällen neben dem Namen auch die Telefonnummer, das Geburtsdatum und die Wohnadresse des Opfers und sprechen dieses meist direkt telefonisch an. Die Raffinesse der Betrüger zeigt sich im Detail. Nicht selten wird auch die Anrufnummer manipuliert, sodass eine legitimierte Behörde am Display als Anrufer aufscheint.

Die meisten Betroffenen zweifeln deshalb nicht an der Identität des Anrufers. Das führt zu einer sehr hohen Erfolgsrate dieser Betrugsform.

Der Ablauf – Wie kommen die Betrüger an Informationen über den Arbeitnehmer

Schritt 1 – Informationsschatz Social Media

Die Betroffenen geben zahlreiche persönliche Daten freiwillig über diverse soziale Netzwerke öffentlich bekannt. Dadurch können Betrüger bereits sehr viel über ihre potentiellen Opfer erfahren. Angenommen, jemand teilt ein Foto seiner neuen Wohnung auf einem der vielen Social Media Kanäle, so enthält dieses Foto sogenannte Metadaten. Diese beinhalten sehr viele wertvolle Informationen wie die GPS-Koordinaten des Aufnahmeortes. In Kombination mit Details etwa aus dem LinkedIn-Profil einer Person zu ihrer neuen Stelle und mit einer einfachen Google-Suche macht sich der Angreifer ein gutes Bild seines potentiellen Opfers. Mit diesen Informationen kann er dann eine gezielte Phishing-Attacke starten. Er stiehlt zum Beispiel das iCloud Passwort, damit er sein potentielles Ziel besser überwachen kann.

Schritt 2 – Kontaktaufnahme, Einschüchterung und Zahlung

Hat der Betrüger sein Opfer lange genug beobachtet, nimmt er mit ihm Kontakt auf. Eine Kontaktaufnahme kann zunächst per E-Mail erfolgen oder gleich direkt über Telefon. Der Täter gibt sich dabei als Mitarbeiter der lokalen Einwanderungsbehörde aus und behauptet, die Zielperson habe nicht alle Einreiseformalitäten korrekt erledigt und müsse eine Strafe zahlen. Es wird mit einer Verhaftung und anschließender Abschiebung des Opfers gedroht, sollte die Strafe nicht innerhalb einer Frist von 48 Stunden überwiesen werden. Die Betroffenen sind von der Drohung in der Regel so eingeschüchtert, dass sie den Betrag sofort als Bargeldtransfer überweisen. Diese Überweisungsform hat den Nachteil, dass es nahezu unmöglich ist nachzuvollziehen, wer das Geld letztlich behoben hat.

Wie können Sie sich schützen?

Grundsätzlich gibt es keinen hundertprozentigen Schutz gegen betrügerische Handlungen, die auf „Social Engineering“ basieren. Dennoch können Vorkehrungen getroffen werden, um das Risiko zu reduzieren, Opfer eines solchen Betrugs zu werden.

Schaffen Sie Bewusstsein bei Ihren Mitarbeitern

Unternehmen, welche ihre Mitarbeiter, insbesondere Nicht-EU-Bürger, in andere Länder entsenden, sollten diese auf die Gefahren aufmerksam machen. Dabei sollten die betreffenden Mitarbeiter speziell für folgende Punkte sensibilisiert werden:

Informationen, welche in sozialen Netzwerken geteilt werden, können wesentlich mehr persönliche Daten preisgeben als dem Benutzer bewusst ist. Deshalb sollten Mitarbeiter in den ersten Wochen und Monaten möglichst wenig über ihren neuen Wohnort im Internet öffentlich bekannt geben.
In sozialen Netzwerken empfiehlt es sich, nur Kontaktanfragen von bekannten Personen anzunehmen.
Gerade in Rechtsstaaten ist es nicht üblich, dass eine Behörde Personen per E-Mail oder telefonisch zur Zahlung von Gelbeträgen auffordert. Mitarbeiter sollten bei einem derartigen Vorgehen immer die Möglichkeit in Betracht ziehen, dass es sich um einen Betrugsfall handeln könnte.
Bei diversen behördlichen Anfragen sollten sich die Mitarbeiter im Entsendungsland immer mit dem lokalen Personalleiter und/ oder dem lokalen Vorgesetzten abstimmen.

Etablieren Sie Vertrauenspersonen

Sorgen Sie dafür, dass jeder entsandte Mitarbeiter vor der Entsendung über alle notwendigen Behördenwege informiert und ihm eine lokale Ansprechperson zur Verfügung gestellt wird. Sie begleitet den Mitarbeiter im Idealfall zu den Behörden oder unterstützt ihn auf andere Weise bei den behördlichen Erledigungen.