Skip to content
Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor


Es war ein ruhiger Januartag im Jahr 2020, als der Chief Administrative Officer einer ländlichen Gemeinde im Südwesten von Manitoba eine Reihe ungewöhnlicher Bargeldabhebungen von seinem Bankkonto bemerkte.

Sie alarmierte schnell ihre Assistentin und zeigte, wie Geld auf mehrere Bankkonten überwiesen worden war, mit denen die Gemeinde nie etwas zu tun hatte.

„Es war wie ein verrücktes Durcheinander, um herauszufinden, was los war“, sagte Kate Halashewski, die zu dieser Zeit stellvertretende Verwaltungsleiterin der Gemeinde WestLake-Gladstone war.

„Im Laufe des Tages und [we’re] den Papierkram durchwühlen … es ist wie eine Entnahme nach der anderen.“

Sie wussten nicht, dass die Gemeinde, während die rund 3.300 Einwohner von WestLake-Gladstone die Ferienzeit genossen, Opfer eines ausgeklügelten Cyberangriffs geworden war – eines, bei dem ein gefälschtes Unternehmen über ein Dutzend Studenten und neue Kanadier dazu verleitete, als Vermittler zu fungieren die Gemeinde um mehr als 470.000 Dollar erpressen.

Das Stellenangebot

Es begann mit einer Stellenanzeige.

Ein scheinbar legitimes Unternehmen mit einer professionellen Website und einer Adresse in Nova Scotia behauptete, es suche nach Geldverarbeitern.

Der Vertrag war für einen Monat. Mitarbeiter könnten von zu Hause aus arbeiten.

Ihnen wurde gesagt, dass sie Zahlungen auf ihre Kreditkarten erhalten würden, die sie auf ihre Bankkonten überweisen würden. Sie würden dann die Zahlungen abheben, sie in Bitcoin umwandeln und diese an ein anderes Konto senden.

„Dieses Unternehmen hat auf einer Reihe der großen Job-Websites geworben, dass man erwarten würde, dass die Leute eine Stelle suchen“, sagte Cpl. Tarek Rabie von der Abteilung für Finanzkriminalität des RCMP.

Die betrügerischen Transaktionen begannen am 19. Dezember 2019, wurden aber erst am 6. Januar von den Beamten der Stadt entdeckt. (Warren Kay/CBC)

In einem Interview mit CBC News ging Rabie die Untersuchung des RCMP zu dem Angriff durch und erklärte, wie Betrüger den Cyberraub durchziehen konnten, ohne entdeckt zu werden.

Die Mehrheit der 18 eingestellten Personen war jung und lebte in verschiedenen Gemeinden im ganzen Land. Die meisten waren neue Kanadier, sagte Rabie.

„Die Personen würden – es ist kein schmeichelhafter Begriff – aber als Geldkuriere bezeichnet“, sagte er.

In diesem Fall galten die 18 „Money Mules“ als unwissende Teilnehmer, die mithilfe von Dokumenten, die Rabie als „professionell vorbereitet“ bezeichnete und die erstellt wurden, um sie „einzuschließen“, in das Unternehmen gelockt wurden.

Ein Reporter von CBC News sah sich die von diesen neuen Mitarbeitern unterzeichnete Vereinbarung an, die die Bedingungen ihrer Arbeit festlegte.

Das vierseitige Dokument enthielt ein Siegel mit dem Firmennamen und der Firmennummer, unterzeichnet vom Entwicklungsleiter des Unternehmens.

Die einzigen Voraussetzungen für den Job waren Zugang zum Internet, ein Telefon, Kenntnisse im Internet-Banking und die Nähe zu einem Bitcoin-Automaten.

