IT-Sicherheit

Schützen Sie sich gegen Betrug im Internet oder durch E-Mails

Wir warnen Sie hier vor aktuellen Angriffen durch Betrüger und geben Ihnen Informationen zum Schutz Ihrer Daten im Internet.

Kontaktieren Sie umgehend das electronic banking-Team, wenn es bei der Nutzung des BFS-Net.Banking zu betrügerischen Zahlungen, verdächtigen Vorfällen oder Unregelmäßigkeiten gekommen ist sowie bei Phishing-Versuchen im Namen der SozialBank.

Wie erkenne ich Phishing-Versuche?

Das Wort Phishing setzt sich aus "Password" und "fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Dazu senden Betrüger E-Mails bzw. fälschen Internetseiten und versuchen so an sensible Informationen zu gelangen oder Transaktionen zu veranlassen.

Die Betrüger geben sich oft als eine bekannte oder auf eine andere Art und Weise vertrauenswürdige Person bzw. als ein Unternehmen aus. Zusätzliche Angaben in der Nachricht (z. B. der Verweis auf ein früheres Treffen oder die Kombination mit z. B. im Internet recherchierten Details aus dem privaten und/oder beruflichen Umfeld) dienen dazu, die Glaubwürdigkeit der E-Mail zu unterstützen. Häufig verknüpfen Betrüger ihre Masche auch mit einem Telefonanruf.

Einige Phishing-Versuche kommen scheinbar von einem Mitglied des Vorstands oder einer Führungskraft. Der Betrüger weist dann auf die erwartete Geheimhaltung hin und fordert die Überweisung eines Geldbetrags. Dies ist ein sogenannter CEO-Fraud, über den Sie unten mehr erfahren können.

In verschiedenen Varianten wird das Opfer darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten nicht mehr sicher oder aktuell sind und es diese unter dem im E-Mail aufgeführten Link ändern soll. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstanbieters (etwa der Bank), sondern auf eine vom Betrüger identisch aufgesetzte Webseite. Betrüger nutzen oft Adressen, die sich nur geringfügig von denen des echten Anbieters unterscheiden.

Andere Phishing-Mails fordern den Empfänger auf, eine Datei zu öffnen, die entweder als Anhang beigefügt ist oder über einen Link zum Download bereitsteht. Falls Sie keine Datei vom Absender erwarten: öffnen Sie den Anhang nicht und klicken Sie nicht auf den Link. Beide Varianten können einen Virus oder schadhaften Code enthalten, der z. B. die Dateien auf Ihrem PC verschlüsselt und unbrauchbar macht.

Wie verhalte ich mich richtig bei Phishing-Versuchen?

Antworten Sie nicht auf Phishing-Mails. Dann merkt der Betrüger, dass er eine echte E-Mailadresse zu fassen bekommen hat. Sie bekommen dann noch mehr Phishing-Mails.

Seien Sie argwöhnisch, wenn Sie per E-Mail nach persönlichen oder sensiblen Informationen gefragt werden, zum Beispiel Zugangsdaten, Passwörter, Kreditkartennummern, Kundennummern, Namen, Geburtsdaten, Adressen oder Kontodaten.

Ein weiterer Indikator für einen Phishing-Versuch ist ein maskierter Link. Sie können Links überprüfen, indem Sie mit der Maus – ohne zu klicken – darauf zeigen. Unterhalb des Mauszeigers erscheint das tatsächliche Ziel des Links in einer kleinen Box. Stimmt dieses Ziel nicht mit dem in der E-Mail angegebenen Link überein, handelt es sich um eine Maskierung. Trauen Sie dieser nicht! Nutzen Sie das unser Online-Banking, indem Sie die Adresse www.sozialbank.de manuell in Ihren Internet-Browser eintippen.

Seien Sie vorsichtig, wenn Sie via E-Mail aufgefordert werden, ganz dringend und innerhalb einer kurzen Frist zu handeln. Lassen Sie sich auch von angedrohten Konsequenzen wie zum Beispiel einer Kontosperrung, der Einschaltung eines Inkassounternehmens oder anderen erfundenen Gründen niemals verleiten.

