Die Kripo warnt vor der Betrugsmasche BEC – kurz für Business E-Mail Compromise. Dabei geben sich Betrüger als Chef, Geschäftspartner oder Lieferant aus und fordern unter einem Vorwand hohe Geldsummen – meist mit Erfolg. Die täuschend echt aussehenden Mails wirken glaubwürdig und enthalten keine Schadsoftware. Deshalb landen sie auch nicht im Spam-Filter. Besonders betroffen sind laut Kripo Firmen, die an EU-weiten Ausschreibungen teilnehmen. Zahlungen sollten nie allein auf E-Mail-Basis freigegeben und Kontodaten immer telefonisch rückbestätigt werden. Die Polizei rät auf ungewöhnliche Adressen der Absender zu achten und bei einem Verdacht Vorgesetzte und Polizei zu informieren.
Hier die ausführlichen Infos der Polizei:
Kriminelle fälschen gezielt E-Mail-Absender und imitieren interne Kommunikationsmuster, um Mitarbeitende unter Druck zu setzen. Besonders häufig beobachten wir:
· Aufforderung zu dringenden Überweisungen an neue Konten
· Vermeintlich vertrauenswürdige Absender (z.B. angeblich Chef, Lieferant oder Geschäftspartner)
· Appelle an Diskretion und Eile unter Umgehung üblicher Freigabeprozesse
· Auffälligkeiten wie ungewöhnliche Schreibweise, plötzlicher Sprachwechsel oder verdächtige E-Mail-Domains
So können sich Unternehmen und Behörden schützen:
Zahlung niemals ungeprüft freigeben
· Wenden Sie immer das Vier-Augen-Prinzip an!
· Lassen Sie sich neue oder geänderte Kontodaten telefonisch rückbestätigen!
· Geben Sie niemals Zahlungen ausschließlich auf Basis einer E-Mail frei!
E-Mail-Absender genau prüfen
· Achten Sie auf Buchstabendreher, ungewöhnliche Domains oder gefälschte Signaturen (Beispiel: @fírma.de anstelle von @firma.de – Haben Sie den Unterschied bemerkt?)
· Kontaktieren Sie den Absender im Zweifel immer über offizielle Kommunikationswege, nicht über die verdächtige E-Mail!
Technische Sicherheit ausbauen – mehr als nur starke Passwörter
· Verwenden Sie die Multi-Faktor-Authentifizierung – also ein Sicherheitsverfahren, bei dem mehrere Nachweise der Identität verlangt werden, bevor jemand auf ein System zugreifen darf (Beispiele: Passwort, Smartphone, Biometrie)!
· Nutzen Sie E-Mail-Sicherheitsprotokolle wie SPF, DKIM und DMARC, um zu verhindern, dass Ihre Domain für betrügerische Mails missbraucht wird!
Mitarbeitende gezielt schulen
· Sensibilisieren Sie Ihre Teams und etablieren Sie klare Prozesse zur Prüfung von Rechnungen und Zahlungsanweisungen!
· Informieren Sie bei Auffälligkeiten Ihre Kolleginnen und Kollegen!
Im Verdachtsfall:
· Stoppen Sie die Zahlung und informieren Sie Vorgesetzte, IT-Abteilung und Bank!
· Beantworten Sie die E-Mail nicht und klicken Sie keine Anhänge oder Links an!
· Schalten Sie die Polizei ein und sichern Sie die Betrugs-E-Mail!