Kriminelle haben es derzeit auf die Gehaltszahlungen bzw. das Gehaltskonto Ihrer Mitarbeiter abgesehen. Per E-Mail nehmen sie Kontakt mit der zuständigen Stelle in Ihrem Unternehmen auf und versuchen, eine Änderung der IBAN für den Lohneingang zu erwirken. Gelingt der Betrug, landet das Geld in den Taschen der Kriminellen und wird erst bemerkt, wenn die Lohnzahlung nie bei der tatsächlich beschäftigten Person eingetroffen ist.
Beispiel für eine betrügerische Nachricht
Möglicherweise erhält Ihr Unternehmen derzeit Nachrichten wie die folgende:
Hallo [Name zuständige Person Gehälter],
Wie geht es dir heute? Ich habe mein Bankkonto gewechselt und möchte, dass mein Gehalt anders als bisher auf mein neues Bankkonto überwiesen wird. Soll ich sofort meine neuen Bankdaten mitteilen, damit die Änderungen vorgenommen werden können?
Danke.
LG [Name Mitarbeiter]
Während die obige Nachricht auf den ersten Blick keinen unseriösen Hintergrund vermuten lässt, stellte sich bei näherer Betrachtung im betroffenen Unternehmen schnell heraus, dass die Nachricht nicht von einem echten Mitarbeiter stammte, sondern von Kriminellen in dessen Namen versendet wurde.
Nachrichten an Unternehmenskommunikation angepasst
Besonders gefährlich wird diese Betrugsmasche dadurch, dass die Kriminellen oft erheblichen Aufwand betreiben, um die im Unternehmen übliche Kommunikationskultur in den Betrugsmails abzubilden. So wird beispielsweise im Vorfeld recherchiert, ob geduzt oder gesiezt wird, welche Signaturen verwendet werden oder wie die üblichen Grußformeln aussehen.
Die Betrugsnachricht an ein Unternehmen, in dem das Duzen üblich ist und eine lockere Kommunikationskultur vorherrscht, könnte dann beispielsweise wie folgt aussehen:
Hey [Gabi]!
Alles klar? Bitte ändere mein Gehaltskonto auf folgende IBAN: AT65 XX23 9056 YY56 XY62!
Danke!
In einem Unternehmen, in dem gesiezt wird, Unterschriften verwendet werden und eine strenge Anrede üblich ist, wäre die obige Nachricht völlig unglaubwürdig. Eine betrügerische Nachricht mit dem gleichen Ziel wie oben könnte dort wie folgt aussehen
Sehr geehrter Herr [Muster],
wegen eines Wechsels der Bank, bitte ich Sie darum, meine Gehaltszahlungen künftig auf folgendes Konto vorzunehmen: IBAN: AT65 XX23 9056 YY56 XY62
Vielen Dank.
Mit freundlichen Grüßen
[Axel Exempel]
[Abteilung XY – Marketing]
Kriminelle nutzen das sogenannte Social Engineering, um ihr Gegenüber so zu manipulieren, dass es die gewünschten Handlungen ausführt. Das Einfallstor ist also der Mensch bzw. der Mitarbeiter – und nicht etwa Sicherheitslücken in der Lohnsoftware. Auch die Übernahme der Kommunikationskultur eines Unternehmens oder das Kopieren von Signaturen gehören zum Social Engineering.
So schützen Sie sich
- Schulungen: Schulen Sie Ihre Mitarbeiter über gängige Betrugsmethoden und Cybersicherheit. Nutzen Sie dazu das kostenlose Cybersecurity Awareness Playbook.
- Klare Regeln festlegen: Legen Sie klare Regeln fest, wie Datenänderungen durch Mitarbeitende erfolgen. Bestätigen Sie Datenänderungen mit einer separaten E-Mail.
- Komisches Gefühl hinterfragen: Wenn Sie bei einer E-Mail ein komisches Gefühl haben, kontaktieren Sie die betreffende Person und klären Sie die Angelegenheit. Schreiben Sie entweder eine separate E-Mail oder rufen Sie an. Ermutigen Sie Ihre Kolleginnen und Kollegen nachzufragen.
