Vorsicht vor gefälschten WKÖ-E-Mails
Kriminelle geben sich als Wirtschaftskammer Österreich aus und bitten Unternehmen in einem E-Mail, Kontaktdaten zu aktualisieren. Klicken Sie keinesfalls auf den Link, Sie werden auf eine gefälschte WKÖ-Seite geführt. Dort stehlen Kriminelle Firmen- und Bankdaten.
Was steht im gefälschten E-Mail?
Da Kriminelle das Design der WKÖ nachahmen und das Logo missbräuchlich verwenden, wirkt das gefälschte E-Mail auf dem ersten Blick echt.
Im E-Mail fordert man Sie auf, Ihre Kontaktdaten zu aktualisieren. Angeblich hat man Ihnen auch schon mehrere Briefe gesendet, um Sie daran zu erinnern. Wenn Sie die Daten bis zu einem bestimmten Datum nicht ergänzen, wird Ihr Register vorübergehend gesperrt – so die Behauptung.
Sehr geehrter Herr, sehr geehrte Frau,
Wir haben mehrere Briefe mit der Bitte um Aktualisierung Ihrer Kontaktdaten versandt, aber bislang keine Antwort erhalten. Die Frist zur Aktualisierung Ihrer Daten war der 8. Februar 2024. Es ist von entscheidender Bedeutung, dass wir über die richtigen und aktuellen Informationen zu Ihrem Unternehmen verfügen. Dies ermöglicht es uns, Sie über neue gesetzliche Bestimmungen zu informieren, die Ihr Unternehmen betreffen.
Aufgrund der aktualisierten gesetzlichen Anforderungen bitten wir Sie, Ihre Kontaktdaten zu überprüfen. Wenn wir bis zum 15. Februar 2024 keine aktualisierten Daten von Ihrem Unternehmen erhalten, wird Ihr Register vorübergehend nicht zugänglich sein, bis die Daten verarbeitet sind.
Daten aktualisieren
Für Fragen oder Unterstützung beim Ausfüllen der Formulare können Sie uns über die untenstehenden Kontaktdaten erreichen. Wir stehen Ihnen gerne zur Verfügung, um Ihnen zu helfen und weitere Komplikationen zu vermeiden.
Telefonnummer: +43 5 90 900 250
E-Mail-Adresse: office@wko.atWir möchten betonen, dass die Aktualisierung Ihrer Kontaktdaten eine wesentliche Verpflichtung als Unternehmer ist. Wir hoffen auf Ihre Mitarbeit und freuen uns auf Ihre baldige Antwort.
Vielen Dank im Voraus für Ihre Unterstützung.
Mit freundlichen Grüßen,
Kim van der Beide
Wirtschaftskammer Österreich
Kriminelle stehlen mit gefälschter Webseite Unternehmensdaten
Wenn Sie auf den Link im E-Mail klicken, landen Sie auf einer gefälschten WKÖ-Webseite. Dort werden Sie gebeten, Ihre Daten anzugeben. In einem Formular sollten Sie Vor- und Nachname, Firmenname, Postleihzahl und Hausnummer, Telefonnummer, Geburtsdatum und Kontonummer (IBAN) eintragen.
Wie nutzen Kriminelle diese Daten?
Kriminelle sammeln diese Daten, um sie für eine Betrugsmasche zu einem späteren Zeitpunkt zu nutzen. Diese Vorgehensweise nennt man Social Engineering. Möglicherweise werden auch über andere Wege, Daten über das Unternehmen gesammelt und eine gezielte Attacke auf bestimmte Mitarbeiter:innen vorbereitet. Mit den Informationen versuchen Kriminelle authentisch zu wirken und Personen in Ihrem Unternehmen zu manipulieren.
Im folgenden mögliche Betrugsmaschen:
-
Spear-Phishing: Phishing ist die weitverbreitetste Betrugsart. Kriminelle versenden dabei Nachrichten (meist im Namen eines Unternehmens) und erfinden Vorwände, damit Opfer Daten preisgeben. Während normale Phishing-Nachrichten willkürlich versendet werden, handelt es sich beim Spear-Phishing, um gezielte Angriffe. Diese Art des Phishings ist glaubwürdiger und somit gefährlicher.