Jeder, der im Internet nach dem Unternehmen suchte, fand eine professionelle Website mit Informationen, die mit den Angaben im Arbeitsvertrag übereinstimmten.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
In der Stadt kursierten Gerüchte, dass jemand aus der Gemeinde an dem Diebstahl beteiligt war – eine Behauptung, die sowohl die Gemeinde als auch RCMP bestreiten. (Warren Kay/CBC)

Die Phishing-E-Mail

Anfang Dezember 2019 schickten die Cyberkriminellen eine Phishing-E-Mail an mehrere Personen im Gemeindeamt von WestLake-Gladsone, einer Gemeinde etwa 150 Kilometer westlich von Winnipeg am Südwestufer des Lake Manitoba.

Mindestens eine Person klickte auf den Link, der es den Hackern ermöglichte, in die Computer und Bankkonten der Gemeinde einzudringen.

Aber Wochen vergingen und nichts passierte, also meldete der RM es nicht der Polizei. Erst nachdem das Geld verschwunden war, entdeckte die Gemeinde, dass die beiden Vorfälle miteinander verbunden waren, sagte Halashewski.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
WestLake-Gladstone hat knapp 3.300 Einwohner und ein jährliches Gemeindebudget von etwa 7 Millionen US-Dollar. Laut Gerichtsunterlagen beliefen sich die Dutzende betrügerischer Abhebungen auf insgesamt 472.377 US-Dollar. (Warren Kay/CBC)

Rabie glaubt nicht, dass die Gemeinde gezielt angegriffen wurde, hatte aber das Pech, dass ein Mitarbeiter auf den bösartigen Link klickte.

„Die meisten davon werden an so viele E-Mail-Adressen wie möglich gesendet, in der Hoffnung, dass jemand darauf klickt“, sagte er.

Phishing-Betrügereien senden normalerweise eine E-Mail mit einem „Köder“, z. B. dem Versprechen eines Preises oder dem Vorgeben der Regierung, um jemanden dazu zu verleiten, auf einen Link zu klicken.

„Sobald ein Computernetzwerk kompromittiert ist, breitet es sich normalerweise von einem Computer zum anderen aus“, sagte Rabie.

Gerichtsdokumente besagen, dass sich am 19. Dezember 2019 eine Person in das Bankkonto der Gemeinde eingeloggt und das Passwort zusammen mit den persönlichen Verifizierungsfragen geändert hat.

In den nächsten 17 Tagen fügten die Cyberangreifer die 18 eingestellten „Mitarbeiter“ als Zahlungsempfänger hinzu und begannen, systematisch Abhebungen vorzunehmen, indem sie das Geld auf die Kreditkarten der Mitarbeiter überwiesen.

Laut Gerichtsdokumenten wurden Dutzende von Abhebungen in Höhe von insgesamt 472.377 US-Dollar vorgenommen – ein beträchtlicher Betrag für eine Gemeinde mit einem Gesamtjahresbudget von 7 Millionen US-Dollar.

Diese Abhebungen wurden erst am 6. Januar entdeckt, als Halashewski sah, dass 48 Banküberweisungen – jede weniger als 10.000 US-Dollar – auf unbekannte Konten gingen.

„Es war wirklich alarmierend“, sagte der ehemalige stellvertretende CAO, der den Job im Juni 2021 aufgab.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
Kate Halashewski, ehemalige Assistentin der CAO von WestLake-Gladstone, sagte, die Gemeinde habe nach den Feiertagen festgestellt, dass das Geld fehlte. Die Polizei glaubt, dass der Zeitpunkt des Angriffs – als das Personal frei war – kein Zufall war. (Warren Kay/CBC)

Der Zeitpunkt des Angriffs über die Feiertage sei kein Zufall gewesen, sagte Rabie.

„Die Person hat gewartet, bis das Büro leer gewesen wäre, um die verdächtigen Transaktionen einzuleiten, weil sie sonst früher entdeckt worden wären“, sagte er.

„[It] zeigte wahrscheinlich ein gewisses Maß an Voraussicht und Planung.“

Als die Mitarbeiter feststellten, dass die Transaktionen nicht autorisiert waren, informierten sie RCMP und die Kreditgenossenschaft der Gemeinde, die das Konto einfror und knapp 50.000 US-Dollar zurückerhielt.

