Sicherer Zahlungsverkehr in Zeiten von Cybercrime und Social Engineering

Transkript

1 Sicherer Zahlungsverkehr in Zeiten von Cybercrime und Social Engineering Frankfurt am Main 10. November 2016 Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Security / Mittelstandsbank Cash & Transaction Services

2 Agenda 1 Vorstellung 2 Vom beleghaften Betrug zum Cybercrime 3 Beispiele für industrialisiertes Cybercrime 4 Social Engineering: Cybercrime im Firmenkundengeschäft setzt beim Mitarbeiter an 5 Wie können Sie sich als Unternehmen schützen und was tun im Betrugsfall? 6 Kontaktdaten Commerzbank 7 Disclaimer Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 1

3 Betrug im Zahlungsverkehr hat es schon immer gegeben. Aber was ändert sich mit der Digitalisierung? Eine Unterschrift ist leicht nachzumachen. Eine gute Fälschung hält im Tagesgeschäft vielleicht einer Sichtprüfung stand. Beim Betrug im beleghaften Zahlungsverkehr täuscht der Täter die Identität des Kunden vor. Die digitale Signatur: e0339f72c793a89e664a8a932 df073962a3f84eda0bd9e02084a6a9567f75 aa022100bd9cbaca2e5ec195751efdfac164 b76250b1e21302e51ca86dd7ebd7020cdc06 01 Eine digitale Signatur ist mit technischen Mitteln nicht imitierbar. Die Täter versuchen, den Kunden den betrügerischen Zahlungsvorgang selbst auslösen zu lassen, oder lassen sich vom Kunden Zugang zu seinem System gewähren. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 2

4 Betrug mit SEPA-Firmenkundenlastschriften (ähnlich wie alter Abbuchungsauftrag) Bank des Zahlungspflichtigen 5. Der nicht stornierbare Einzug Bank des Zahlungsempfängers 2. Einreichung des Mandats 3. Bestätigung der Einmeldung 4. Einreichung der B2B-Lastschrift Firma Firma die betrogen (Käufer) wird 1. Das Grundgeschäft Firma Pseudofirma (Verkäufer/Dienstl.) (Betrüger) Der Betrugsweg Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 3

5 Agenda 1 Vorstellung 2 Vom beleghaften Betrug zum Cybercrime 3 Beispiele für industrialisiertes Cybercrime 4 Social Engineering: Cybercrime im Firmenkundengeschäft setzt beim Mitarbeiter an 5 Wie können Sie sich als Unternehmen schützen und was tun im Betrugsfall? 6 Kontaktdaten Commerzbank 7 Disclaimer Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 4

6 Wege der Schadsoftware auf Ihren Computer Paypal: Bestätigung einer Zahlung USB-Stick, Drive-By-Exploit-Kit, mit Anhang oder mit Link sind die gängigsten Formen um einen Rechner mit Schadsoftware zu infizieren zur Bestätigung einer vermeintlich zu Lasten Ihres Paypal-Kontos ausgelösten Zahlung. Der Link zur Reklamation der Transaktion ist im Beispiel links - anders als bei einer echten Paypal-Zahlung - in der enthalten. Bei Linkauflösung erkennt man ggf. je nach Programm, dass es sich nicht um eine von Paypal handelt. In diesem Falle würde bei Klick auf den Reklamationslink ein php-script ausgeführt. Rufen Sie die Homepage von Paypal neutral in einem neuen Browser auf, ohne in der etwas anzuklicken. Geben Sie Ihre Zugangsdaten ein und prüfen Sie dort, ob die Transaktion tatsächlich so stattgefunden hat. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 5

7 Beispiel aus dem Privatkunden-Banking Mehr-TAN-Trojaner: 100 TAN-Trojaner Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 6

8 Beispiel aus dem Privatkunden-Banking Mehr-TAN-Trojaner: 100 TAN-Trojaner Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 7

9 Rücküberweisungs-Trojaner Der Betrug beginnt mit einem Hinweis zum irrtümlichen Geldeingang Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 8