Wenn Sie Zweifel an der Aufrichtigkeit des Absenders haben, fragen Sie direkt beim vermeintlichen Unternehmen nach. Wichtig ist hierbei, nicht die Kontaktdaten aus der verdächtigen E-Mail oder Webseite zu nutzen, denn auch diese kann gefälscht sein. Suchen Sie Kontaktmöglichkeiten auf der echten Unternehmensseite und fragen per dann Telefon, E-Mail oder Brief nach.

Was ist CEO-Fraud?

Ihr Chef ist heute ganz anders als Sie ihn kennen!? (fangen Sie die Stimmung ein)

"Die Überweisung muss heute ausgeführt werden, ansonsten drohen Ihnen Konsequenzen.“

"Gebühren für die Eilüberweisung sind mir egal.“

„Sprechen Sie nicht mit Ihren Kollegen darüber.“

… Ist es wirklich Ihr Chef mit dem Sie gerade kommunizieren? Können Sie ihn direkt identifizieren?

Bei der Betrugsmasche „CEO-Fraud“ versuchen Täter, entscheidungsbefugte Personen in Unternehmen zu manipulieren, damit diese Personen hohe Geldbeträge ins Ausland überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des jeweiligen Unternehmens.

Die Täter gehen meist extrem geschickt vor, indem sie sich zunächst möglichst viele Informationen über das Unternehmen und vor allem die Strukturen des Unternehmens verschaffen. Ein Augenmerk legen die Täter dabei auf detaillierte Angaben zu Geschäftspartnern und künftigen Investments, E-Mail-Erreichbarkeiten oder auch Informationen in sozialen Netzwerken zu Mitarbeitern und Mitarbeiterinnen des Unternehmens.

Mit diesen Informationen gelingt es den gut organisierten Tätern beispielsweise überzeugend als Geschäftsführer oder weisungsbefugter Entscheidungsträger eines Unternehmens aufzutreten.

Buchhaltern oder anderen Entscheidungsträgern eines Unternehmens wird durch mehrfache E-Mails und Anrufe vorgespielt, eine dringende und geheime Geldüberweisung müsse schnell und unauffällig durchgeführt werden. Die Täter schaffen es häufig, großen psychischen Druck aufzubauen.

So gelingt es den Tätern regelmäßig, auch erfahrene Mitarbeiter zur Überweisung hoher Beträge zu bewegen und zu drängen.

Während in der Vergangenheit hauptsächlich mit gefälschten E-Mails gearbeitet wurde, gibt es nun auch erste Fälle in denen mit Sprachcomputern und Chatbots – täuschend echt – Aufträge vom Vorgesetzten platziert werden sollen.

Anhaltspunkte dafür, dass ein Fake-Chef an Sie herangetreten ist können sein:

• Es soll eine Zahlung, höher als üblich ausgeführt werden
• Die Zahlung soll in ein Land gehen zu dem Ihr Unternehmen keinen Bezug hat
• Es wird unüblicher Druck aufgebaut, z. B. Eilzahlung und sofortige Bearbeitung wird verlangt
• Versuch des Umgehens der normalen Wege und Hierarchien im Unternehmen.

Wenn Ihnen ein Sachverhalt auffällig vorkommt oder Sie weitere Fragen zu diesem Thema haben, kommen Sie auf Ihre Firmenkundenbetreuerin oder Ihren Firmenkundenbetreuer der Bank für Sozialwirtschaft zu, wir helfen Ihnen gerne weiter.

Weiterführende Informationen des BKAs finden Sie direkt hier auf der Website des BKA. 

Social Engineering und andere typische Betrugsmaschen

Bestimmte Betrugsmaschen werden im Unternehmensumfeld seit Jahren praktiziert und das mit stetig wachsendem Erfolg. Betroffen sind kleine wie auch große Unternehmen und Organisationen.

