thumb

In den letzten Tagen wurden der schweizerischen Melde- und Analysestelle Informationssicherung (Melani) mehrere Fälle gemeldet, bei denen Betrüger Firmen anrufen, sich als Bank ausgeben und behaupten, dass am nächsten Tag ein E-Banking-Update durchgeführt würde. Sie verlangen, dass an diesem Termin verschiedene Mitarbeitende der Finanzabteilung anwesend sind. Dies hat den Zweck, das Sicherheitselement "Kollektivunterschrift" auszuhebeln und so eine betrügerische Zahlung auszulösen.

Die Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben, hätten sich in den letzten Tagen deutlich ausgebreitet, heisst es. In vielen Fällen sei die Information, bei welcher Bank die Firma Kunde ist, auf der Firmenwebseite ersichtlich, da dort die Bankverbindung angegeben sei. Die Information könne aber auch im Vorfeld durch die Betrüger mittels Telefonanruf oder E-Mail-Anfrage eruiert werden.

Die Anrufer geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll. Um diesen Test durchführen zu können, müssten allerdings alle Mitarbeitende der Finanzabteilung, insbesondere diejenigen, die Unterschriftsberechtigung beim E-Banking haben, anwesend sein. Um Vertrauen zu schaffen, erwähnen die Betrüger zum Teil die Namen von existierenden Mitarbeitenden.

Bei einem weiteren Anruf soll dann ein Fernzugriffstool installiert und dem Anrufer der Zugriff gewährt werden. Dieser gibt vor, anhand einer Testzahlung die Funktionsweise des Systems überprüfen zu wollen. Da das Auslösen von Zahlungen bei Firmen in der Regel durch eine Kollektivunterschrift geschützt ist, fordern die Betrüger die Unterschriftsberechtigten auf, ihre Zugangsdaten anzugeben. In Wirklichkeit geben sie allerdings so die Zahlung frei. In einigen Fällen wird dem Opfer während diesem Vorgang durch die Angreifer ein schwarzer Bildschirm eingeblendet, damit das Opfer die betrügerische Zahlung nicht bemerken kann.

Das Beispiel zeigt, wie aktuell Social Engineering Methoden weiterhin sind. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.

Um sich vor solchen Angriffen zu schützen, empfiehlt Melani folgende Massnahmen:
- Die Sensibilisierung von Mitarbeitenden bezüglich dieser Vorfälle, insbesondere der Mitarbeitenden in Schlüsselpositionen.
- Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden. Finanz­institute werden Sie weder telefonisch noch schriftlich dazu auffordern, Ihre E-Banking Zugangsdaten anzugeben.
- Keine seriöse Bank wird eine Firma auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken. Die Banken resp. deren IT-Dienstleister verfügen über spezielle Testumgebungen, um Sicherheitsupdates zu prüfen, bevor diese für den Kunden sichtbar werden.
- Niemals Software installieren, wenn man telefonisch oder schriftlich dazu aufgefordert wird.
- Niemals einen Fremdzugriff auf die eigenen Rechner erlauben.
- Im Internet publizierte Informationen über das Unternehmen auf das Notwendige reduzieren. Möglichst auf die namentliche Nennung von Mitarbeitenden sowie auf die Angabe von Bankverbindungen verzichten.
- Bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine internen Informationen preisgeben.
- Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren.

Falls jemand Opfer von Betrug geworden ist, sollte dies via Meldeformular an das Bundesamt für Polizei Fedpol gemeldet werden: https://www.cybercrime.admin.ch/kobik/de/home/meldeformular/meldeformula.... Zudem sollte Anzeige bei der betreffenden kantonalen Polizeidienststelle erstattet werden.

Für die IT-Sicherheit in KMUs hat Melani ein Merkblatt veröffentlicht:
www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitu...



Der Online-Stellenmarkt für ICT Professionals