Es ist eine Warnung vor allem an Personalabteilungen: Betrüger nutzen Schwachstellen, um Gehälter von Mitarbeitern abzufischen.
"Ich habe mein Bankkonto gewechselt und möchte, dass mein Gehalt anders als bisher auf mein neues Bankkonto überwiesen wird. Soll ich sofort meine neuen Bankdaten mitteilen, damit die Änderungen vorgenommen werden können?" Bei Mitarbeitern in Personalabteilungen sollten bei solchen E-Mails alle Alarmglocken klingeln. Was durchaus vorkommt - ein Mitarbeiter hat die Bank gewechselt und möchte die neuen Daten durchgeben - kann Betrug sein. Darauf wies bereits wiederholt das Verbraucherschutzportal "Watchlist Internet" hin.
Kriminelle geben sich dann als Mitarbeiter des Unternehmens aus und bitten um Änderung ihrer Bankdaten für die Gehaltsüberweisung. Überprüft die Personalabteilung die E-Mail nicht auf ihre Echtheit, landet das Gehalt auf dem Konto der Betrüger.
Was die Masche so gefährlich macht: Nicht nur stimmt der Absendername tatsächlich mit dem eines Mitarbeiters oder einer Mitarbeiterin überein, sondern die Betrüger passen den Stil der E-Mail an die Unternehmenskultur an. Dafür betreiben sie erheblichen Aufwand im Vorfeld. "So wird vorab beispielsweise versucht herauszufinden, ob geduzt oder gesiezt wird, welche Signaturen zum Einsatz kommen oder wie die üblichen Grußformeln aussehen", erläutern die Experten von "Watchlist Internet".
Die Daten sammeln die Kriminellen etwa durch gezielte Anrufe, E-Mails oder Recherchen auf LinkedIn oder der Firmenwebsite. Der Betrug sei eine Form von "Social Engineering".
Der Mensch als Schwachstelle: Betrug mit "Social Engineering"
- Bei dieser Masche nutzen Kriminelle keine technischen Sicherheitslücken aus, sondern gnadenlos menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt gegenüber Autoritäten. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren", schreibt das Bundesamt für Sicherheit und Informationstechnik.
Eine weitere Form des Social Engineering sei der "CEO-Betrug", bei dem sich Kriminelle als Vorgesetzte ausgeben und ihre Mitarbeiter beispielsweise bitten, Überweisungen zu tätigen. Die dringende Empfehlung an Firmen: Cybersecurity-Schulungen, klare Regeln zu Datenänderungen und Überprüfung entsprechender E-Mails.
Verwendete Quellen
- Watchlist Internet
- Bundesamt für Sicherheit und Informationstechnik
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.