Betrugsprävention
Social Engineering nutzt Aspekte der menschlichen Natur aus - Verhaltensweisen, die uns von Natur gegeben sind. Der Schlüssel zum Social Engineering ist die Manipulation des Vertrauens, um Personen dazu zu bringen, vertrauenswürdige Informationen preiszugeben. Hierfür setzen sich Betrüger mit ihren Opfern meist telefonisch, per Text (Smishing) oder per E-Mail (Phishing) in Verbindung.
Phishing-E-Mails sollen Empfänger dazu verleiten, auf betrügerische Links zu klicken oder Anhänge herunterzuladen, die Malware einschleusen, Passwörter stehlen oder sensible Finanzinformationen extrahieren können. In ähnlicher Weise versuchen sie mit Anrufen (Sprach-Phishing) und SMS-Phishing, Einzelpersonen dazu zu bringen, persönliche oder finanzielle Informationen preiszugeben oder Handlungen durchzuführen, die Datendiebstahl ermöglichen.
Wie funktionieren Phishing, Vishing und Smishing-Betrug?
Phishing-E-Mails täuschen häufig Nachrichten von vertrauenswürdigen Organisationen vor, indem sie die Empfänger zum sofortigen Handeln auffordern, wie z.B. "Kontoinformationen aktualisieren" oder "Transaktionen überprüfen". Die aufgeführten Links führen häufig zu bösartigen Websites, die dem Diebstahl der Anmeldeinformationen oder von Finanzdaten dienen.
Auf der anderen Seite setzt Vishing auf großvolumige Telefonkampagnen mit Autodials oder gefälschten Nummern. So gibt ein Betrüger häufig vor, vom "Betrugsabwehrteam" zu stammen, und teilt Ihnen mit, dass Sie umgehend agieren müssen, um sich vor einem aktuellen Betrugsversuch zu schützen.
Smishing funktioniert durch eine Textnachricht / SMS, die den Benutzer dazu verleiten soll, auf bösartige Links zu klicken oder persönliche Daten zu teilen. Die weit verbreitete Verwendung und Unmittelbarkeit von Textnachrichten / SMS machen das Smishing durch die Umgehung häufig genutzter E-Mail-Spam-Filter sehr viel effizienter.
Angreifer, die Organisationen ins Visier nehmen, imitieren häufig leitende Angestellte und stellen dringende Anfragen. Sie bauen Druck auf und drängen die Angestellten zu überstürztem Handeln, um Kontrolle über das Gespräch und potentielle Transaktionen zu erlangen.
Risiken für Unternehmen
- Datendiebstahl
- Betrügerische Verlinkung Ihres Internet-Bankings
- Finanzdiebstahl
- Identitätsdiebstahl
Wie kann ich mein Geschäft gegen Phishing, Vishing und Smishing verteidigen?
1. Schulung des Personals, um Phishing-E-Mails, Anrufe und Smishing-Texte zu erkennen.
- Reagieren Sie auch bei angeblicher Dringlichkeit eines Antrags nicht ohne eine gründliche Überprüfung.
- Teilen Sie keine persönlichen oder finanziellen Daten über E-Mail, Telefon oder Text.
- Klicken Sie nicht auf Links oder laden Sie Anhänge von unbekannten Quellen herunter.
2. Beachten Sie, dass Rufnummer oder E-Mail-Adresse gefälscht sein können und verlassen Sie sich niemals auf die Rufnummer des Anrufers oder Absenders.
3. Benutzernamen, Kennwörter oder Codes für Online-Banking, wie z. B. einmalige Passcodes oder Online-Banking-Autorisierungscodes, sollten niemandem zugänglich gemacht oder mitgeteilt werden. HSBC und andere Banken brauchen diese nicht, um Zahlungen umgehend stoppen zu können.
4. HSBC wird Sie niemals bitten, sich an einer laufenden Untersuchung zu beteiligen oder Ihr Geld umgehend an ein vermeintlich sicheres Konto zu schicken.
Anzeichen potenzieller Phishing-, Vishing- oder Smishing-Versuche:
- E-Mail Absender oder Anrufer geben vor, von Ihrem Unternehmen zu sein, enthalten jedoch inhaltliche Fehler oder entsprechen nicht der üblichen Vorangehensweise.
- Im Rahmen von Fake-Anfragen wird mit Nachdruck nach sensiblen Informationen unter Verwendung von Dringlichkeit oder der Drohungen einer Kontoaussetzung gefragt.
- Anrufer wenden sich unter Nennung von bekannten Namen an Ihre Organisation, machen aber inkonsistente Angaben oder stellen verdächtige, ungewöhnliche Anfragen.
- Der Anruf oder die E-Mail weist Sie an, unbekannte oder interne Systeme zur Überprüfung zu verwenden.