IT-Sicherheit: Betrug mittels Social Engineering
Waren Phishing-Mails bis vor ein paar Jahren noch relativ schlecht formatiert, mit vielen Rechtschreibfehlern und von dubiosen Email-Accounts verschickt, so lassen sich die Fälschungen heute kaum noch mit flüchtigem Blick von "offiziellen" Mails unterscheiden.
Die Masche ist dabei immer die Gleiche: der Empfänger soll dazu gebracht werden, seine Kontodaten, die PIN-Nummer oder andere Daten in ein Web-Formular einzugeben, damit die Online-Diebe sich dann Zugang zum Konto verschaffen und richtig viel Schaden anrichten können. Andere E-Mails fordern dazu auf, für eine wichtige Transaktion Geld zu überweisen.
Bei der so genannten Chef-Masche werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen angesprochen. Die Anweisungen für Überweisungen kommen angeblich vom Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich angeblich um ein vertrauliches Projekt handelt.
Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender für die Aktion werden durch öffentlich verfügbare Informationen auf der Webseite einer Firma, in Online-Karriereportalen, sozialen Netzwerken, Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzten diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation in einem Betrieb glaubwürdig nachzuahmen und den Empfänger so dazu zu verleiten, die Geldbeträge tatsächlich zu überweisen.
Dem Betrug per Social Engineering sind inzwischen viele Unternehmen bundesweit zum Opfer gefallen. Da Social Engineering auf der menschlichen Natur und gefühlsmäßigen Reaktionen basiert, gibt es zahlreiche Möglichkeiten, mit denen Angreifer Unternehmen hereinlegen können.
Wie können sie sich als Unternehmen schützen?
Nehmen Sie vor der Überweisung unbedingt persönlich Kontakt mit dem Geschäftsführer oder der Führungskraft auf. Die Betrugsmails werden nicht von Firmenadressen versandt. Überprüfen Sie die genutzte E-Mail-Adresse genau. Kontaktieren sie bei Betrugsverdacht auch die Polizei. Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind, wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen veröffentlichen. Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein und sensibilisieren Sie Ihre Mitarbeiter für das Phänomen.