Startseite Mediencorner Medienmitteilungen Social Engineering: Neue Angriffsmethode richtet sich gegen Firmen
Ansprechpartner  No├ę Blancpain No├ę Blancpain
Bereichsleiter Kommunikation und Public Affairs
+41 44 384 48 65 +41 44 384 48 65 n.blancpainnoSpam@swissmem.ch
Teilen

Social Engineering: Neue Angriffsmethode richtet sich gegen Firmen

In letzter Zeit wurden der Melde- und Analysestelle Informationssicherung MELANI des Bundes F├Ąlle gemeldet, bei denen Betr├╝ger Firmen anrufen, sich als Bank ausgeben und behaupten, dass am n├Ąchsten Tag ein E-Banking-Update durchgef├╝hrt w├╝rde.

Die Betr├╝ger verlangen, dass an diesem Termin verschiedene Mitarbeitende der Finanzabteilung anwesend sind. Dies hat den Zweck, eine betr├╝gerische Zahlung auszul├Âsen. Bei uns haben sich vereinzelt ebenfalls Mitgliedsfirmen mit ├Ąhnlichen Schilderungen gemeldet. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schl├╝ssel, solchen Betrugsversuchen wirksam vorzubeugen.

Es mehren sich Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. In vielen F├Ąllen ist die Information, bei welcher Bank die Firma Kunde ist, auf der Firmenwebseite ersichtlich, da dort die Bankverbindung angegeben ist. Die Information kann aber auch im Vorfeld durch die Betr├╝ger mittels Telefonanruf oder E-Mail-Anfrage eruiert werden.

Die Anrufer geben vor, ein Update beim E-Banking durchf├╝hren zu m├╝ssen, das anschliessend getestet werden soll. Um diesen Test durchf├╝hren zu k├Ânnen, m├╝ssten allerdings alle Mitarbeitende der Finanzabteilung, insbesondere diejenigen, die Unterschriftsberechtigung beim e-Banking haben, anwesend sein. Um Vertrauen zu schaffen, erw├Ąhnen die Betr├╝ger zum Teil die Namen von existierenden Mitarbeitenden.

Bei einem weiteren Anruf soll dann ein Fernzugriffstool installiert und dem Anrufer der Zugriff gew├Ąhrt werden. Dieser gibt vor, anhand einer Testzahlung die Funktionsweise des Systems ├╝berpr├╝fen zu wollen. Da das Ausl├Âsen von Zahlungen bei Firmen in der Regel durch eine Kollektivunterschrift gesch├╝tzt ist, fordern die Betr├╝ger die Unterschriftsberechtigten auf, ihre Zugangsdaten anzugeben. In Wirklichkeit geben sie allerdings so die Zahlung frei. In einigen F├Ąllen wird dem Opfer w├Ąhrend diesem Vorgang durch die Angreifer ein schwarzer Bildschirm eingeblendet, damit das Opfer die betr├╝gerische Zahlung nicht bemerken kann.

Um sich vor solchen Angriffen zu sch├╝tzen, empfiehlt MELANI folgende Massnahmen:

  • Die Sensibilisierung von Mitarbeitenden bez├╝glich dieser Vorf├Ąlle, insbesondere der Mitarbeitenden in Schl├╝sselpositionen.
  • S├Ąmtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen F├Ąllen konsequent eingehalten werden. Finanzinstitute werden Sie weder telefonisch noch schriftlich dazu auffordern, Ihre e-Banking Zugangsdaten anzugeben.
  • Keine seri├Âse Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken. Die Banken resp. deren IT-Dienstleister verf├╝gen ├╝ber spezielle Testumgebungen, um Sicherheitsupdates zu pr├╝fen, bevor diese f├╝r den Kunden sichtbar werden.
  • Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufgefordert werden.
  • Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer.
  • Reduzieren Sie im Internet publizierte Informationen ├╝ber Ihr Unternehmen auf das Notwendige. Verzichten Sie wenn m├Âglich auf die namentliche Nennung von Mitarbeitenden sowie auf die Angabe von Bankverbindungen.
  • Geben Sie bei zweifelhaften oder ungew├Âhnlichen Kontaktaufnahmen keine internen Informationen preis.
  • Bei ungew├Âhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma R├╝cksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren.
  • Falls Sie Opfer von Betrug geworden sind, melden Sie dies via Meldeformular an das Bundesamt f├╝r Polizei fedpol und erstatten Sie Anzeige bei Ihrer kantonalen Polizeidienststelle.

F├╝r die IT-Sicherheit in KMUs hat MELANI ein Merkblatt ver├Âffentlicht: Merkblatt IT Sicherheit f├╝r KMUs 

Letzte Aktualisierung: 01.03.2017