Achtung, neue Betrugsvariante
"Cyberkriminellen gelingt es immer noch viel zu häufig über das so genannte 'Social Engineering' in kleine und große Unternehmen einzudringen", erklärte der Direktor des Landeskriminalamtes NRW, Uwe Jacob.
"Hierbei werden Mitarbeiter der betroffenen Unternehmen von den Tätern gezielt telefonisch oder per E-Mail unter Vorspiegelung einer falschen Identität beeinflusst, beispielsweise um Geldflüsse auf falsche Konten im Ausland zu lenken."
Registereinträge, Homepage, ein einfacher Werbeflyer und sogar Informationen von Mitarbeitern in sozialen Netzwerken wie Xing und Facebook können reichen, um den Tätern notwendige Informationen über interne Abläufe und Strukturen des Unternehmens zu liefern: Wie sind die E-Mail-Adressen aufgebaut, wer arbeitet im Unternehmen an welcher Stelle? Wie erreiche ich Buchhaltung oder Chefetage? Lassen bevorstehende Veranstaltungen erkennen, wann der Geschäftsführer möglicherweise nicht im Hause ist?
Sind diese Strukturen einmal ausgekundschaftet, startet der Täter seine Kontaktaufnahme. Der ins Visier geratene Mitarbeiter bekommt plötzlich einen dringenden Anruf von "oberster Stelle" oder der "Geschäftsführer" meldet sich per E-Mail von einer Tagung oder ein vermeintlicher Partner des Unternehmens meldet sich. Dann soll es oft schnell gehen: Neue Verträge sollen geschlossen, Patentrechte gesichert, Maschinen oder Immobilien gekauft werden. Die Fantasie der Täter kennt keine Grenzen und richtet sich nach den zuvor ausgekundschafteten Betätigungsfeldern des jeweiligen Unternehmens.
Oft ist die Rede von "sofortiger Notwendigkeit" und einem Verweis auf "strengste Geheimhaltung". Der so unter Zeitdruck und Stress gesetzte Mitarbeiter wird versuchen, seinem vermeintlichen Vorgesetzten in dieser Situation schnell und unkompliziert zu helfen.
Überweisungen größerer Geldbeträge werden dann ohne weitere Rückversicherung vom Mitarbeiter erfüllt. Hohe Geldsummen verschwinden anschließend auf Konten im asiatischen oder osteuropäischen Raum. Die Täter haben ihr Ziel erreicht.
Grund: Die E-Mail des Täters wurde über einen Anonymisierungsdienst versendet, die Telefonnummer gefälscht und das Empfängerkonto vor kurzem erst betrügerisch unter falschem Namen eröffnet. Nach Einschätzung des Cybercrime-Kompetenzzentrums des LKA NRW belaufen sich die Schäden bei diesen Delikten auf mehrere Millionen Euro pro Jahr in Nordrhein-Westfalen.
"Unternehmen können sich vor Social Engineering schützen, indem sie öffentlich einsehbare Informationen und Veröffentlichungen von Mitarbeitern im Namen des Unternehmens kontrollieren. Durch die Einführung von Regeln im Falle von Abwesenheiten der Geschäftsführung und die Schaffung interner Kontrollmechanismen können Mitarbeiter handlungssicherer gemacht werden," empfiehlt LKA-Chef Uwe Jacob.
Wenn es dennoch zu ungewöhnlichen Zahlungsaufforderungen kommt, sollten betroffene Mitarbeiter vor Veranlassung der Zahlung Folgendes
beachten:
- Absenderadresse und Schreibweise der E-Mail überprüfen
- Zahlungen per Rückruf / Rückfrage beim Auftraggeber verifizieren
- Kontakt mit der Geschäftsleitung aufnehmen