Der grundlegende Ablauf von Betrugsversuchen ähnelt sich meist: Die Aktion wird lange und gut vorbereitet. Im Vorfeld wird z. B. ausgekundschaftet, wer im Unternehmen Zeichnungsberechtigungen hat, welche Geschäftsbeziehungen bestehen, wann wer abwesend ist und wie die Kommunikationsstrukturen aussehen. Kurz: Die Täter eignen sich umfangreiche Kenntnisse zu Interna des Unternehmens an. Sie nutzen dann die Technik des Social Engineerings, bei der die ausgekundschafteten Informationen gezielt ausgenutzt werden. Social Engineering kann man als "soziale Manipulation" übersetzen. Gemeint ist eine zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, wie z.B. das Auslösen von Zahlungen oder die Herausgabe von Informationen.

Beim sogenannten "Payment Diversion Fraud" haben es die Betrüger auf bestehende Zahlungsabläufe im Unternehmen abgesehen. Es geht um eine "Umleitung von Zahlungsströmen". Die Masche ist erschreckend simpel: Betrüger geben sich als Geschäftspartner aus und erreichen über gefälschte Mitteilungen, dass die Bezahlung für erbrachte Waren oder Dienstleistungen auf neu mitgeteilte Bankverbindungen erfolgt. Dabei werden unterschiedliche Kommunikationsmittel genutzt. Sowohl die Textform (Brief, ggfs. auf Geschäftspapier des Geschäftspartners, gefälschte E-Mails oder Faxe), aber auch die telefonische Info werden hierfür genutzt. Einem Mitarbeiter wird so mitgeteilt, dass sich die bisher genutzte Bankverbindung geändert hat.

Hier ist es durchaus üblich, dass ein E-Mail-Kontakt zu einer erwarteten Rechnung vom realen Absender dieser Aktion vorausgegangen ist, z. B. durch Fälschung der E-Mail-Adresse. Die nächste Überweisung wird sodann mit den neuen Bankdaten ausgeführt und das Geld ist damit in der Regel verloren. Die Geschädigten realisieren den Betrug oft erst mit der nächsten Zahlungsaufforderung.

Eine weitere Betrugsmasche im Unternehmensumfeld sind die sogenannten "Fake Payments". Darunter versteht man gefälschte Rechnungen. Mittels Social Engineering werden die relevanten Ansprechpartner im Unternehmen ermittelt. Die Täter versenden gefälschte Rechnungen über Fantasieleistungen, die in Bezug auf Inhalt und Leistung durchaus einer erwarteten Rechnung entsprechen können. Die Rechnungen kommen per Post oder per E-Mail. Teils werden nachgebildete Briefbögen im Layout von realen Geschäftspartnern verwendet.

Interne Kontrollmechanismen können beispielsweise dadurch ausgehebelt werden, dass die E-Mail mit Rechnungsanhang als vermeintliche Weiterleitung des Chefs getarnt wird, der um dringende Erledigung bittet und dazu keine Rückmeldung benötigt (siehe oben: Was ist CEO-Fraud?). Mittels Manipulation soll also der Mitarbeiter den betrügerischen Zahlungsvorgang auslösen. Kurzfristig werden auch schon mal Mahnungen verschickt, der ein Anruf folgt. Der Mitarbeiter wird so unter Druck gesetzt. Nicht selten werden gefälschte Auftragserteilungen als Grundlage der Rechnung beigefügt. Führt der Mitarbeiter die Zahlung aus, ist das Geld auch meist verloren. Zum einen fällt der Betrug nicht sofort auf und zum anderen fließen die Gelder direkt oder indirekt auf Konten in Zielländer - oftmals in Südostasien – wodurch ein Überweisungsrückruf erschwert wird.

Betrug bei Handelsregistereinträgen

Seit 2009 werden Änderungen im Handelsregister auch im Internet veröffentlicht.