Wo das Geld hinging

Rabie sagte, die 18 Arbeiter hätten eine Provision von ein paar hundert Dollar erhalten, um die Überweisungen anzunehmen.

Er vermutet, dass es vor allem Neuankömmlinge in Kanada waren, die den Job angenommen haben, weil sie „die kanadischen Arbeitsverfahren nicht kennen … und ihren Wunsch nach Erwerbstätigkeit“.

Sobald sie die ersten Überweisungen und die Umwandlung abgeschlossen hatten, wurde die Bitcoin an das private Konto der Betrüger gesendet – von denen Cybersicherheitsexperten sagen, dass sie sich wahrscheinlich nicht in Kanada befinden.

Sobald das Geld aus einem kanadischen Bankinstitut herausgekommen ist, wird es schwieriger, es zurückzuverfolgen, da die Beamten nicht länger dafür zuständig sind, einfach einen Durchsuchungsbefehl zu erhalten, erklärte Sgt. Guy Paul Larocque vom Canadian Anti-Fraud Centre des RCMP.

„Die Tatsache, dass die Welt global ist, macht es Tätern leicht, Opfer im Grunde ins Visier zu nehmen … [from] irgendein Gebiet der Welt“, sagte er.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
Sergeant Guy Paul Larocque, stellvertretender Leiter des kanadischen Betrugsbekämpfungszentrums des RCMP, sagt, dass es schwieriger wird, Geld zurückzuverfolgen, sobald es ein kanadisches Bankinstitut verlassen hat. (RCMP)

Währenddessen hatten die Bürger von WestLake-Gladstone monatelang keine Ahnung von dem Cyberangriff oder dem fehlenden Geld.

„Ich denke … Sie würden hoffen, dass Sie einen Grund finden oder herausfinden könnten, wohin es gegangen ist, bevor Sie es jemandem sagen mussten“, sagte Halashewski, als er nach der Verzögerung bei der Benachrichtigung der Bewohner gefragt wurde.

„Denn wäre es nicht besser, zu jemandem zu sagen: ‚Oh, nun, weißt du, dieses Ding ist passiert, aber wir haben es gefunden und wir haben es behoben.’“

Die Gemeinde gab schließlich in einer Pressemitteilung vom 12. Oktober 2020 bekannt, dass sie fast eine halbe Million Dollar verloren hatte.

Die Gemeinde sei „das Ziel einer böswilligen Cybersicherheitsverletzung“ gewesen, bei der ein „erheblicher“ Geldbetrag vom Bankkonto des RM gestohlen wurde.

Klagen eingereicht

In der ganzen Stadt begann die Gerüchteküche zu brodeln, mit Anschuldigungen, dass jemand innerhalb der Gemeinde beteiligt war – Vorwürfe, die die Gemeinde bestritt.

Laut RCMP gibt es keine Beweise dafür, dass jemand innerhalb der Gemeinde an dem Angriff beteiligt war.

Hinter den Kulissen entbrannte ein Kampf zwischen der Gemeinde gegen ihr Finanzinstitut Stride Credit Union und ihrem Versicherungsanbieter Western Financial Group.

Beide weigerten sich, den Verlust von WestLake-Gladstone zu decken.

Um diese Verluste auszugleichen, reichte die Gemeinde im März 2021 beim Court of King’s Bench eine Klage gegen Stride und im Dezember 2021 gegen die Western Financial Group ein.

Beide bleiben vor Gericht.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
Die Kreditgenossenschaft von WestLake-Gladstone sagte, sie würde die Verluste nicht decken, und behauptete in einer Verteidigungserklärung, dass die Gemeinde nicht wie gefordert eine vollständige forensische Prüfung durchgeführt habe. (Warren Kay/CBC)

In der Verteidigungserklärung der Stride Credit Union wird behauptet, die Gemeinde habe keine vollständige forensische Prüfung ihres IT-Systems durchgeführt, obwohl die Kreditgenossenschaft dies beantragt hatte.

