Die Welt ist im Wandel – und mit ihr auch die IT-Bedrohungslage. Cyberkriminelle werden immer raffinierter – und gerade kleine und mittlere Unternehmen (KMU) sind zunehmend ins Visier geraten. Besonders perfide: Der Anstieg von betrügerischen Mails und Fake-Anrufen, die auf Social Engineering basieren. Auch viele unserer Kunden berichten von dubiosen E-Mails, die täuschend echt aussehen und schwer als Betrugsversuche zu erkennen sind. Doch wer unvorsichtig handelt, kann sich schnell großen Schaden einhandeln.
Was ist Cybersecurity – und was bedeutet Social Engineering?
Cybersecurity bezeichnet den Schutz von Systemen, Netzwerken und Daten vor digitalen Angriffen. Dazu gehören Maßnahmen wie Firewalls, sichere Passwörter oder verschlüsselte Verbindungen. Doch Technik allein reicht nicht aus – denn der Mensch bleibt das größte Einfallstor für Cyberangriffe.
Hier kommt Social Engineering ins Spiel: Diese Angriffsmethode nutzt psychologische Tricks, um Menschen zu manipulieren und vertrauliche Informationen zu stehlen. Dabei setzen Betrüger oft auf gefälschte E-Mails oder Anrufe, um Druck zu erzeugen und schnelle, unüberlegte Reaktionen hervorzurufen.
Gefälschte Mails und Fake-Anrufe: Die neuen Tricks der Angreifer
Wir beobachten aktuell eine steigende Anzahl an betrügerischen E-Mails, die auch unsere Kunden betreffen. Typische Betrugsversuche sind:
- Falsche Bankverbindungs-Bestätigungen: Eine Mail fordert Sie auf, Ihre Bankdaten zu bestätigen oder zu aktualisieren.
- Passwort-Reset-Betrug: Sie erhalten eine Nachricht, dass Ihr Passwort aus Sicherheitsgründen zurückgesetzt werden muss – mit einem Link, der in Wirklichkeit Ihre Zugangsdaten abfängt und dem Angreifer zu Verfügung stellt.
- Gefälschte Rechnungen: Angeblich offene Zahlungen sollen beglichen werden, oft mit einer Frist, um Druck auszuüben. Dabei geht es meist auch um Leistungen, die für Sie kritisch sind: Eine Domainverlängerung, ein Branchenbucheintrag oder ähnliches – wir berichteten darüber bereits 2022 in diesem Blogartikel.
- Identitätsmissbrauch: Angreifer geben sich als Kundensupport oder IT-Abteilung aus und bitten um Bestätigung oder Aktualisierung von sensiblen Daten.
Das Fatale: Diese Nachrichten wirken auf den ersten Blick authentisch. Logos, Design und Sprache sind oft professionell kopiert. Zusätzlich wird häufig mit Dringlichkeit gearbeitet – „Ihr Konto wird gesperrt!“, „Letzte Mahnung!“ oder „Sicherheitsprüfung erforderlich!“ sind typische Betreffzeilen, die Nutzer zur schnellen Reaktion verleiten sollen.
Warum diese Betrugsmaschen so gefährlich sind
Fällt man auf solche Mails herein, kann das gravierende Folgen haben:
- Unberechtigte Abbuchungen vom Konto durch Preisgabe von Bankdaten.
- Identitätsdiebstahl, wenn Angreifer persönliche oder geschäftliche Informationen stehlen.
- Missbrauch von Domains oder E-Mail-Adressen, wenn sich Betrüger in Ihren Mail- oder Webserver einloggen.
- Mögliche Haftung für Folgeschäden, wenn über Ihre Infrastruktur Cyberangriffe auf Dritte durchgeführt werden.
So erkennen Sie betrügerische E-Mails – und schützen sich davor
Um sich vor Social-Engineering-Angriffen zu schützen, gilt es, E-Mails und Anrufe kritisch zu hinterfragen. Achten Sie auf folgende Hinweise:
✔ Prüfen Sie den Absender genau.
E-Mails von uns kommen beispielsweise ausschließlich von Adressen im Format *@benicsolutions.com. Betrüger nutzen oft ähnlich aussehende Domains oder verschleiern die tatsächliche Adresse, indem Sie den Namen durch eine unserer echten Adressen ersetzen. Prüfen Sie diesen, indem Sie sich die tatsächliche Absenderadresse im E-Mail-Header anzeigen lassen. Wie das geht, beschreibt die Verbraucherzentrale in diesem Artikel.
✔ Achten Sie auf die Sprache, Grammatik und Design.
Viele Betrugsmails enthalten Rechtschreibfehler oder klingen unnatürlich. Dies liegt meist an automatischen Übersetzungstools, wenn die Angreifer aus dem Ausland tätig werden. Interessanterweise kann oftmals auch das Design eine Fake-Mail entlarven, wenn dieses beispielsweise von zuvor erhaltenen E-Mails abweicht bzw. ungewöhnlich aussieht.
✔ Misstrauen Sie Zeitdruck und Drohungen.
Seriöse Unternehmen setzen Sie nicht unter Druck, um eine sofortige Reaktion zu erzwingen. Sofern tatsächlich eine Frist eingehalten werden muss, sollte diese angemessen sein und bestenfalls nachvollziehbar erläutert werden.
✔ Klicken Sie niemals unüberlegt auf Links oder Anhänge.
Bewegen Sie stattdessen den Mauszeiger über den Link, um die tatsächliche URL zu sehen, bevor Sie darauf klicken. Passt diese nicht zu der erwarteten Adresse, lassen Sie Vorsicht walten.
✔ Im Zweifel: Fragen Sie nach!
Wenn eine Mail verdächtig erscheint, kontaktieren Sie den Absender und fragen Sie nach. Nutzen Sie dabei jedoch nicht etwaige in der fraglichen E-Mail enthaltene Kontaktdaten, da diese manipuliert sein könnten. Navigieren Sie stattdessen manuell auf die Website der Absenderfirma und nutzen die dort bereitgestellten Kontaktdaten – oder idealerweise haben Sie die Kontaktdaten in Ihrem persönlichen Adressbuch bereits gespeichert.
Fazit: Wachsam bleiben und nicht unter Druck setzen lassen
Cyberangriffe sind eine ernstzunehmende Gefahr, doch mit gesundem Misstrauen und bewährten Sicherheitsmaßnahmen lassen sie sich vermeiden. Lassen Sie sich nicht von Zeitdruck oder vermeintlicher Dringlichkeit täuschen. Nehmen Sie sich die Zeit, verdächtige Mails zu überprüfen und setzen Sie auf sichere Prozesse in Ihrem Unternehmen.
Sie haben eine verdächtige Nachricht erhalten und sind unsicher? Kontaktieren Sie uns – wir helfen Ihnen gerne weiter!