-
Business E-Mail Compromise bzw. CEO-Fraud: Angreifer:innen geben sich als Geschäftsführung oder Mitarbeiter:innen Ihres Unternehmens aus. Dabei verschaffen sie sich entweder Zugang zum jeweiligen E-Mail-Konto oder ahmen die reguläre E-Mail-Adresse nach. Meist fordern die Kriminellen hohe Geldbeträge - wie zum Beispiel bei diesen Nachrichten, in denen eine vermeintliche Vereinsvorsitzende um das Begleichen einer Rechnung bittet.
-
Ransomware: Es gibt verschieden Arten von Schadsoftware. Unternehmen sind oftmals mit Ransomware (oder auch Verschlüsselungstrojaner/Erpressungstrojaner) konfrontiert. Diese Art von Schadsoftware sorgt dafür, dass das infizierte Gerät, bestimmte Daten oder sogar das gesamte Unternehmensnetzwerk verschlüsselt werden. Die Angreifer:innen fordern Lösegeld (auf engl. „ransom“), im Gegenzug würden sie die Verschlüsselung aufheben.
-
Gefälschte Rechnungen: Immer wieder versuchen Kriminelle mit gefälschten Rechnungen an das Geld Ihre Opfer zu bekommen. Unternehmen erhalten beispielsweise Nachrichten im Namen von Wirtschaftsdiensten, Branchenverzeichnissen oder Domainregistraren, in denen fälschlicherweise behauptet wird, dass eine Rechnung offen sei.
-
Fake-Shops: Es gibt zahlreiche Fake-Shops im Internet, manche davon richten sich als B2B-Shops gezielt an Unternehmen. So wurden im Zuge der Corona-Pandemie Fake-Shops erstellt, die mit günstigen Covid-19 Tests für Unternehmen lockten.
-
Bestellbetrug bzw. „Fake Customer Trick“: Kriminelle geben sich als Großkund:innen aus und bestellen zahlreiche Produkte. Unternehmen die liefern, erhalten jedoch niemals das Geld. Wie diese Masche genau funktioniert, erklären wir hier am Beispiel von Fake-Bestellungen im Namen von ATOS.
-
Cloaking: Beim Cloaking missbrauchen Kriminelle gehackte Webseiten, um auf Fake-Shops oder andere betrügerische Angebote weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. Der Schaden ist dennoch nicht zu unterschätzen, da die Unternehmenswebseiten oftmals nicht mehr über gängige Suchmaschinen zu finden sind.
Phishing-Fallen erkennen
-
Link: Ein Link in einem E-Mail ist immer verdächtig.
-
Absender:in überprüfen: Sehen Sie sich die E-Mail-Adresse des Absenders an, um zu überprüfen, ob die Nachricht vom vermeintlichen Unternehmen stammt.
-
Inhalt der Nachricht hinterfragen: Nehmen Sie sich kurz Zeit und überlegen Sie, ob der Inhalt der Nachricht Sinn ergibt. Bei Unsicherheiten fragen Sie beim jeweiligen Unternehmen nach, ob die Nachricht von ihnen stammt.
Das können Sie tun, wenn Sie Ihre Daten eingetippt haben
-
Kontaktieren Sie Ihre Bank und erklären Sie, dass Sie Ihre Bankdaten an Kriminelle übermittelt haben. Möglicherweise ist eine Kontosperre erforderlich.
-
Schulen Sie Ihre Mitarbeiter:innen zu gängigen Betrugsmaschen und Cybersecurity. Im Cybersecurity Awareness Playbook finden Sie Methoden und spielerische Ansätze.
-
Testen Sie unsere kostenlose Phishing-Simulation, um den Umgang mit betrügerischen Mails spielerisch im Arbeitsalltag zu vermitteln.
-
Legen Sie klare Regeln fest, wie Überweisungen, Datenänderungen und die Kommunikation mit Serviceanbietern erfolgt. Bestätigen Sie Änderungen in einem separaten Mail.
-
Ermutigen Sie Ihre Mitarbeiter:innen zum Nachfragen z. B. telefonisch oder über ein eigenständiges E-Mail.
-
Bleiben Sie über Betrugsmaschen mit der Watchlist Internet am Laufenden. Im Bereich für Unternehmen finden Sie Betrugsmaschen, die auf Unternehmen abzielen.
-
Erstatten Sie eine Anzeige bei der Polizei.
Tipp: Abonnieren Sie unseren kostenlosen Informationsfeed und bleiben Sie über aktuelle Betrugsmaschen am Laufenden.