Die Melde- und Analysestelle Informationssicherung Melani warnt vor gezielten Angriffen auf Schweizer Firmen, bei denen Social Engineering Methoden verwendet werden. Das Opfer soll dabei zu einer Zahlung an ein von den Betrügern angegebenes Konto bewegt werden, wie Melani mitteilte.
Bei den gemeldeten Fällen seien durch die Angreifer im Vorfeld Informationen über die Firma eingeholt worden, um sich so ein genaues Bild über das Umfeld des Ziels zu machen. Gesammelt würden beispielsweise Informationen zu Betätigungsfeldern, Schlüsselpositionen oder etwa das verwendete Format bei E-Mail-Adressen.
Dabei nutzten die Betrüger Informationen aus offenen Quellen, wie sie beispielsweise auf der Firmenwebseite zu finden seien. Diese Informationen würden aber auch durch aktive Recherchen ergänzt.
Anschliessend beginne der eigentliche Angriff. In der Regel werde dabei ein E-Mail an einen Mitarbeitenden der Finanzabteilung versendet, welche vorgebe, von einem Mitglied des Kaders zu stammen.
Während Absender-Adressen mehrheitlich gefälscht würden, stammten E-Mails in vereinzelten Fällen tatsächlich von den Absender-Konten, welche durch die Angreifer zuvor gehackt worden seien.
Mailen und Telefonieren
Die versendete E-Mail handle dann von laufenden vertraulichen Finanzgeschäften und das Opfer werde mit der «Juristischen Abteilung der Firma» in Kontakt gebracht, welche mit den Angaben der Überweisung betraut sein soll.
In einem weiteren Schritt gäben sich die Betrüger dann als diese Abteilung aus. Die Betrüger betonten den einmaligen Charakter und die Vertraulichkeit des Auftrags, jedoch auch die Dringlichkeit. In manchen Fällen versuchten die Betrüger mit parallelen Telefonanrufen dem Szenario noch mehr Glaubwürdigkeit zu verleihen.
Die in diesen Fällen angewandte Social Engineering Methode ziele vor allem darauf ab, das Opfer zur Zahlung an ein Betrüger-Konto zu bewegen. Es seien aber auch andere Szenarien denkbar. So könnten die Angreifer, nachdem sie beim Opfer das Vertrauen geweckt hätten, auch ein gezieltes E-Mail mit einer Schadsoftware oder mit einem Link zu einer Seite mit Schadstoffware senden.
Melani mahnt zur Vorsicht
Melani empfiehlt die Grundregel zu beachten, bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine Informationen preiszugeben und keinen Aufforderungen nachzukommen. Es sei zudem empfehlenswert, bei solchen Fällen innerhalb der Firma telefonisch Rücksprache zu nehmen, um die Richtigkeit eines Auftrags zu verifizieren.
Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten gemäss Melani firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden. Melani empfiehlt auch eine Sensibilisierung der Mitarbeiten über die Betrugsvorfälle.
Opfer hätten die Möglichkeit, speziell im Fall eines erfolgreichen Betrugs, eine Strafanzeige bei der örtlich zuständigen Kantonspolizei zu erstatten.