10 Rückkehr zum klassischen Phishing als Vortat. Mails und Webseiten haben nur noch selten Rechtschreibfehler Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 9

11 Agenda 1 Vorstellung 2 Vom beleghaften Betrug zum Cybercrime 3 Beispiele für industrialisiertes Cybercrime 4 Social Engineering: Cybercrime im Firmenkundengeschäft setzt beim Mitarbeiter an 5 Wie können Sie sich als Unternehmen schützen und was tun im Betrugsfall? 6 Kontaktdaten Commerzbank 7 Disclaimer Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 10

12 Cybercrime im Unternehmen setzt stattdessen beim Mitarbeiter an, denn das Firmenkundengeschäft ist wesentlich differenzierter. Verschiedene Produkte für das Electronic Banking National größere Unterschiede bei den eingesetzten Technologien und Autorisierungsmedien Die in Deutschland verwendeten Zahlungsverkehrsprodukte haben ein hohes technisches Sicherheitsniveau. Fazit Im Ausland seit Jahren praktizierte Betrugsszenarien halten Einzug im deutschsprachigen Raum. Die Täter setzen bei ihrem Angriff stattdessen gezielt auf die Täuschung eines Mitarbeiters im Unternehmen, um ihn dazu zu bringen, scheinbar rechtmäßige Zahlungen auszulösen. Zugriff auf den Arbeitsplatzrechner des Mitarbeiters zu erlangen, um selbst Zahlungen auszulösen, z. B. über eine Fernwartungssoftware (Remote Access). Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 11

13 Fraud-Szenarien in der Praxis: Social Engineering und Remote Access Tools Das Szenario ähnelt der Variante des Microsoft-Technikers, nur ruft hier vermeintlich die Bank selbst an. Es wird vorgegeben, technische Unterstützung bei einem notwendigen Update leisten zu müssen. Das vermeintliche Software-Update installiert tatsächlich ein Remote Access Tool, eine sonst nützliche Support- Software zur Unterstützung bei erwünschter technischer Hilfestellung. Der Nutzer wird zur Ablenkung während der Installation an verschiedene Rechner geschickt. Konkrete Fälle aus Großbritannien und aus Frankreich sind bekannt offenbar ist diese Methode aber auch in anderen Ländern verbreitet. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 12

14 Betrugsszenarien in der Praxis: Leistungsbetrug mit gefälschten Zahlungsbestätigungen Geschäftspartner bahnen ein Geschäft an! Vereinbart wird Vorauskasse. Alles sieht vertrauenerweckend aus. Die Ware wird produziert und für den Kunden hergestellt. Kurz vor dem Liefertermin schickt der Empfänger einen vermeintlich echten Zahlungsbeleg, Kontoauszug oder eine Swiftnachricht als Bestätigung der getätigten Zahlung und erwartet nun die Lieferung der Ware. Der Täter besteht aufgrund der vermeintlichen Dringlichkeit auf die Warenlieferung und sieht eine Nichtlieferung als Vertragsverletzung. Die Zahlungsbestätigungen sind gefälscht, meist inkl. aller Auftraggeberdaten. Keine speziellen Zielländer für die Lieferung. Stempel auf Überweisungsbelegen sind kein Beweis. Nur die Gutschrift auf Ihrem Konto zählt. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 13

15 Betrugsszenarien in der Praxis: Überzahlung mittels Scheckbetrug Bisher: Bei der Buchung einer Ferienwohnung wird die Bezahlung per Scheck erfragt. Der Scheck ist dann über eine zu hohe Summe ausgestellt und man bittet um Rücküberweisung des versehentlich überzahlten Betrages. Neu: Im Firmenkundengeschäft erreicht der Scheck mit einem Anschreiben direkt die Bank. Im Anschreiben wird die Gutschrift mit Angabe der Adresse und der Kontonummer gewünscht. Fall 1: Zuvor ging in der Firma eine Bestellung über einen viel geringeren Wert ein. Später wird die zu Hohe Überweisung als Versehen hingestellt. Man bittet um Rücküberweisung. Fall 2: Der Kunde erhält eine , die vorgibt von der überweisenden Bank zu sein. Die fordert die Fehlbuchung zu begleichen, nennt aber ein drittes Empfängerkonto. Die Schecks sind gefälscht bzw. nicht gedeckt. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 14

