Suche
Hinweise und Tipps zur sicheren Nutzung des Internets und Schutz vor betrügerischen E-Mails.
Wir warnen Sie hier vor aktuellen Angriffen durch Betrüger und geben Ihnen Informationen zum Schutz Ihrer Daten im Internet.
Kontaktieren Sie umgehend das electronic banking-Team, wenn es bei der Nutzung des BFS-Net.Banking zu betrügerischen Zahlungen, verdächtigen Vorfällen oder Unregelmäßigkeiten gekommen ist sowie bei Phishing-Versuchen im Namen der SozialBank.
Das Wort Phishing setzt sich aus "Password" und "fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Dazu senden Betrüger E-Mails bzw. fälschen Internetseiten und versuchen so an sensible Informationen zu gelangen oder Transaktionen zu veranlassen.
Die Betrüger geben sich oft als eine bekannte oder auf eine andere Art und Weise vertrauenswürdige Person bzw. als ein Unternehmen aus. Zusätzliche Angaben in der Nachricht (z. B. der Verweis auf ein früheres Treffen oder die Kombination mit z. B. im Internet recherchierten Details aus dem privaten und/oder beruflichen Umfeld) dienen dazu, die Glaubwürdigkeit der E-Mail zu unterstützen. Häufig verknüpfen Betrüger ihre Masche auch mit einem Telefonanruf.
Einige Phishing-Versuche kommen scheinbar von einem Mitglied des Vorstands oder einer Führungskraft. Der Betrüger weist dann auf die erwartete Geheimhaltung hin und fordert die Überweisung eines Geldbetrags. Dies ist ein sogenannter CEO-Fraud, über den Sie unten mehr erfahren können.
In verschiedenen Varianten wird das Opfer darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten nicht mehr sicher oder aktuell sind und es diese unter dem im E-Mail aufgeführten Link ändern soll. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstanbieters (etwa der Bank), sondern auf eine vom Betrüger identisch aufgesetzte Webseite. Betrüger nutzen oft Adressen, die sich nur geringfügig von denen des echten Anbieters unterscheiden.
Andere Phishing-Mails fordern den Empfänger auf, eine Datei zu öffnen, die entweder als Anhang beigefügt ist oder über einen Link zum Download bereitsteht. Falls Sie keine Datei vom Absender erwarten: öffnen Sie den Anhang nicht und klicken Sie nicht auf den Link. Beide Varianten können einen Virus oder schadhaften Code enthalten, der z. B. die Dateien auf Ihrem PC verschlüsselt und unbrauchbar macht.
Antworten Sie nicht auf Phishing-Mails. Dann merkt der Betrüger, dass er eine echte E-Mailadresse zu fassen bekommen hat. Sie bekommen dann noch mehr Phishing-Mails.
Seien Sie argwöhnisch, wenn Sie per E-Mail nach persönlichen oder sensiblen Informationen gefragt werden, zum Beispiel Zugangsdaten, Passwörter, Kreditkartennummern, Kundennummern, Namen, Geburtsdaten, Adressen oder Kontodaten.
Ein weiterer Indikator für einen Phishing-Versuch ist ein maskierter Link. Sie können Links überprüfen, indem Sie mit der Maus – ohne zu klicken – darauf zeigen. Unterhalb des Mauszeigers erscheint das tatsächliche Ziel des Links in einer kleinen Box. Stimmt dieses Ziel nicht mit dem in der E-Mail angegebenen Link überein, handelt es sich um eine Maskierung. Trauen Sie dieser nicht! Nutzen Sie das BFS-Net.Banking, indem Sie die Adresse www.sozialbank.de manuell in Ihren Internet-Browser eintippen.
Seien Sie vorsichtig, wenn Sie via E-Mail aufgefordert werden, ganz dringend und innerhalb einer kurzen Frist zu handeln. Lassen Sie sich auch von angedrohten Konsequenzen wie zum Beispiel einer Kontosperrung, der Einschaltung eines Inkassounternehmens oder anderen erfundenen Gründen niemals verleiten.
Wenn Sie Zweifel an der Aufrichtigkeit des Absenders haben, fragen Sie direkt beim vermeintlichen Unternehmen nach. Wichtig ist hierbei, nicht die Kontaktdaten aus der verdächtigen E-Mail oder Webseite zu nutzen, denn auch diese kann gefälscht sein. Suchen Sie Kontaktmöglichkeiten auf der echten Unternehmensseite und fragen per dann Telefon, E-Mail oder Brief nach.