- Überprüfen Sie den Absender: Prüfen Sie bei untypischen Anfragen oder ungewöhnlich formulierten Anfragen den Absender genau. Handelt es sich wirklich um die richtige E-Mail-Adresse der Person?
- Phishing-Simulation nutzen: Testen Sie die kostenlose Phishing-Simulation, um spielerisch den Umgang mit betrügerischen E-Mails im Arbeitsalltag zu erlernen.
Fragen und Antworten
Was ist Social Engineering und warum ist es gefährlich?
Social Engineering ist eine Methode, mit der Kriminelle versuchen, Menschen zu manipulieren, damit sie bestimmte Handlungen ausführen oder vertrauliche Informationen preisgeben. Dazu werden psychologische Tricks und Täuschungen eingesetzt. Das Gefährliche daran ist, dass nicht technische Sicherheitsvorkehrungen ausgenutzt werden, sondern menschliches Verhalten, das oft schwerer zu kontrollieren ist.
Woran erkenne ich eine betrügerische E-Mail?
Betrügerische E-Mails erkennt man oft an untypischen oder dringenden Anfragen, ungewöhnlichen Formulierungen oder Absenderadressen, die leicht von der echten Adresse abweichen. Achten Sie auch auf Rechtschreibfehler und den allgemeinen Ton der E-Mail. Im Zweifelsfall sollte immer direkt mit der vermeintlichen Quelle Rücksprache gehalten werden.
Welche Maßnahmen sollte ein Unternehmen ergreifen, um sich vor dieser Art von Betrug zu schützen?
Ein Unternehmen sollte umfassende Schulungen zur Sensibilisierung für Cyber-Bedrohungen anbieten, klare Richtlinien für die Änderung von Mitarbeiterdaten implementieren und regelmäßige Sicherheitsüberprüfungen durchführen. Es ist auch ratsam, eine Kultur der Vorsicht zu fördern, in der die Mitarbeiter ermutigt werden, verdächtige Aktivitäten sofort zu melden.
Warum ist die Anpassung an die Kommunikationskultur eines Unternehmens für Betrüger so effektiv?
Kriminelle, die sich die Kommunikationskultur eines Unternehmens zu eigen machen, wirken glaubwürdiger und erhöhen damit die Erfolgschancen ihrer Betrugsversuche. Wenn eine betrügerische Nachricht den üblichen Kommunikationsstil imitiert, wird sie weniger hinterfragt, was die Wahrscheinlichkeit erhöht, dass Mitarbeiter darauf hereinfallen.
Wie kann ich meine Mitarbeiter sensibilisieren?
Um Ihre Mitarbeiter zu sensibilisieren, sollten Sie regelmäßig Schulungen und Workshops zu Cybersicherheitsthemen anbieten. Nutzen Sie reale Beispiele und Simulationen, um das Bewusstsein zu schärfen. Stellen Sie außerdem sicher, dass es klare Prozesse und Ansprechpartner gibt, an die sich die Mitarbeiterinnen und Mitarbeiter bei verdächtigen Vorfällen wenden können.
Fazit
Lohnbetrug ist eine ernstzunehmende Bedrohung, die durch Social Engineering und gezielte Manipulation der Kommunikationskultur eines Unternehmens ausgeführt wird. Um sich zu schützen, ist es unerlässlich, die Mitarbeiterinnen und Mitarbeiter
Mitarbeiter umfassend zu schulen, klare Richtlinien zu etablieren und eine Kultur der Wachsamkeit zu fördern. Durch proaktives Handeln und die Sensibilisierung für diese Betrugsmaschen können Unternehmen das Risiko erheblich minimieren.
Quelle: Watchlist Internet
Abonnieren Sie unseren Newsletter für weitere wichtige Informationen und melden Sie sich für unsere monatlichen Online-Vorträge und Workshops an.
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)