Stellen Sie sich vor, Sie gehen Ihrem Tag nach, als Sie plötzlich eine SMS erhalten. Der Chef Ihres Unternehmens bittet um Ihre Hilfe. Sie sind gerade auf Kundenbesuch und jemand anderes hat es versäumt, Geschenkkarten zu besorgen. Der Geschäftsführer braucht Sie, um sechs Geschenkkarten im Wert von ca. 200€ zu kaufen und die Informationen sofort zu übermitteln.
Ihr vermeintlicher Chef verspricht, Ihnen das Geld bis zum Ende des Tages zurückzuzahlen. Übrigens werden Sie ihn in den nächsten zwei Stunden telefonisch nicht erreichen können, weil er in einer Besprechung ist. Noch eine letzte Sache: Es hat natürlich höchste Priorität! Die Geschenkkarten werden dringend benötigt.
Würden Sie bei einer solchen Aufforderung innehalten und sich Gedanken machen? Oder würden Sie dem Wunsch möglichst schnell nachkommen?
Erstaunlich viele Arbeitnehmer fallen auf diesen Geschenkkarten-Betrug herein. Es gibt auch viele Varianten. Zum Beispiel, dass Ihr Chef kein Benzin mehr hat oder in einer anderen Notlage steckt, in der nur Sie helfen können.
Dieser Betrug kann per SMS oder E-Mail erfolgen. Dabei soll der ahnungslose Mitarbeitende die Geschenkkarten kaufen. Später stellen sie fest, dass nicht der echte Geschäftsführer des Unternehmens sie kontaktiert hat. Es war ein Phishing-Betrüger.
Das Geld ist weg.
Ohne entsprechende Schulung fallen 32,4 % der Angestellten auf einen Phishing-Betrug herein.
Warum fallen Mitarbeiter auf Phishing-Betrug herein?
Obwohl die Umstände seltsam sein mögen, fallen viele Arbeitnehmer auf diesen Geschenkkartenbetrug herein. Die Hacker verwenden Social-Engineering-Taktiken. Sie manipulieren Emotionen, um Mitarbeiter*innen dazu zu bringen, der Bitte nachzukommen.
Diese Social-Engineering-Taktiken bewirken bei Mitarbeiter*innen Folgendes:
- Angst, nicht das zu tun, was der Vorgesetzte von einem verlangt.
- Chance, seinem vermeintlichen Chef den Tag zu retten.
- Man will das Unternehmen nicht im Stich lassen.
- Das Gefühl, dass man in seiner Karriere weiterkommen kann, wenn man hilft.
Die Botschaft des Betrugs ist ebenfalls so gestaltet, dass Mitarbeitende möglichst ohne nachzudenken oder zu prüfen handeln. Es wird ein Gefühl der Dringlichkeit vermittelt. Der CEO benötigt die Geschenkkarten natürlich sofort.
Außerdem wird in der Nachricht darauf hingewiesen, dass die Geschäftsführerin oder der Geschäftsführer in Kürze nicht mehr erreichbar sein wird. Damit sinkt die Wahrscheinlichkeit, dass Mitarbeitende versuchen, den echten CEO zu kontaktieren, um die Echtheit des Textes zu überprüfen.
Eine Frau aus Illinois wurde mit einer gefälschten CEO-E-Mail um mehr als 6.000 Dollar gebracht
Variationen dieses Betrugs sind weit verbreitet und können zu erheblichen finanziellen Verlusten führen. Ein Unternehmen ist nicht dafür verantwortlich, wenn ein Mitarbeiter auf den Betrug hereinfällt und mit seinem eigenen Geld Geschenkkarten kauft.
In einem Fall hat eine Frau aus Palos Hills, Illinois über 6.000 Dollar verloren. Dies war passiert, nachdem sie eine E-Mail-Anfrage von einem Mann erhalten hatte, von dem sie dachte, er sei der CEO ihres Unternehmens.
Die Frau erhielt eine E-Mail, die angeblich von ihrem Chef und dem Geschäftsführer des Unternehmens stammte. Darin hieß es, ihr Chef wolle einigen ausgewählten Mitarbeitern, die sich besonders verdient gemacht hätten, Geschenkkarten schicken.
Die E-Mail endete mit den Worten: "Können Sie mir helfen, heute einige Geschenkkarten zu kaufen?" Der Chef war unter seinen Mitarbeitern für seine Großzügigkeit bekannt, so dass die E-Mail nicht untypisch erschien.
Die Frau kaufte die gewünschten Geschenkkarten von Target und Best Buy. Dann erhielt sie eine weitere Aufforderung, ein Foto der Karten zu schicken. Auch hier war der Wortlaut der Nachricht sehr glaubwürdig und nicht bedrohlich. Sie lautete einfach: "Können Sie ein Foto machen, ich trage das alles in eine Tabelle ein".
Die Frau kaufte schließlich Geschenkkarten im Wert von über 6.500 Dollar, die der Betrüger dann stahl. Als sie ihren Chef kurze Zeit später sah, wusste dieser nichts von der Anforderung der Geschenkkarten. Die Frau erkannte, dass sie Opfer eines Betrugs geworden war.
Tipps zur Vermeidung von kostspieligem Phishing-Betrug
Ungewöhnliche Anfragen immer doppelt prüfen
Auch wenn eine Nachricht besagt, dass die Person nicht erreichbar ist, sollten Sie sich trotzdem persönlich oder telefonisch erkundigen. Wenn Sie ungewöhnliche Anfragen erhalten oder es um Geld geht, überprüfen Sie diese. Nehmen Sie auf anderem Wege Kontakt mit der Person auf, um sicherzugehen, dass sie die Wahrheit sagt.
Reagieren Sie nicht emotional
Betrüger versuchen oft, ihre Opfer zum Handeln zu bewegen, bevor sie Zeit zum Nachdenken haben. Oft genügen schon ein paar Minuten, in denen man sich zurücklehnt und eine Nachricht objektiv betrachtet, um zu erkennen, dass es sich um einen Betrug handelt.
Reagieren Sie nicht emotional, sondern fragen Sie sich, ob die Nachricht echt erscheint oder ob sie ungewöhnlich ist.
Zweitmeinung einholen
Bitten Sie einen Kollegen oder besser noch den IT-Dienstleister Ihres Unternehmens, sich die Nachricht anzuschauen. Das Einholen einer zweiten Meinung bewahrt Sie davor, sofort zu reagieren. Es kann Ihnen dabei helfen, kostspielige Fehler zu vermeiden.
Benötigen Sie Hilfe bei der Sensibilisierung Ihrer Mitarbeiter*innen für Phishing?
Phishing wird immer raffinierter. Stellen Sie sicher, dass Ihre Mitarbeiterschulungen auf dem neuesten Stand sind. Rufen Sie uns noch heute an und vereinbaren Sie ein Kennenlerngespräch, um die Sicherheit Ihres Teams zu verstärken. Die IT-Sicherheitsprofis von pirenjo.IT freuen sich darauf - gemeinsam mit Ihnen - Ihr Unternehmen sicherer zu machen!