Kantonspolizei Freiburg Kriminalpolizei Finanzbrigade Postfach 160 1763 Granges-Paccot [email protected] Telefon 026 305 19 19 www.polizeifr.ch Quelle : Kantonspolizei Bern Beabsichtigter CEO-Betrug verlangt hohe Aufmerksamkeit Social Engineering – CEO-Betrug Eine weitere Form des Social Engineering ist das E-Mail Phishing / Hacking Der Begriff Social Engineering, auch als «soziale Manipulation» bezeichnet, meint das Instrumentalisieren von Personen, um u.a. Sicherheitsdispositive zu umgehen. Man hofft damit, Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Geheimnisse zu verraten. Der Zugang zum E-Mail-Account wird durch Phishing oder Hacking erlangt. Einmal in den Account eingedrungen, werden E-Mails gelesen, kontrolliert und die Informationen zu Kontaktaufnahmen verwendet. Dabei wird die E-Mailadresse des gehackten Accounts missbräuchlich als Absender verwendet. Mit zusätzlichen, gefälschten Urkunden, Zahlungsaufträgen usw., wird die betrügerische Zahlung oder die Täuschung erwirkt. Social Engineering basiert auf Überzeugungskraft und Ausnutzen der Gutgläubigkeit. Die in böser Absicht handelnde Person gibt sich als hierarchisch höher positionierte Person aus (Verwalter, Direktor, usw.) und verwendet von der Syntax her quasi identische E-MailAdressen. Betriebsexterne Personen, wie zum Beispiel Notare oder Anwälte, können in das Betrugsschema als angebliche Vertrauenspersonen einsteigen. Bei allen angewandten Techniken geht es nur darum, das Vertrauen der Person zu erschleichen, die man später schädigen will. Nur so ist von ihr zu erreichen, dass sie Geldüberweisungen tätigen wird, Geheimnisse verrät oder vertrauliche Auskünfte preisgibt. Social Engineering Methoden verlaufen oft gemäss folgendem Schema: ♦ Eine erste Annäherungsphase: per E-Mail oder Telefon, damit das Vertrauen des Users gewonnen wird (indem man sich als eine höhere Person seiner Hierarchie oder seines Geschäftsumfelds ausgibt). ♦ Unter Druck setzen: um ein schnelles, unübliches, von Gewohnheiten abweichendes Handeln zu verlangen (unter dem Vorwand der Sicherheit, der Diskretion, dem Vortäuschen einer Notsituation, eines Liquiditätsbedarfs oder einer vermeintlichen attraktiven Geschäftsmöglichkeit usw.) ♦ Mit Ablenkung: ein Satz oder eine Situation, der/die dem Angestellten eine vermeintliche Sicherheit vermittelt, um zu verhindern, dass er sich auf die Drucksituation fokussiert (Lob, Komplimente, ein Versprechen, eine Bestätigung usw.). Empfehlungen – keine schnellen, unbedachten Clicks! ► Potenziell betroffene Mitarbeiter, die HR-Abteilung und die Buchhaltung der Firma informieren und sensibilisieren. ► Was die Herkunft einer elektronischen Post (E-Mail) anbetrifft, im Zweifelsfalle unverzüglich die Vorgesetzten informieren. ► Nie den Button «Antworten» der E-Mails benutzen, sondern konsequent eine neue E-Mail verfassen. Die elektronische Adresse der Täter ist eine «Fälschung», die optisch oft sehr nahe beim Original ist. Keine dubiosen Anhänge öffnen! ► Rückfragen bei der Direktion (beim erwarteten Absender) über die bekannten Koordinaten tätigen. ► Nie unter Druck setzen lassen oder wie in der oftmals suggerierten Notfallsituation handeln. ► Nicht gegen übliche firmeninterne Sicherheitsregeln verstossen und Vertraulichkeits regeln verletzen (unter der falschen Annahme eines Notfalls). ► Mailverkehr nach Möglichkeit verschlüsselt oder über Zertifikate führen. ► Sicherstellung der Prozessabläufe bei Geldtransaktionen (Hierarchie, Kompetenz, Rückfragen, Vier-Augenprinzip, Kollektivunterschrift). ► Die Sicherheits-Software (Firewall) des öftern à-jour halten und Passwörter regelmässig ändern. MELDEN SIE VERDÄCHTIGE VORKOMMNISSE UNVERZÜGLICH DER POLIZEI UNTER DER NUMMER 117!