Social Engineering ist ein Euphemismus für Ausspionieren: Bei den gemeldeten Fällen werden durch die Angreifer im Vorfeld Informationen über die Firma eingeholt, um sich so ein genaues Bild über das Umfeld des Ziels zu machen. Gesammelt werden beispielsweise Informationen zu Betätigungsfeldern, Schlüsselposten oder das verwendete Format bei E-Mail-Adressen, schreibt die Melani in einer Medienmitteilung. Dabei nutzten die Betrüger Informationen aus offenen Quellen, wie sie beispielsweise auf der Firmenwebseite zu finden sind. Diese Informationen würden jedoch zum Teil durch ergänzt, indem die Betrüger mit der Firma via E-Mail oder Telefon Kontakt aufnehmen und so versuchen, an Informationen der Firma zu gelangen.
Für den Angriff werde typischerweise eine E-Mail an die Finanzabteilung versendet, welche vorgibt, von einem Mitglied des Kaders zu stammen. In der Regel sind die Absenderadressen gefälscht, doch in vereinzelten Fällen stammen die Mails tatsächlich von den Absenderkonten, weil diese durch die Angreifer gehackt worden sind. Die E-Mails handeln von laufenden Finanzgeschäften und das Opfer wird vermeintlich mit der juristischen Abteilung der Firma in Kontakt gebracht, welche mit den Angaben der Überweisung betraut sein soll. Die Betrüger betonen den einmaligen Charakter und die Vertraulichkeit des Auftrages, jedoch auch die Dringlichkeit, welche die Situation erfordere. In manchen Fällen versuchen sie, mit parallelen Telefonanrufen dem Szenario noch mehr Glaubwürdigkeit zu verleihen.
Meist sei das Ziel, das Opfer zu einer Zahlung an ein von den Betrügern angegebenes Konto zu bewegen. Es seien aber auch andere Szenarien denkbar. So können die Angreifer, nachdem sie beim Opfer das Vertrauen geweckt haben, auch eine gezielte E-Mail mit einer Schadsoftware oder mit einem Link zu einer Seite mit Schadsoftware senden.
Melani empfiehlt dazu folgende Massnahmen:
• Die Grundregel, bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine internen Informationen preiszugeben und keinen Aufforderungen nachzukommen, ist angesichts der derzeitigen Fälle aktueller denn je.
• Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma telefonisch Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren.
• Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden.
• Mitarbeiterinnen und Mitarbeiter sollten auf diese Vorfälle sensibilisiert werden, insbesondere solche in Schlüsselpositionen.
• Opfer haben die Möglichkeit, speziell im Falle eines erfolgreichen Betruges, eine Strafanzeige bei der örtlich zuständigen Kantonspolizei zu erstatten.
(dl)
