Mitarbeiter:innen wollen Gehaltskonto ändern? Vorsicht vor Betrug!
Kriminelle haben es aktuell auf die Lohnzahlungen Ihrer Angestellten abgesehen. Per E-Mail treten sie mit der zuständigen Abteilung Ihres Unternehmens in Kontakt und versuchen, eine Änderung der IBAN zum Empfang der Gehälter zu erwirken. Klappt der Betrug, landet das Geld in den Taschen Krimineller und wird erst bemerkt, wenn die Auszahlung des Gehalts nie bei der tatsächlich angestellten Person eingeht.
Womöglich erhält Ihr Unternehmen aktuell Nachrichten wie die folgende:
Hallo [Name zuständige Person Gehälter],
Wie geht es dir heute? Ich habe mein Bankkonto gewechselt und möchte, dass mein Gehalt anders als bisher auf mein neues Bankkonto überwiesen wird. Soll ich sofort meine neuen Bankdaten mitteilen, damit die Änderungen vorgenommen werden können?
Danke.
LG [Name Mitarbeiter:in]
Während die Nachricht oben auf den ersten Blick keinen unseriösen Hintergrund vermuten lässt, zeigte ein genaueres Hinsehen im betroffenen Unternehmen schnell, dass diese nicht von einem echten Mitarbeiter stammte, sondern von Kriminellen in dessen Name verschickt wurde.
Nachrichten an Unternehmenskommunikation angepasst!
Besonders gefährlich macht diese Betrugsmasche, dass Kriminelle oft erheblichen Aufwand betreiben, um die in Unternehmen gängige Kommunikationskultur in den Betrugs-Mails abzubilden. So wird vorab beispielsweise versucht herauszufinden, ob geduzt oder gesiezt wird, welche Signaturen zum Einsatz kommen oder wie die üblichen Grußformeln aussehen.
Dadurch kann die betrügerische Nachricht an ein Unternehmen, in dem das Du-Wort gängig ist und eine lockere Kommunikationskultur herrscht, zum Beispiel folgendermaßen aussehen:
Hey [Gabi]!
Alles klar? Bitte ändere mein Gehaltskonto auf folgende IBAN: AT65 XX23 9056 YY56 XY62!
Danke!
In einem Unternehmen, in dem gesiezt wird, Signaturen zum Einsatz kommen und strengere Grußformeln gängig sind, wäre obige Nachricht vollkommen unglaubwürdig. Eine betrügerische Nachricht mit demselben Ziel wie zuvor könnte dort folgendermaßen aussehen:
Sehr geehrter Herr [Muster],
wegen einem Wechsel der Bank, bitte ich Sie darum, meine Gehaltszahlungen künftig auf folgendes Konto vorzunehmen: IBAN: AT65 XX23 9056 YY56 XY62
Vielen Dank.
Mit freundlichen Grüßen
[Axel Exempel]
---
[Abteilung XY – Marketing]
Kriminelle setzen sogenanntes Social Engineering ein, um ihr Gegenüber so zu manipulieren, dass es die gewünschten Handlungen durchführt. Als Einfallstor dient somit der Mensch bzw. die Angestellten – nicht etwa Sicherheitslücken in der Gehaltsabrechnungssoftware. Das Übernehmen der Kommunikationskultur eines Unternehmens oder das Kopieren von Signaturen sind Teil dieses Social Engineerings.
So schützen Sie sich
-
Schulen Sie Ihre Mitarbeiter:innen zu gängigen Betrugsmaschen und Cybersecurity. Nutzen Sie dafür das kostenlose Cybersecurity Awareness Playbook.
-
Legen Sie klare Regeln fest, wie Datenänderungen von Mitarbeiter:innen erfolgen. Bestätigen Sie Datenänderungen mit einem separaten Mail.
-
Wenn Sie bei einem E-Mail ein komisches Gefühl haben, kontaktieren Sie die jeweilige Person und halten Sie Rücksprache über das Anliegen. Schreiben Sie entweder ein separates Mail oder rufen Sie an. Ermutigen Sie Ihre Mitarbeiter:innen zum Nachfragen.
-
Kontrollieren Sie bei untypischen Forderungen oder ungewöhnlich formulierten Anfragen den Absender genau. Ist es tatsächlich die richtige E-Mail-Adresse der Person?
-
Testen Sie unsere kostenlose Phishing-Simulation, um den Umgang mit betrügerischen Mails spielerisch im Arbeitsalltag zu vermitteln.