Ihr Chef ist heute ganz anders als Sie ihn kennen!? (fangen Sie die Stimmung ein)
"Die Überweisung muss heute ausgeführt werden, ansonsten drohen Ihnen Konsequenzen.“
„Gebühren für die Eilüberweisung sind mir egal.“
„Sprechen Sie nicht mit Ihren Kollegen darüber.“
Die Täter gehen meist extrem geschickt vor, indem sie sich zunächst möglichst viele Informationen über das Unternehmen und vor allem die Strukturen des Unternehmens verschaffen. Ein Augenmerk legen die Täter dabei auf detaillierte Angaben zu Geschäftspartnern und künftigen Investments, E-Mail-Erreichbarkeiten oder auch Informationen in sozialen Netzwerken zu Mitarbeitern und Mitarbeiterinnen des Unternehmens.
Mit diesen Informationen gelingt es den gut organisierten Tätern beispielsweise überzeugend als Geschäftsführer oder weisungsbefugter Entscheidungsträger eines Unternehmens aufzutreten.
Buchhaltern oder anderen Entscheidungsträgern eines Unternehmens wird durch mehrfache E-Mails und Anrufe vorgespielt, eine dringende und geheime Geldüberweisung müsse schnell und unauffällig durchgeführt werden. Die Täter schaffen es häufig, großen psychischen Druck aufzubauen.
So gelingt es den Tätern regelmäßig, auch erfahrene Mitarbeiter zur Überweisung hoher Beträge zu bewegen und zu drängen.
Während in der Vergangenheit hauptsächlich mit gefälschten E-Mails gearbeitet wurde, gibt es nun auch erste Fälle in denen mit Sprachcomputern und Chatbots – täuschend echt – Aufträge vom Vorgesetzten platziert werden sollen.
Anhaltspunkte dafür, dass ein Fake-Chef an Sie herangetreten ist können sein:
Wenn Ihnen ein Sachverhalt auffällig vorkommt oder Sie weitere Fragen zu diesem Thema haben, kommen Sie auf Ihre Firmenkundenbetreuerin oder Ihren Firmenkundenbetreuer der Bank für Sozialwirtschaft zu, wir helfen Ihnen gerne weiter.
Weiterführende Informationen des BKAs finden Sie direkt hier:
Bestimmte Betrugsmaschen werden im Unternehmensumfeld seit Jahren praktiziert und das mit stetig wachsendem Erfolg. Betroffen sind kleine wie auch große Unternehmen und Organisationen.
Der grundlegende Ablauf von Betrugsversuchen ähnelt sich meist: Die Aktion wird lange und gut vorbereitet. Im Vorfeld wird z. B. ausgekundschaftet, wer im Unternehmen Zeichnungsberechtigungen hat, welche Geschäftsbeziehungen bestehen, wann wer abwesend ist und wie die Kommunikationsstrukturen aussehen. Kurz: Die Täter eignen sich umfangreiche Kenntnisse zu Interna des Unternehmens an. Sie nutzen dann die Technik des Social Engineerings, bei der die ausgekundschafteten Informationen gezielt ausgenutzt werden. Social Engineering kann man als "soziale Manipulation" übersetzen. Gemeint ist eine zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, wie z.B. das Auslösen von Zahlungen oder die Herausgabe von Informationen.
Beim sogenannten "Payment Diversion Fraud" haben es die Betrüger auf bestehende Zahlungsabläufe im Unternehmen abgesehen. Es geht um eine "Umleitung von Zahlungsströmen". Die Masche ist erschreckend simpel: Betrüger geben sich als Geschäftspartner aus und erreichen über gefälschte Mitteilungen, dass die Bezahlung für erbrachte Waren oder Dienstleistungen auf neu mitgeteilte Bankverbindungen erfolgt. Dabei werden unterschiedliche Kommunikationsmittel genutzt. Sowohl die Textform (Brief, ggfs. auf Geschäftspapier des Geschäftspartners, gefälschte E-Mails oder Faxe), aber auch die telefonische Info werden hierfür genutzt. Einem Mitarbeiter wird so mitgeteilt, dass sich die bisher genutzte Bankverbindung geändert hat.
Hier ist es durchaus üblich, dass ein E-Mail-Kontakt zu einer erwarteten Rechnung vom realen Absender dieser Aktion vorausgegangen ist, z. B. durch Fälschung der E-Mail-Adresse. Die nächste Überweisung wird sodann mit den neuen Bankdaten ausgeführt und das Geld ist damit in der Regel verloren. Die Geschädigten realisieren den Betrug oft erst mit der nächsten Zahlungsaufforderung.