Diese Informationen haben sich dubiose Firmen zu Nutze gemacht und senden vermeintliche Handelsregisterrechnungen an Unternehmen, die kürzlich eine Eintragung vornehmen lassen haben.

Mit einem Schreiben, welches den Eindruck erweckt, es sei vom Amt ausgestellt worden, werden die Geschäftsführer aufgefordert, eine Rechnung zu begleichen. Liest man das Kleingedruckte, handelt es sich dabei nicht um die Rechnung für die offizielle Eintragung in das Handelsregister, sondern um ein Angebot für einen Eintrag in eine Onlinedatenbank, der faktisch keinen Nutzen hat. Der Betrag liegt dabei zwischen 300 und 1200 Euro. Zeitlich kommt das Schreiben häufig vor der korrekten Rechnung vom Handelsregisteramt. Die Zahlungsfrist beträgt eine Woche.

Das Schreiben enthält das Aktenzeichen, behördliche Kassenzeichen, Belegnummern sowie das Landeswappen und machen es so täuschend echt. Papier und Schrift sind amtstypisch.

Darüber hinaus ist die Überweisung der fälligen Zahlung an eine Abofalle geknüpft. Wird der Vertrag nicht innerhalb eines bestimmten Zeitraums gekündigt, verlängert sich das Abo um ein weiteres Jahr.

Sollten Sie ein solches Schreiben erhalten, sichern Sie sich besser zuerst beim örtlichen Amtsgericht ab.

Basis-Sicherheitsvorkehrungen für Ihren PC

• Halten Sie Ihre gesamte Software (Betriebssystem, Internet-Browser, Adobe Reader, Adobe Flash etc.) auf einem aktuellen Stand. Installieren Sie regelmäßig Sicherheits-Updates der Hersteller.
• Setzen Sie Virenschutzsoftware ein. Halten Sie diese stets aktuell.
• Setzen Sie eine Firewall ein. Diese ist bei Windows standardmäßig aktiviert.
• Wenn Sie Software herunterladen, bei der Sie nicht mit hinreichender Sicherheit feststellen können, ob sie echt ist und nicht manipuliert wurde, entstehen Risiken.
• Schützen Sie Ihre Passwörter, PINs, TANs und den Zugriff auf Ihren photoTAN-Token. Die Bank für Sozialwirtschaft wird Sie niemals auffordern, sensible Daten per E-Mail oder Telefon mitzuteilen oder Ihren BFS-Net.Banking Zugang zu verifizieren.

Was können Sie sonst noch tun?

• Streuen Sie die Informationen über die hier genannten Betrugsmaschen an alle Mitarbeiter.
• Informieren Sie sich regelmäßig über aktuelle Bedrohungen, z. B. bei https://www.bsi.bund.de oder https://www.heise.de/security
• Definieren Sie klare Prozesse mit Abläufen und Zuständigkeiten:
  - Änderungen von Kontoverbindungen sollten gegengeprüft werden.
  - Führen Sie klare Abwesenheitsregelungen ein.
  - Führen Sie interne Kontrollmechanismen ein.
• Implementieren Sie Informations- und IT-Sicherheitsmaßnahmen:
  - Führen Sie Rollen- und Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte ein.
  - Schränken Sie Berechtigungen auf das Nötigste ein.
  - Implementieren Sie Kontrollen (4-Augen-Prinzip).
• Nutzen Sie keine öffentlichen/privaten Computer für dienstliche Zwecke. Diese können manipuliert sein. Es besteht die Gefahr von Datenabfluss und Manipulation.
• Seien Sie vorsichtig bei der Preisgabe von Informationen im Internet!
  - Betrüger nutzen Informationen z. B. aus sozialen Netzen. 
    Seien Sie sparsam mit deren Veröffentlichung.
• Verwenden Sie nicht Ihre Firmen E-Mail-Adresse oder Passworte für die private Registrierung bei Online-Diensten. Diese sind oft Ziel von Angriffen. Die hinterlegten E-Mail-Adressen und Passwörter können für andere Angriffe verwendet werden.