„Ich möchte meine Bankdaten ändern“: Dieses Mail an die Personalabteilung könnte Betrug sein
Kriminelle geben sich als Mitarbeiter:innen Ihres Unternehmens aus und bitten um Änderung ihrer Bankdaten für die Gehaltsüberweisung. Wird das E-Mail nicht als Fake erkannt, wird das Gehalt der jeweiligen Mitarbeiter:innen auf das Bankkonto von Kriminellen überwiesen. Wir zeigen Ihnen, woher Kriminelle die Daten kennen und wie Sie sich schützen.
Unternehmensbetrug: Bankdaten ändern
Aktuell erhalten Office-Mitarbeiter:innen, Personalzuständige oder Gehaltsabteilungen gefälschte E-Mail-Anfragen von Mitarbeiter:innen. Darin steht, dass die Person ihre Bankdaten ändern möchte.
Hallo [Name der Person],
Welche Angaben sind erforderlich? Ich möchte meine Bankdaten ändern vor dem nächsten Zahlungstermin.
Mit freundlichen Grüßen,
[Signatur Mitarbeiter:in]
Diese E-Mails wirken zum Teil echt, da der angezeigte Absendername manipuliert wurde. Entweder wird dort nur der Name der jeweiligen Person oder dessen E-Mail-Adresse angezeigt. Die E-Mail-Adresse, von der das E-Mail tatsächlich kommt, wird verschleiert oder nur mit zusätzlichen Klicks sichtbar.
Wenn Sie das E-Mail nicht als Fake entlarven und die Daten ändern, wird das Gehalt an Kriminelle überwiesen.
Woher haben die Kriminellen die relevanten Daten?
Bei dieser Art von Betrug handelt es sich um gezielte Manipulation, auch „Social Engineering“ genannt. Damit die Manipulation funktioniert, müssen die Kriminellen im Vorfeld Informationen sammeln - in diesem Fall zum Beispiel, wer im Unternehmen für die Gehaltsabrechnung zuständig ist. Durch gezielte Anrufe oder E-Mails erhalten die Betrüger:innen relevante Daten, oft reicht schon die E-Mail-Signatur aus, um Zuständigkeiten in einem Unternehmen herauszufinden. Auch Phishing-Fallen, Recherchen auf LinkedIn, anderen Sozialen Medien oder auf der Firmenwebsite liefern brauchbare Daten.
Eine weitere Form des Social Engineering ist der CEO-Betrug, bei dem sich Kriminelle als Vorgesetzte oder andere entscheidungsbefugte Personen ausgeben und ihre Mitarbeiter:innen, um vertrauliche Daten bitten oder sie mit Überweisungen beauftragen.
So schützen Sie sich
-
Schulen Sie Ihre Mitarbeiter:innen zu gängigen Betrugsmaschen und Cybersecurity. Nutzen Sie dafür das kostenlose Cybersecurity Awareness Playbook.
-
Legen Sie klare Regeln fest, wie Datenänderungen von Mitarbeiter:innen erfolgen. Bestätigen Sie Datenänderungen mit einem separaten Mail.
-
Wenn Sie bei einem E-Mail ein komisches Gefühl haben, kontaktieren Sie die jeweilige Person und halten Sie Rücksprache über das Anliegen. Schreiben Sie entweder ein separates Mail oder rufen Sie an. Ermutigen Sie Ihre Mitarbeiter:innen zum Nachfragen.
-
Kontrollieren Sie bei untypischen Forderungen oder ungewöhnlich formulierten Anfragen den Absender genau. Ist es tatsächlich die richtige E-Mail-Adresse der Person?
-
Testen Sie unsere kostenlose Phishing-Simulation, um den Umgang mit betrügerischen Mails spielerisch im Arbeitsalltag zu vermitteln.