Eine weitere Betrugsmasche im Unternehmensumfeld sind die sogenannten "Fake Payments". Darunter versteht man gefälschte Rechnungen. Mittels Social Engineering werden die relevanten Ansprechpartner im Unternehmen ermittelt. Die Täter versenden gefälschte Rechnungen über Fantasieleistungen, die in Bezug auf Inhalt und Leistung durchaus einer erwarteten Rechnung entsprechen können. Die Rechnungen kommen per Post oder per E-Mail. Teils werden nachgebildete Briefbögen im Layout von realen Geschäftspartnern verwendet.
Interne Kontrollmechanismen können beispielsweise dadurch ausgehebelt werden, dass die E-Mail mit Rechnungsanhang als vermeintliche Weiterleitung des Chefs getarnt wird, der um dringende Erledigung bittet und dazu keine Rückmeldung benötigt (siehe oben: Was ist CEO-Fraud?). Mittels Manipulation soll also der Mitarbeiter den betrügerischen Zahlungsvorgang auslösen. Kurzfristig werden auch schon mal Mahnungen verschickt, der ein Anruf folgt. Der Mitarbeiter wird so unter Druck gesetzt. Nicht selten werden gefälschte Auftragserteilungen als Grundlage der Rechnung beigefügt. Führt der Mitarbeiter die Zahlung aus, ist das Geld auch meist verloren. Zum einen fällt der Betrug nicht sofort auf und zum anderen fließen die Gelder direkt oder indirekt auf Konten in Zielländer - oftmals in Südostasien – wodurch ein Überweisungsrückruf erschwert wird.
Seit 2009 werden Änderungen im Handelsregister auch im Internet veröffentlicht.
Diese Informationen haben sich dubiose Firmen zu Nutze gemacht und senden vermeintliche Handelsregisterrechnungen an Unternehmen, die kürzlich eine Eintragung vornehmen lassen haben.
Mit einem Schreiben, welches den Eindruck erweckt, es sei vom Amt ausgestellt worden, werden die Geschäftsführer aufgefordert, eine Rechnung zu begleichen. Liest man das Kleingedruckte, handelt es sich dabei nicht um die Rechnung für die offizielle Eintragung in das Handelsregister, sondern um ein Angebot für einen Eintrag in eine Onlinedatenbank, der faktisch keinen Nutzen hat. Der Betrag liegt dabei zwischen 300 und 1200 Euro. Zeitlich kommt das Schreiben häufig vor der korrekten Rechnung vom Handelsregisteramt. Die Zahlungsfrist beträgt eine Woche.
Das Schreiben enthält das Aktenzeichen, behördliche Kassenzeichen, Belegnummern sowie das Landeswappen und machen es so täuschend echt. Papier und Schrift sind amtstypisch.
Darüber hinaus ist die Überweisung der fälligen Zahlung an eine Abofalle geknüpft. Wird der Vertrag nicht innerhalb eines bestimmten Zeitraums gekündigt, verlängert sich das Abo um ein weiteres Jahr.
Sollten Sie ein solches Schreiben erhalten, sichern Sie sich besser zuerst beim örtlichen Amtsgericht ab.
Geschäftsstelle Hamburg
Alsterdorfer Markt 6
22297
Hamburg
T 040 253326-6
F 040 253326-870
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle München
Karlsplatz 10
80335
München
T 089 982933-0
F 089 982933-629
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Berlin
Oranienburger Str. 13 – 14
10178
Berlin
T 030 28402-0
F 030 28402-367
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Hannover
Podbielskistr. 166
30177
Hannover
T 0511 34023-0
F 0511 34023-523
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Leipzig
Neumarkt 9 (Städtisches Kaufhaus)
04109
Leipzig
T 0341 98286-0
F 0341 98286-543
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Magdeburg
Joseph-von-Fraunhofer-Str. 2
39106
Magdeburg
T 0391 59416-0
F 0391 59416-539
BLZ 370 205 00
BIC BFSWDE33XXX
Meeting Point Erfurt
Bahnhofstr. 38
99084
Erfurt
T 0361 55517-0
F 0361 55517-579
BLZ 370 205 00
BIC BFSWDE33XXX
Meeting Point Nürnberg
Königstr. 2
90402
Nürnberg
T 0911 433300-0
F 0911 433300-619
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Stuttgart
Theodor-Heuss-Str. 10
70174
Stuttgart
T 0711 62902-0
F 0711 62902-699
BLZ 370 205 00
BIC BFSWDE33XXX
Geschäftsstelle Kassel
Obere Königsstr. 30
34117
Kassel
T 0561 510916-0
F 0561 510916-859
BLZ 370 205 00
BIC BFSWDE33XXX
Meeting Point Karlsruhe
Bahnhofplatz 12
76137
Karlsruhe
T 0721 98134-0
F 0721 98134-688
BLZ 370 205 00
BIC BFSWDE33XXX