In der Erklärung wird auch behauptet, die Gemeinde habe keine zusätzlichen Informationen gegeben, als sie von der Kreditgenossenschaft angefordert wurden.

In der Verteidigungserklärung von Western Financial heißt es, dass Geldtransferbetrug oder Computerbetrug im Rahmen der Police von RM nicht abgedeckt sind.

Beamte der Gemeinde antworteten nicht auf eine Bitte um Stellungnahme zu dieser Geschichte.

Sowohl die Stride Credit Union als auch die Western Financial Group lehnten eine Stellungnahme ab, da die Angelegenheit noch vor Gericht ist.

Versicherung bietet möglicherweise keinen Schutz: Experte

Imran Ahmad, ein Cybersicherheitsexperte und Anwalt in Montreal bei der Kanzlei Norton Rose Fulbright, sagt, seine Anwaltskanzlei habe im Jahr 2022 500 Fälle von Cyberangriffen verfolgt oder bearbeitet, ein deutlicher Anstieg gegenüber 320 im Jahr 2021.

„Und das ist nur eine Firma in Kanada“, sagte er.

Die Polizei sagt auch, dass Cyberkriminalität auf dem Vormarsch ist. Laut Daten von Statistics Canada sind die von der Polizei gemeldeten Straftaten von etwas mehr als 27.000 vor fünf Jahren auf mehr als 70.000 Vorfälle im Jahr 2021 stetig gestiegen.

Aber Beamte schätzen, dass nur fünf bis zehn Prozent der Vorfälle gemeldet werden.

„Ich kann Ihnen sagen, dass es kein Verbrechen ist, das verschwinden wird“, sagte Larocque vom RCMP.

Eine gefälschte Firma, ahnungslose „Money Mules“ und Bitcoin: Wie eine Gemeinde in Manitoba 450.000 Dollar verlor
Imran Ahmad, Experte für Cybersicherheit und Senior Partner bei der Anwaltskanzlei Norton Rose Fulbright Canada, sagt, dass es viele Probleme gibt, wenn es darum geht, Verluste nach einem Cyberangriff auszugleichen. (Bereitgestellt von Norton Rose Fulbright Canada LLP)

Was die Versicherung betrifft, sagte Ahmad, der „Teufel steckt im Detail“, ob Sie nach einem Cyberangriff versichert sind.

Er sagte, es sei selten, eine Police zu finden, die die Art von Verlust abdeckt, die die Gemeinde erleidet – insbesondere, wenn ein Unternehmen oder eine Organisation durch einen E-Mail-Phishing-Betrug angegriffen wird.

Die Gemeinde sei für die sichere Aufbewahrung ihrer Passwörter verantwortlich, sagte er.

„Wenn jemand in die Systeme der Gemeinde oder in ein E-Mail-Konto gelangen konnte, in dem der Benutzername und das Passwort verfügbar gemacht wurden, oder das Passwort zurücksetzen konnte, liegt das an der Gemeinde oder dieser Organisation“, sagte er.

Provinz ordnet Ermittlungen an

In einem seltenen Schritt wurde Anfang dieses Jahres eine Anweisung des Kabinetts der Provinzregierung an Manitobas Generalrechnungsprüfer erlassen, eine Untersuchung der Operationen „verschiedener Gemeinden, einschließlich der Gemeinde WestLake-Gladstone“ durchzuführen.

In dem im September veröffentlichten Regierungsdokument heißt es, die Abteilung für kommunale Beziehungen habe Bedenken von Bürgern in diesen Gemeinden in Bezug auf „die Verwaltung des Rates, das Finanzmanagement, die Aufsicht und die öffentliche Rechenschaftspflicht“ gehört.

Im Zusammenhang mit dem WestLake-Gladstone-Cyberangriff wurden keine Verhaftungen vorgenommen, und RCMP gibt an, dass er nicht mehr aktiv untersucht wird.