Die Melde- und Analysestelle Informationssicherung MELANI erhält vermehrt Meldungen über Betrugsvarianten, welche Social Engineering-Methoden verwenden. Die Angreifer versuchen, bei ihren Opfern Vertrauen zu schaffen, bevor der eigentliche Betrug stattfindet. Unternehmen verschiedenster Grösse und aus unterschiedlichsten Branchen sind davon betroffen.

Zuerst werden von den Betrügern Informationen über das anzugreifende Unternehmen eingeholt. Gesammelt werden dabei Informationen zu den Aktivitäten, den Schlüsselposten oder dem verwendeten Format für den E-Mail-Verkehr. Genutzt werden offenen Quellen wie die Unternehmenswebsite. Überdies wird aktiv recherchiert: Über das Telefon oder über E-Mail werden ganz vertrauensselig spezielle Informationen angefordert.
 

Der raffinierte Angriff

Nach der Informationsbeschaffung startet der Angriff. In der Regel wird eine E-Mail an einen Mitarbeitenden der Finanzabteilung versandt. Der Absender ist ein Mitglied der Führungsetage. Während Absenderadressen dafür mehrheitlich gefälscht werden, stammen E-Mails in vereinzelten Fällen tatsächlich von den vorher gehackten Absenderkonten. Die versendete E-Mail handelt von laufenden vertraulichen Finanzgeschäften. Das Email-empfangende Opfer wird mit der „juristischen Abteilung des Unternehmens“ in Kontakt gebracht, die mit den Angaben der Überweisung betraut sein soll. In einem weiteren Schritt geben sich die Betrüger dann als diese Abteilung aus. Dabei werden der einmalige Charakter und die Vertraulichkeit des Auftrags hervorgehoben. Gleichzeitig wird auf hohe Dringlichkeit gedrängt. In manchen Fällen versuchen die Kriminellen mit parallelen Telefonanrufen, dem Szenario noch etwas mehr Glaubwürdigkeit zu verleihen.
 

Ziel ist eine Zahlung

Der Angriff zielt darauf ab, das Opfer zu einer Zahlung an ein von den Betrügern angegebenes Konto zu bewegen. Es sind aber auch andere Szenarien denkbar. So können die Angreifer, nachdem sie beim Opfer das Vertrauen geweckt haben, auch eine gezielte E-Mail mit einer Schadsoftware oder mit einem Link zu einer Seite mit Schadsoftware senden.

MELANI empfiehlt in all diesen Fällen:

• Die Grundregel, bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine internen Informationen preiszugeben und keinen Aufforderungen nachzukommen, ist aktueller denn je.
• Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen soll innerhalb des Unternehmens stets telefonisch Rücksprache genommen werden, um die Richtigkeit des Auftrages abzuklären.
• Sämtliche Prozesse, die den Zahlungsverkehr betreffen, sind unternehmensintern klar zu regeln und von den Mitarbeitenden in allen Fällen einzuhalten.
• Insbesondere empfiehlt MELANI eine Sensibilisierung der Mitarbeitenden bezüglich dieser Vorfälle. Das gilt ganz besonders für die Mitarbeitenden in Schlüsselpositionen.
• Alle Opfer haben die Möglichkeit, speziell im Falle eines erfolgreichen Betruges, eine Strafanzeige bei der örtlich zuständigen Kantonspolizei zu erstatten.