Start Sicherer Zahlungsverkehr in Zeiten von Cybercrime und Social Engineering Webinar | 8. und 15. April 2016 Glossary Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 2 1/ 2 1/ 2 Betrug im Zahlungsverkehr hat es schon immer gegeben. Aber was ändert sich mit der Digitalisierung? • E ine Unterschrift ist leicht nachzumachen. Eine gute Fälschung hält im Tagesgeschäft vielleicht einer Sichtprüfung stand. • B eim Betrug im beleghaften Zahlungsverkehr täuscht der Täter die Identität des Kunden vor. Die digitale Signatur: •E ine digitale Signatur ist mit technischen Mitteln nicht „imitierbar“. 30460221009e0339f72c793a89e664a8a932f073962a3f84eda0bd9e02084a6a9567f75aa022100bd9cbaca2e5ec195751efdfac164b76250b1e21302e51ca86dd7ebd7020cdc0601 •D ie Täter versuchen, den Kunden den betrügerischen Zahlungsvorgang selbst auslösen zu lassen, oder lassen sich vom Kunden Zugang zu seinem System gewähren. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 2 / 2 1/ 2 1/ 2 1/ 2 1/ 2 Betrug mit SEPA-Firmenkundenlastschriften (ähnlich wie alter Abbuchungsauftrag) Bank des Zahlungspflichtigen 5. Der nicht stornierbare Einzug 2. Einreichung des Mandats Bank des Zahlungsempfängers 4. Einreichung der B2B-Lastschrift 3. Bestätigung der Einmeldung Firma, die betrogen wird 1. Das Grundgeschäft Der Betrugsweg Pseudofirma (Betrüger) Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 3 1/ 2 1/ 2 1/ 2 Beispiel aus dem Privatkunden-Banking Mehr-TAN-Trojaner: 100 TAN-Trojaner Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 2/ 3 1/ 2 1/ 2 1/ 2 Rücküberweisungs-Trojaner Der Betrug beginnt mit einem Hinweis zum irrtümlichen Geldeingang Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 3/ 3 1/ 2 1/ 2 1/ 2 Rückkehr zum klassischen Phishing als „Vortat“: Mails und Webseiten haben nur noch selten Rechtschreibfehler. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 7 1/ 2 1/ 2 Cybercrime im Unternehmen setzt stattdessen beim Mitarbeiter an, denn das Firmenkundengeschäft ist wesentlich differenzierter. • • • Fazit Im Ausland seit Jahren praktizierte Betrugsszenarien … ihn dazu zu bringen, scheinbar rechtmäßige Zahlungen auszulösen. halten Einzug im deutschsprachigen Raum. Die Täter setzen bei ihrem Angriff gezielt auf die Täuschung eines Mitarbeiters im Unternehmen, um …. … Zugriff auf den Arbeitsplatzrechner des Mitarbeiters zu erlangen, um selbst Zahlungen auszulösen, z. B. über eine Fernwartungssoftware (Remote Access). Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 2/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Social Engineering und Remote Access Tools ! •D as Szenario ähnelt der Variante des „Microsoft-Technikers“, nur ruft hier ! •D as vermeintliche „Software-Update“ installiert tatsächlich ein Remote ! •K onkrete Fälle aus Großbritannien und aus Frankreich sind bekannt – offenbar vermeintlich die Bank selbst an. Es wird Access Tool, eine sonst nützliche ist diese Methode aber auch in anderen vorgegeben, technische Unterstützung Support-Software zur Unterstützung Ländern verbreitet. bei einem notwendigen Update leisten bei erwünschter technischer Hilfe- zu müssen. stellung. Der Nutzer wird zur Ablenkung während der Installation an verschiedene Rechner geschickt. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 3/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Rechnungsbetrug • Falsche Rechnungen für Fantasieleistungen, die durchaus in Inhalt und Leistung einer erwarteten • Mitarbeiter unter Druck zu setzen. Nicht selten werden auch hier gefälschte Auftragserteilungen als Grundla- Rechnung entsprechen können. Vorher werden die ge der Rechnung mit veröffentlichten Faksimiles der richtigen Ansprechpartner in der Firma ausfindig ge- Managements versehen (z. B. aus Bilanzen). macht. Rechnungsbetrug ist bei größeren Summen eher • Die Rechnung kann per Mail oder Post kommen. Teils • schwierig aufgrund firmeninterner Kontrollmaßnahwird das Briefpapier von realen Vendoren verwendet. • Der Mitarbeiter wird manchmal auch sofort mit der Mahnung angeschrieben, der ein Anruf folgt, um den men bei neuen Vendoren oder veränderten Bankverbindungen zu Vendoren. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 4/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Mandatsbetrug • Vermeintliche Mail von einem Lieferanten mit angeblicher Korrektur der Bankverbindung. Diese folgt unmittelbar auf eine echte Mail zu einer erwarteten Rechnung vom realen Absender, nachdem der Mailserver des Geschäftspartners gehackt worden ist. Es gibt auch Fälle, in denen die Bankverbindungsänderung postalisch mit Vorlaufzeit an reale Vendoren angekündigt wurde! • Dies erfolgte in einem Fall auch schon so großflächig an alle Geschäftspartner des Unternehmens, dass • der Treasurer selbst der Meinung war, es müsse wohl eine neue Bankverbindung im Unternehmen geben. • Mögliche Eingangskanäle sind Mail, Fax, Brief auf korrektem Briefbogen etc. • Meist größere Summen (bekannt sind 7- und 8-stellige Beträge). • Die Zielländer dieser Betrugsszenarien befinden sich oft in Südostasien. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 5/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Mandate-Fraud • Die regulär von der Bank ausgestellte Kontobestätigung wurde als Vorlage genutzt, um den Geschäftspartner der Firma über eine vermeintlich neue Bankverbindung zu informieren. Die Firma nutzte im Vorfeld das gleiche Bestätigungsschreiben. Unterschriften von Bankmitarbeitern. •Mit • Das Schreiben ähnelt dem der Bank. • Commerzbank wurde durch INVEST BANK ersetzt (sichtbar in der Schriftzugunterbrechung in der Signatur). • Bekannt ist dieses Betrugsverfahren insbesondere in Industrien, bei denen auf Basis von Lieferscheinen überwiesen wird ODER im Nachgang zu mitgelesenen Rechnungen mit Mails. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 6/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Spear Phishing (CFO-Fraud / CEO-Fraud) • Eine gefälschte, scheinbar interne Mail weist einen Mitarbeiter an, eine Transaktion durchzuführen. Die • Eine von vielen uns bekannten „Storys“, mit denen der Mitarbeiter getäuscht werden soll, ist eine anstehende Weisung kommt in diesen Fällen meist vom Manage- Fusion, die aufgrund der Börsennotierung des eigenen ment und avisiert einen Anruf, z. B. von einem betrau- Unternehmens streng vertraulich ist. ten Anwalt. • Konkrete Fälle aus Großbritannien, den USA und aus Deutschland sind bekannt. Der Anrufer kommt meist mit mehrfachen Aufträgen auf den Mitarbeiter zu. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 7/ 7 1/ 2 1/ 2 Betrugsszenarien in der Praxis: Spear Phishing (CFO-Fraud / CEO-Fraud) • Der E-Mail folgt der avisierte Anruf. Auch das Vortäuschen ganzer Telefon- und Videokonferenzen ist uns bekannt. Die Rufnummer im Display ist über Spoofing fälschbar. • Verlangte Dokumente werden in der Regel auch gefälscht geliefert (Ausweiskopien, Fusionsverträge etc.). • Der Betrug wird aus sicherer Entfernung per Anruf so oft wiederholt, bis die Täuschung entdeckt wird. • Bei Überweisungen in den asiatischen Raum werden die Anweisungen oft nach 12 Uhr MEZ initiiert und es wird meist eine gleichtägige Valutabindung verlangt. • Praxisfall 1: Es rief laut dem Mitarbeiter der CFO der eigenen Holding persönlich an und der Mitarbeiter meinte, ihn an der Stimme erkannt zu haben. Die eingeschaltete Revision war vor Ort, als weitere Anrufe des Betrügers folgten und man konnte die Ähnlichkeit bestätigen. • Praxisfall 2: Der Treasurer in einer gerade aufgekauften Firma erhielt den Anruf vom vermeintlichen Vorstand. Auch er glaubte, ihn an der Stimme erkannt zu haben, da er ihn vor drei Wochen erst angerufen und zum Firmenjubiläum gratuliert hatte. Beide Anrufe waren vorgetäuscht. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 2 1/ 3 1/ 2 Wie können sich Unternehmen schützen? •Gewährleisten Sie die IT-Sicherheit in Ihrem •Installieren Sie nie Software, die Ihnen Dritte •Öffnen Sie keine Anlagen/Anhänge von E-Mails, •Identifizieren Sie risikobehaftete Prozesse und •Prüfen Sie jeden überraschenden Sachverhalt mit Mitarbeiter in Ihrer Firma Einzelunter•Haben Unternehmen. denen Sie nicht vertrauen. stellen Sie Kontrollen sicher: – Nicht nur die Zahlungseingabe oder die Zahlungsfreigabe ist sicherheitskritisch. – Stammdatenänderungen (Kontoverbindungen) sollten abgesichert sein. – Rückversicherung bei Unsicherheit: Eine