Betrug zum Zwecke der finanziellen Bereicherung ist nichts Neues, aber Unternehmen jeder Art sehen sich heute mit immer raffinierteren Betrügern konfrontiert, die das Verbrechen auf eine ganz neue Ebene heben. Für Risikomanager ist es kein Wunder, dass Social Engineering-Betrug ein heißes Thema ist. Dieser schnell wachsende Betrug hat viele Gesichter. Große Unternehmen sind gefährdet, weil sich die Mitarbeiter möglicherweise nicht kennen und sie über verschiedene Standorte verfügen, während kleine Firmen vielleicht schwächere Kontrollen haben – im Grunde ist jedes Unternehmen ein Ziel.
Einige Beispiele sind der Lieferantenbetrug, bei dem Kriminelle Rechnungen durch das Hacken der Systeme eines Lieferanten oder durch die Verwendung eines Briefkopfes zur Erstellung von Rechnungen oder anderen Dokumenten erlangen können. In der Regel geht dies so lange, bis der echte Lieferant merkt, dass er nicht bezahlt wurde. Die Betrüger können die Zahlung per E-Mail anfordern oder in der Buchhaltung anrufen. Diese Kriminellen sind nicht naiv – sie haben ihre Hausaufgaben gemacht und wenn sie zum Telefon greifen, klingen sie echt. Wahrscheinlich kennen sie den Namen ihres Gesprächspartners und verfügen über viele andere Daten, die sie legitim erscheinen lassen. Sie können es ganz vernünftig klingen lassen, wenn sie sagen, dass sich die Bankdaten geändert haben oder dass sie neue Rechnungen mit diesen Daten liefern. In großen Unternehmen kann es zu Betrug kommen, wenn sich ein Krimineller beispielsweise als Regionalleiter ausgibt und Zahlungsüberweisungen von der Zentrale verlangt. Auch hier hat es Fälle gegeben, in denen diese Betrügereien mit Leichtigkeit durchgeführt werden konnten, weil die Details so realistisch sind. Es sind so viele Daten im Umlauf und entschlossene Kriminelle haben die Möglichkeit, Bankdaten und Passwörter zu finden, sei es durch Hacking, Phishing oder durch Ausnutzung schwacher interner Kontrollen. Kriminelle können sich auch als Mitarbeiter des Betrugsdezernats einer Bank ausgeben – auch hier verfügen sie über eine Fülle von Informationen und fordern eine Überweisung zum Schutz der Gelder. Sie werden ein Gefühl der Dringlichkeit vermitteln, um den Angestellten das Gefühl zu geben, dass er sofort handeln muss. Die Betrüger können überzeugende Telefonnummern und E-Mail-Adressen verwenden. Manche setzen sogar Hintergrundgeräusche ein, damit es so klingt, als käme der Anruf von einem seriösen Kontaktzentrum. Telefonnummern können auch per E-Mail oder SMS verschickt werden, um einen Rückruf an einen redegewandten Betrüger zu erbitten. Finanzdienstleister und Einzelhändler verwenden zunehmend E-Mails und Textnachrichten, um mit ihren Kunden zu kommunizieren, und so können diese als legitime Anfragen erscheinen. Viele Unternehmen und Privatpersonen erhalten E-Mails von echten Anbietern, wie z.B. Einzelhändlern, und sind es gewohnt, Online-Zahlungen zu tätigen. Anstatt sich wie früher als nigerianische Prinzen auszugeben oder Preise von Lotteriegesellschaften anzubieten, geben sich die Betrüger jetzt oft als Unternehmen wie Amazon oder Banken aus. Sie behaupten, dass eine Zahlung abgelehnt wurde und fordern neue Daten an. Risikomanager können viele Social Engineering-Betrügereien erkennen. Aber ein Mitarbeiter, der weniger versiert ist und möglicherweise einen stressigen Arbeitstag hat, könnte darauf hereinfallen. Und das tun viele, denn dieses Verbrechen ist für Interpol und die regionalen Polizeibehörden ein großes Problem. In zu vielen Unternehmen herrscht jedoch noch Selbstgefälligkeit. Neue Mitarbeiter mit begrenzter Ausbildung und sogar Zeitarbeiter können Zugang zu sensiblen Informationen haben. Selbst wenn Unsicherheit besteht, weiß ein Mitarbeiter möglicherweise nicht, an wen er sich wenden kann, um Rat zu erhalten. Risikomanager spielen also eine wichtige Rolle bei der Förderung einer gründlichen Schulung aller Mitarbeiter, guter Systeme und Prozesse sowie eines angemessenen Versicherungsschutzes, die den Social Engineering-Betrügern das Leben schwer machen können. Alle Vorfälle sollten genau beobachtet und möglicherweise für Schulungen genutzt werden.
Social-Engineering-Betrug lässt sich am leichtesten in Unternehmen begehen, in denen die Kommunikation und die Protokolle unzureichend sind. Wenn die Arbeit zu sehr unter Druck steht, um eine ordnungsgemäße Überprüfung zu ermöglichen, ist dies ein Problem, mit dem sich die Geschäftsleitung befassen muss. Zu viele Kriminelle haben hier leichtes Spiel, und jetzt ist es an der Zeit, dafür zu sorgen, dass es viel weniger Beute gibt.
