Angriff gegen Firmen - so können Sie sich schützen
In den letzten Tagen wurden der Melde- und Analysestelle Informationssicherung des Bundes mehrere Fälle gemeldet, bei denen Betrüger Firmen anrufen und sich als Bank ausgeben. Ziel dieser Anrufe ist, das Sicherheitselement «Kollektivunterschrift» auszuhebeln und so eine betrügerische Zahlung auszulösen.
In den letzten Tagen wurden der Melde- und Analysestelle Informationssicherung des Bundes mehrere Fälle gemeldet, bei denen Betrüger Firmen anrufen und sich als Bank ausgeben. Ziel dieser Anrufe ist, das Sicherheitselement «Kollektivunterschrift» auszuhebeln und so eine betrügerische Zahlung auszulösen.
In den letzten Tagen mehrten sich Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgaben. In vielen Fällen ist die Information, bei welcher Bank die Firma Kunde ist, auf der Firmenwebseite ersichtlich, da dort die Bankverbindung angegeben ist. Die Information kann aber auch im Vorfeld durch die Betrüger mittels Telefonanruf oder E-Mail-Anfrage eruiert werden.
Zahlung auslösen
Die Anrufer geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll. Um diesen Test durchführen zu können, müssten allerdings alle Mitarbeitende der Finanzabteilung, insbesondere diejenigen, die Unterschriftsberechtigung beim e-Banking haben, anwesend sein. Dies hat den Zweck, das Sicherheitselement «Kollektivunterschrift» auszuhebeln und so eine betrügerische Zahlung auszulösen. Um Vertrauen zu schaffen, erwähnen die Betrüger zum Teil die Namen von existierenden Mitarbeitenden.
Firmen sensibilisieren
In jüngster Vergangenheit wurden Finanzabteilungen zahlreicher Unternehmen so bereits dazu gebracht, eine Fernwartungssoftware herunterzuladen und anschliessend zu installieren, um dem Anrufer den Zugriff zu erlauben. In der Regel ist das Auslösen von Zahlungen bei Firmen durch eine Kollektivunterschrift geschützt. Deswegen forderten die Betrüger die Unterschriftsberechtigten auf, ihre Zugangsdaten anzugeben. Dies löste das Freigeben der Zahlung aus. Während diesem Vorgang wurde den Opfern durch die Angreifer ein schwarzer Bildschirm eingeblendet, damit man die unreale Zahlung nicht bemerken konnte. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.
Um sich vor solchen Angriffen zu schützen, empfiehlt der Bund folgende Massnahmen:
-
Die Sensibilisierung von Mitarbeitenden bezüglich dieser Vorfälle, insbesondere der Mitarbeitenden in Schlüsselpositionen.
-
Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden. Finanzinstitute werden Sie weder telefonisch noch schriftlich dazu auffordern, Ihre e-Banking Zugangsdaten anzugeben.
-
Keine seriöse Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken. Die Banken bzw. deren IT-Dienstleister verfügen über spezielle Testumgebungen, um Sicherheitsupdates zu prüfen, bevor diese für den Kunden sichtbar werden.
-
Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufgefordert werden.
-
Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer.
-
Reduzieren Sie im Internet publizierte Informationen über Ihr Unternehmen auf das Notwendige. Verzichten Sie wenn möglich auf die namentliche Nennung von Mitarbeitenden sowie auf die Angabe von Bankverbindungen.
-
Geben Sie bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine internen Informationen preis.
-
Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren.
