In den letzten Tagen mehren sich wiederum Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll, wie die Melde- und Analysestelle Informationssicherung (Melani) warnt.
Die Angreifer versuchen demnach typischerweise die Mitarbeitenden der Firma zu überzeugen, eine Fernzugriffssoftware (zum Beispiel NTR-Cloud, Teamviewer) zu installieren, verbinden sich dann mit dem Computer des Opfers und täuschen vor, ein E-Banking-Update durchzuführen. Anschliessend geben die Täter vor, dass das Update getestet werden müsse und versuchen das Opfer zu überzeugen, seine Zugangsdaten für das E-Banking der Firma einzugeben. Anhand einer Testzahlung wollen die Angreifer die Funktionsweise des Systems überprüfen. Ist die Zahlung durch eine Kollektivunterschrift geschützt, versuchen die Betrüger das Opfer zu überzeugen, alle Unterschriftsberechtigten zu organisieren, um die Zahlung freizugeben.
In einer anderen Variante werden die Opfer angewiesen, aufgrund von dringenden E-Banking Updates für einige Tage auf das E-Banking zu verzichten, berichtet Melani. Im Falle von dringenden Transaktionen soll das Opfer eine durch die Betrüger angegebene Rufnummer kontaktieren. Ruft das Opfer den falschen Bankmitarbeiter an, um eine E-Banking Transaktion durchzuführen, werden sowohl Benutzername und Passwort als auch das Einmalpasswort nachgefragt. Der Angreifer bekommt so Zugang zum E-Banking der Firma. Dieses Vorgehen kann so lange wiederholt werden, bis das Opfer misstrauisch wird.
Die Beispiele zeigten, wie aktuell Social Engineering Methoden weiterhin seien, betont Melani. Die Sensibilisierung innerhalb der einzelnen Firmen sei der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.
Melani gibt dazu folgende Empfehlungen ab:
- Unternehmen sollten kontrollieren, welche Informationen über die eigene Firma online zugänglich sind. Auf der Firmen-Website sollten nie die E-Mail-Adressen von Vorstand bzw. Mitarbeitenden preis gegeben werden, sondern es sollten generische Mail-Adressen verwendet werden.
- Man sollte misstrauisch sein, falls sich jemand mit ungewohnten Anliegen meldet und den Anrufenden kritisch überprüfen. Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren. Die Mitarbeitenden sind bezüglich dieser Vorfälle zu sensibilisieren, insbesondere die Mitarbeitenden in Schlüsselpositionen.
- Man sollte niemals per Telefon, E-Mail oder im Internet persönliche Zugangsdaten an Dritte weitergeben. Finanzinstitute fordern einem nie in einem Telefongespräch, E-Mail oder einer Kurznachrichtdazu dazu auf, vertrauliche Personendaten anzugeben.
- Man sollte niemals Software installieren, wenn man telefonisch oder schriftlich dazu aufgefordert wird. Und es ist niemals ein Fremdzugriff auf den eigenen Computer zu erlauben. Keine Bank fordert einem dazu auf, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken.
- Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden.
