Politik und Gesellschaft

Social Engineering: Neue Angriffsmethode richtet sich gegen Firmen

Event

vignette 1

starkvernetzt_300x250_DE

Vignette 2

Prise de position

pressemitteilungen

stellungnahmen

Social Engineering: Neue Angriffsmethode richtet sich gegen Firmen

Gespräch mit der Nummer 022 5** ** ** und der Anrufer gibt sich als Bankangestellter aus. In Wirklich-keit wird dieses Gespräch aus dem Ausland geführt. Er informiert die Unternehmung, dass ein e-Banking-Update durchgeführt und getestet wird. Dazu vereinbart der Betrüger in der Regel für den nächsten Tag einen weiteren Termin. Er verlangt, dass an diesem Termin verschiedene Mitarbeitende der Finanzabteilung, insbesondere diejenigen, die beim e-Banking unterschriftsberechtigt sind anwe-send sind. Um Vertrauen zu schaffen, erwähnen die Betrüger zum Teil die Namen von existierenden Mitarbeitenden. Diese Informationen, bei welcher Bank die Firma Kunde ist, sind oft auf der Firmen-webseite ersichtlich, da dort die Bankverbindung angegeben ist.

Beim zweiten Anruf versucht der Betrüger die Unternehmung zu überzeugen, ein Programm zu installie-ren, um dem Anrufer einen direkten Datenzugriff zu erlauben. Ist einmal das Fernzugrifftool installiert, gibt der Anrufer vor, anhand einer Testzahlung die Funktionsweise des Systems zu überprüfen. Da das Auslösen von Zahlungen bei Firmen in der Regel durch eine Kollektivunterschrift geschützt ist, fordern die Betrüger die Unterschriftsberechtigten auf, ihre Zugangsdaten anzugeben. In Wirklichkeit geben sie allerdings so die Zahlung frei. In einigen Fällen wird dem Opfer während diesem Vorgang durch die An-greifer ein schwarzer Bildschirm eingeblendet, damit das Opfer die betrügerische Zahlung nicht bemer-ken kann.

Diese neue Betrugsmethode zeigt auf, dass die Social Engineering Angriffe nicht weniger werden, son-dern im Gegenteil weiter steigen. In den letzten Wochen stieg die Deliktssumme in den Westschweizer Kantonen auf mehrere Millionen Franken. Im Wallis wurde bis anhin eine Unternehmung mit dieser Be-trugsmethode konfrontiert.

In vielen Fällen ist wie bereits oben erwähnt, die Bankverbindung auf der Internetseite der Unterneh-mung ersichtlich. Manchmal gelangen die Betrüger nach Telefongesprächen oder Mails an die nötigen Informationen.

Um sich vor solchen Angriffen zu schützen, werden folgende Massnahmen empfolen:

- Die Sensibilisierung von Mitarbeitenden bezüglich dieser Vorfälle, insbesondere der Mitarbeitenden in Schlüsselpositionen.

- Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden. Finanzinstitute werden Sie weder telefonisch noch schriftlich dazu auffor-dern, Ihre e-Banking Zugangsdaten anzugeben.

- Keine seriöse Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheit-supdates mitzuwirken. Die Banken resp. deren IT-Dienstleister verfügen über spezielle Testumgebungen, um Sicherheitsupdates zu prüfen, bevor diese für den Kunden sichtbar werden.

- Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufge-fordert werden.

- Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer.

- Reduzieren Sie im Internet publizierte Informationen über Ihr Unternehmen auf das Notwendige. Verzichten Sie wenn möglich auf die namentliche Nennung von Mitarbeitenden sowie auf die Angabe von Bankverbindungen.

- Geben Sie bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine inter-nen Informationen preis.

- Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlens-wert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftra-ges zu verifizieren.

- Im Zweifelsfall, nehmen Sie mit der Kantonspolizei Wallis Kontakt auf, damit Sie Ihnen Auskunft geben kann.

 

KANTONSPOLIZEI WALLIS