Im Namen eines bekannten Geschäftspartners wird gezielt eine E-Mail an den zuständigen Ansprechpartner in Vergabestellen und Verwaltungen verschickt. In diesen E-Mails wird mit Nachdruck aufgefordert, die Bankdaten für zukünftige Überweisungen zu ändern. Jetzt sollte man aufpassen!
Wenn es sich um Rechnungsinformationen handelt, erbeuten die Kriminellen diese oft durch einen gezielt vorgeschalteten Social-Engineering-Angriff beim Lieferanten oder Dienstleister der eigentlichen Zielorganisation. Dabei geben sich die Angreifer als Mitarbeiter der Zielorganisation aus und fragen noch offene Rechnungen an. Über diesen Weg erbeutete Rechnungsinformationen werden dann manipuliert und mit geänderten Kontodaten an die Zielorganisation gesendet.
Im Betreff waren unter anderem folgende Schlagwörter enthalten:
Bankverbindung; Änderung + Zahlung Dem LSI liegen aufgrund mehrerer Meldungen und eigener Recherchen Kenntnisse über betrügerische E-Mails gegen Vergabestellen in Verwaltungen vor. Es geht speziell um die Aufforderung, Bankdaten zu ändern.; Anpassung + Zahlung
Diese Betrugsmasche ist nicht neu und wird von Cyberkriminellen immer wieder verwendet. Auch in dieser Kampagne schreiben die Kriminellen ihre Opfer mit Nachdruck und gezielt an. Letzteres deutet auf abgeflossenen Mailverkehr oder das Abgreifen der benötigten Informationen von der Webseite des Opfers bzw. von öffentlich einsehbaren Informationen auf den Ausschreibungsplattformen hin.
Jetzt Mitarbeitende sensibilisieren!
Wir empfehlen, alle Mitarbeiter – speziell jene im Vergabe- und Finanzbereich – entsprechend zu sensibilisieren. Weisen Sie auch Ihre Lieferanten und Dienstleister auf diese Methode der Informationsgewinnung mittels Social Engineering hin. Kontoänderungen sollten grundsätzlich gegengeprüft werden, beispielsweise durch telefonischen Rückruf beim etablierten Ansprechpartner oder einer Bestätigung von offizieller Stelle.
Besser vorbereitet sein
Die GKDS – Gesellschaft für kommunalen Datenschutz mbH bietet speziell im Bereich Phishing zum einen Online-Schulungen für Mitarbeitende, zum anderen gezielte Phishing-Simulationen zur Risikominimierung an. Ziel und Zweck von Phishing-Simulationen ist, Beschäftigte für die reale Gefahr von Phishing-Angriffen zu sensibilisieren. In gezielten Simulationen lernen sie, Phishing-Angriffe zu erkennen, E-Mails grundsätzlich sorgfältig zu prüfen und nicht auf Links zu klicken und schädliche Anhänge zu öffnen. Regelmäßig durchgeführte Phishing-Simulationen stärken das Sicherheitsbewusstsein der Teilnehmenden und geben darüber hinaus einen Überblick über den Awareness-Level innerhalb einer Organisation. Die Simulation ist so konzipiert, dass weder die Organisation noch deren Beschäftigte Schaden nehmen.
