Fokusthema: Vorsicht Abzocke
Phishing und andere Internet-Betrugsmaschen gehören inzwischen zu den häufigsten Einfallstoren für Cyberangriffe und treffen längst nicht mehr nur große Konzerne. Kriminelle setzen dabei auf täuschend echte E-Mails, SMS, Telefonanrufe oder gefälschte Webseiten, um Zugangsdaten abzugreifen, Zahlungen umzuleiten oder Schadsoftware einzuschleusen. Auch Fake-Rechnungen und sogenannte Formularfallen verursachen große Schäden. Dabei geht es weniger um Technik als um täuschend echte Schreiben, E-Mails oder Online-Formulare, die wie behördliche Mitteilungen, Branchenverzeichnisse oder normale Geschäftspost wirken. Nicht selten werden bekannte Institutionen als Absender missbraucht, um Vertrauen aufzubauen.
- Rechtlicher Hintergrund
Um Betrugsmaschen erfolgreich durchzuführen, benötigen die Täter Informationen über ihr Angriffsziel. Diese erhalten sie meist über eine Mischung aus öffentlich verfügbaren Quellen und Datenabflüssen. Sie sammeln Namen, Rollen, Ansprechpartner, Projekte, Lieferanten und E-Mail-Formate aus Website, Social Media (z.B. LinkedIn), Handelsregister und sonstigen Publikationen, Stellenausschreibungen oder Pressemitteilungen und ergänzen das durch Details aus Telefonaten mit Empfang oder Buchhaltung. Häufig nutzen sie außerdem geleakte Zugangsdaten aus früheren Hacks oder betreiben Credential Stuffing. Bei dieser Angriffsmasche probieren Täter gestohlene Kombinationen aus E-Mail/Benutzername und Passwort (meist aus früheren Datenlecks) automatisiert bei anderen Diensten aus, z.B. bei Microsoft 365, Webmail, Shops, Banking-Portalen oder VPNs. So übernehmen sie Mailkonten, um echte Rechnungen und Kommunikation abzufangen oder täuschend echte Nachrichten zu schreiben. Weitere Quellen sind Phishing-Vorläuferangriffe, Malware auf einzelnen Rechnern und kompromittierte Dienstleister bzw. Lieferketten, wodurch Rechnungs- und Zahlungsdaten in die Hände der Betrüger gelangen. Nicht zuletzt werden Datensätze und Firmenkontakte auch gekauft oder automatisiert gescraped, d.h. automatisch von Webseiten eingesammelt, sodass die Maschen sehr passgenau wirken.
- Betroffenheit
Das größte Einfallstor für Betrugsmaschen ist in der Praxis der E-Mail-Zugang, also der Posteingang und die Identität, die hinter einem Mitarbeiterkonto steht. Betroffen sind damit nicht Einzelne, sondern grundsätzlich jede Person, die E-Mails empfängt und verarbeitet – vom Frontoffice bis zur Führungsebene. Besonders stark im Fokus stehen jedoch Bereiche, in denen regelmäßig mit externen Kontakten gearbeitet oder Entscheidungen mit unmittelbaren Folgen getroffen werden. Je stärker ein Postfach mit Geldflüssen, Zugriffsrechten oder sensiblen Informationen verknüpft ist, desto höher ist die Wahrscheinlichkeit, dass es als Einfallstor genutzt wird.
- Wesentlicher Inhalt
MascheSo funktioniert’sTypische Warnsignale
Phishing / Zugangsdatenklau Gefälschte E-Mails führen auf Login-Seiten (M365, Banking, Paketdienste etc.) Ungewohnte Absenderdomain, Druck („sofort“), Login-Link, Rechtschreibfehler, „ungewöhnliche“ Anhänge CEO-Fraud / Business E-Mail Compromise Täter geben sich als Geschäftsführung/Leitung aus und verlangen eilige Zahlung Ungewöhnlicher Ton, Geheimhaltung, private Nummern, „bin in Meeting“, abweichende Kontodaten Fake-Rechnungen Rechnungen für nie bestellte Leistungen oder überhöhte Posten Unbekannter Lieferant, fehlende Leistungsbeschreibung, kurze Zahlungsfrist, neue IBAN Kontowechsel-Betrug „Unsere Bankverbindung hat sich geändert“ – oft mit echter Rechnungskopie Änderung der IBAN, neue E-Mail-Adresse, Bitte um Bestätigung per Mail statt Telefon Formularfallen / Branchenbuch-Abzocke „Daten aktualisieren“ – am Ende teurer Vertrag im Kleingedruckten Form wirkt amtlich, Preis/ Laufzeit versteckt, Rückfax/Unterschrift gefordert Telefonbetrug (Vishing) Anruf „IT-Support“, „Bank“, „Microsoft“ – Ziel: Fernzugriff/Überweisung Unaufgeforderter Support, Rufnummer wirkt „offiziell“, Aufforderung zu AnyDesk/TeamViewer Malware über Anhänge ZIP, Office-Dokumente, vermeintliche Rechnungen/Scans Unerwarteter Anhang, Passwort im Mailtext, Dateiendungen „.img“, „.iso“, „.js“ - Aus der IHK-Welt
DIHK-Auflistung von Phishing-Attacken: Missbrauch der IHK-OrganisationIHK Ostthüringen zu Gera: Phishing – arbeitsrechtliche FolgenIHK Ostthüringen zu Gera: Vorsicht, Phishing!Warnhinweise der IHK München: Warnung vor Phishing-Mails | IHK München
Kontakt
Sylvia Knöfel
Recht und Steuern
Sachgebietsleiterin Recht und Steuern