Nachrichten > Social Engineering in der Finanzabteilung – Fallen Sie nicht auf diese Betrugsmaschen herein!

Social Engineering in der Finanzabteilung – Fallen Sie nicht auf diese Betrugsmaschen herein!

teaserSocial Engineering in der Finanzabteilung – Fallen Sie nicht auf diese Betrugsmaschen herein!

In der Finanzabwicklung stößt man nahezu täglich auf Risiken und Gefahren, die sich nicht so einfach umgehen lassen. Oft handelt es sich dabei um strukturelle Risiken, wenn große Summen transferiert werden – Kursrisiko und Zahlungsmoral eines neuen Kunden können nur in bedingtem Rahmen gemanagt werden. Andere Risiken hingegen können effektiv vermieden werden, da sie in den Bereich des Social Engineering fallen. Dabei versuchen Kriminelle durch geschicktes Interagieren Mitarbeiter zu hohen Überweisungen zu verleiten – drei davon stellen wir Ihnen heute vor!

 

Phishing, der Klassiker

Versuchen Kriminelle, über eine vermeintlich legitim aussehende E-Mail (oder Fax) Mitarbeiter zur Überweisung hoher Summen anzuweisen, spricht man von Phishing.

Bei klassischem Phishing gibt der Absender gerne vor, ein Bankinstitut oder Geschäftspartner zu sein, für den die Überweisungsdaten erneut bestätigt werden müssen. Das ließe sich angeblich über einen praktischen Link direkt in der E-Mail erledigen. Wer den Anweisungen folgt, gibt seine Daten jedoch Kriminellen preis. Häufig verschwindet dadurch auf einen Schlag sehr viel Geld. Dabei kann Phishing in den meisten Fällen direkt erkannt werden:

  • Überprüfen Sie die (möglicherweise versteckte) Absender-Adresse. Oft stimmt diese überhaupt nicht überein. Achtung: Selbst wenn sie plausibel lautet, muss die Endung längst nicht stimmen!
  • Klicken Sie auf keine unerwarteten Links in E-Mails. Wenn Sie sich unsicher sind, fahren Sie entweder über den Link, so können Sie sehen, wohin er führt. Alternativ tippen Sie die gewünschte Webseite manuell in einen Tab Ihres Browsers, um sich einzuloggen.
  • Fragen Sie bei Geschäftspartnern im Zweifelsfall telefonisch nach.

 

Die nächste Stufe: CEO-Fraud

Spätestens seit das Bundesamt für Sicherheit in Informationstechnik (BSI) letztes Jahr über einem rasanten Anstieg von CEO Fraud berichtete, ist CEO Fraud in den Unternehmen angekommen. Damals konnten Ermittler eine Liste mit rund 5.000 potenziellen Zielpersonen aus verschiedenen unternehmerischen Feldern erbeuten.

Die Masche ist so einfach wie effektiv: Die Cyberkriminellen versenden dabei vorzugsweise eine E-Mail oder Fax, in der sie sich als Vorstandsmitglied oder Manager ausgeben und eine geheime Transaktion anweisen. Damit soll entweder eine dringliche Geschäftsgelegenheit umgesetzt oder eine Entwicklung der Forschungsabteilung finanziert werden. Aus diesen Gründen könne die übliche Zahlungskette nicht eingehalten werden.

Besonders gewiefte Betrüger untermauern ihre Beteuerungen dadurch, dass der betreffende Manager tatsächlich gerade im Ausland weilt oder durch einen Anruf, in dem sie sich nach der Umsetzung erkundigen. Das funktioniert jedoch nur in größeren Unternehmen, in denen sich die Angestellten nicht persönlich kennen und folglich die Stimme nicht zuordnen können. Um dieses Risiko zu minimieren, sollten Sie Zahlungsaufforderungen per E-Mail möglichst unterbinden oder einen weiteren Kontrollmechanismus einführen. 

 

Payment Diversion hinterlässt keine auffälligen Geldflüsse

Schließlich gibt es eine dritte Variante, mit der sich Kriminelle getarnt in Unternehmen einschleichen: Bei der sog. Payment Diversion geben sie sich als Lieferanten und Geschäftspartner aus. Dabei bitten sie den zuständigen Mitarbeiter darum, die Zahlungsinformationen zu aktualisieren, da sich die Kontoverbindungsdaten geändert hätten. Auch hier gibt es Variationen, sodass nicht nur eine formlose E-Mail versendet wird, sondern auch telefonisch deren Erhalt bestätigt werden soll. Das Problem bei Payment Diversion ist, dass dadurch keinerlei auffällige Kontobewegungen entstehen. Die Zahlungen gehen zunächst wie geplant an den Lieferanten raus. Da sich der eigentliche Lieferant erst nach Überschreiten des Zahlungsziels melden wird, haben die Kriminellen ausreichend Zeit, sich mit dem erbeuteten Geld abzusetzen. 

Hier gilt es zu beachten: Dass ein Unternehmen ohne Not seine Zahlungsinformationen wechselt, ist ein seltener Fall. Mitarbeiter tun Recht daran, eine solche Änderung, die lediglich über eine formlose E-Mail ankommt, zu ignorieren.

Vorsicht und ein gesundes Maß an Misstrauen vor formlosen E-Mails sind in jedem Fall angebracht. Schärfen Sie daher Ihren Blick, sodass Sie kein Opfer dieser Betrugsmaschen werden.  

Datum: 28 August 2018, 12:08 pm
Weiterlesen:
Three Key Reasons to Leave Your Legacy Citrix Environment Behind
So gelingt die Einführung eines Firmenfitness-Konzepts
business-iq.net
Nachrichten
Themen
Whitepaper
Über uns
B2B Media Group
Rechtsinformation
Datenschutz
Herunterladebedingungen
Werbung
Kontakt
E-Mail
Pressekontakt
Redaktion
Beitrag leisten
© 2024 B2B Media Group GmbH, München. Alle Rechte vorbehalten.