telefonische Rückversicherung beim bekannten Ansprechpartner in der Bank oder beim Geschäftspartner kann den Betrug verhindern. •Schulen Sie Mitarbeiter auf das Risiko von Social Media, wenn Kontaktanfragen von Unbekannten leichtfertig akzeptiert werden. •Schaffen Sie ein Bewusstsein dafür, dass veröffentlichte Daten in solchen Netzwerken darauf zu prüfen sind, wie sie gegen die Person genutzt werden können. ungefragt aufdrängen: – Jeder Mitarbeiter muss wissen: Was darf der externe Support und was nicht? dem gesunden Menschenverstand. schriftsvollmachten? •Dürfen Mitarbeiter in Ihrer Firma unlimitiert unterschreiben? •Haben Sie bei der Bank ein Fax-/E-Mail-Revers für Aufträge hinterlegt? •Haben Sie bei Ihrer Bank die Sperrung beleghafter Zahlungsaufträge beauftragt? •Sind öffentlich bekannte Unterschriften auch für die Autorisierung bei der Bank hinterlegt? Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 2 2/ 3 1/ 2 Was tun, wenn man Opfer geworden ist? Was kann die Commerzbank im Fall des Falles für Sie tun? Sie sofort Ihre Bank, insbesonde•Kontaktieren •Unmittelbarer Überweisungsrückruf gute Vernetzung mit ausländischen •Weltweit re wenn die Zahlung noch „frisch“ ist. – Zahlungen werden nur garantiert zurückgegeben, wenn sie dem Empfängerkonto noch nicht gutgeschrieben sind. – Zahlungen werden unter Umständen auch dann noch zurückgegeben, wenn das Geld noch nicht verfügt wurde (good will). – Ein erfolgreicher Überweisungsrückruf ist nur möglich, wenn er zeitnah erfolgt. Banken •Vermittlung von Kontakten zu Ermittlungs- behörden im ganzen Bundesgebiet, die auf Cybercrime spezialisiert sind. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 2 3/ 3 1/ 2 Fazit Cybercrime im Firmenkundengeschäft ist nicht „industrialisiert“ wie im browserbasierten Banking. Hohe Diversität macht das Schreiben von Malware zu „teuer“. ➞ Die Attacken erfolgen meist über Social Engineering. ➞ Schulung von Mitarbeitern, gesicherte Prozessschritte, die Prüfung eines merkwürdigen Sachverhaltes mit dem gesunden Menschenverstand und die Rückversicherung bei bekannten Ansprechpartnern helfen, den Betrug zu verhindern. ➞ Der Schaden durch einen zu spät bemerkten Betrug kann unter Umständen auch nach Geldabgang noch abgewendet werden, wenn Sie nicht zögern und sofort Ihre Bank informieren. Damit kann ein Überweisungsrückruf eingeleitet werden. Betrugsformen analog / digital Cybercrime bei Privatkunden Cybercrime bei Firmenkunden Sicherheit Impressum 1/ 2 1/ 2 1/ 2 1/ 2 1/ 2 Disclaimer Diese Präsentation wurde von der Commerzbank AG vorbereitet und erstellt. Die Veröffentlichung richtet sich an professionelle und institutionelle Kunden. Alle Informationen in dieser Präsentation beruhen auf als verlässlich erachteten Quellen. Die Commerzbank AG und/oderihre Tochtergesellschaften und/oder Filialen (hier als Commerzbank Gruppe bezeichnet) übernehmen jedoch keine Gewährleistungen oder Garantien im Hinblick auf die Genauigkeit der Daten. Die darin enthaltenen Annahmen und Bewertungen geben unsere beste Beurteilung zum jetzigen Zeitpunkt wieder. Sie können jederzeit ohne Ankündigung geändert werden. Die Präsentation dient ausschließlich Informationszwecken. Sie zielt nicht darauf ab und ist auch nicht als Angebot oder Verpflichtung, Aktien oder Anleihen zu kaufen oder zu verkaufen, die in dieser Präsentation erwähnt sind, wahrzunehmen. Commerzbank AG GS-OS IS Security Consulting & Research MSB CTS & FI, Product Management Cash Services, Fraud Prevention Zum Kontaktformular Die Commerzbank Gruppe kann die Informationen aus der Präsentation auch vor Veröffentlichung gegenüber ihren Kunden benutzen. Die Commerzbank Gruppe oder ihre Mitarbeiter können ebenso Aktien, Anleihen und dementsprechende Derivate besitzen, kaufen oder jederzeit verkaufen, wenn sie es für angemessen halten. Die Commerzbank Gruppe bietet interessierten Parteien Bankdienstleistungen an. Die Commerzbank Gruppe übernimmt keine Verantwortung oder Haftung jedweder Art für Aufwendungen, Verluste oder Schäden, die aus dieser Präsentation entstehen oder in irgendeiner Art und Weise im Zusammenhang mit der Nutzung eines Teils dieser Präsentation stehen.
© Copyright 2024 ExpyDoc