16 Betrugsszenarien in der Praxis: Rechnungsbetrug Falsche Rechnungen für Fantasieleistungen, die durchaus in Inhalt und Leistung einer erwarteten Rechnung entsprechen können. Vorher werden die richtigen Ansprechpartner in der Firma ausfindig gemacht. Die Rechnung kann per Mail oder Post kommen. Teils wird das Briefpapier von realen Vendoren verwendet. Der Mitarbeiter wird manchmal auch sofort mit der Mahnung angeschrieben, der ein Anruf folgt, um den Mitarbeiter unter Druck zu setzen. Nicht selten werden auch hier gefälschte Auftragserteilungen als Grundlage der Rechnung mit öffentlichen Unterschriften des Managements versehen (z.b. aus Bilanzen). Rechnungsbetrug ist bei größeren Summen eher schwierig aufgrund firmeninterner Kontrollmaßnahmen bei neuen Vendoren oder veränderten Bankverbindungen zu Vendoren. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 15

17 Betrugsszenarien in der Praxis: Rechnungsbetrug Auch kleiner Chefbetrug genannt. Eine Rechnung, die vermeintlich der Chef erhalten hat und die er nun an Sie als Buchhalter zur Bezahlung weiterleitet. Der Betrag meist knapp unter EUR. Der Chef braucht keine Rückmeldung. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 16

18 Betrugsszenarien in der Praxis: Mandatsbetrug Vermeintliche Mail von einem Lieferanten mit angeblicher Korrektur der Bankverbindung. Diese folgt unmittelbar auf eine echte Mail zu einer erwarteten Rechnung vom realen Absender, nachdem der Mailserver des Geschäftspartners gehackt worden ist. Es gibt auch Fälle, in denen die Bankverbindungsänderung postalisch mit Vorlaufzeit an reale Vendoren angekündigt wurde! Dies erfolgte in einem Fall auch schon so großflächig an alle Geschäftspartner des Unternehmens, dass der Treasurer selbst der Meinung war, es müsse wohl eine neue Bankverbindung im Unternehmen geben. Mögliche Eingangskanäle sind Mail, Fax, Brief auf korrektem Briefbogen etc. Meist größere Summen (bekannt sind 5- bis 8-stellige Beträge). Die Zielländer dieser Betrugsszenarien befinden sich sind oft in Südostasien. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 17

19 Fraud-Szenarien in der Praxis: Mandate-Fraud Die regulär von der Bank ausgestellte Kontobestätigung wurde als Vorlage genutzt, um den Geschäftspartner der Firma über eine vermeintlich neue Bankverbindungen zu informieren. Die Firma nutzte im Vorfeld das gleiche Bestätigungsschreiben. Unterschriften sind die von Bankmitarbeitern. Das Schreiben ähnelt dem der Bank. Commerzbank wurde durch INVEST BANK ersetzt (sichtbar in der Schriftzugunterbrechung in der Signatur). Bekannt ist dieses Betrugsverfahren insbesondere in Industrien, bei denen auf Basis von Lieferscheinen überwiesen wird ODER im Nachgang zu mitgelesenen Rechnungen mit Mails. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 18

20 Betrugsszenarien in der Praxis: Man in the middle Geschäftspartner bahnen ein Geschäft an und bemerken nicht, wie sich über den Zeitraum der Kommunikation auf einmal andere, ähnlich aussehende -Adressen einschleichen. Da der Inhalt dem Original quasi entspricht, wird auch kein Verdacht geschöpft. Erst bei der Rechnungslegung wird manipulierend in die Bankdaten der Rechnung eingegriffen! Betrug wird erst mit der Mahnung bemerkt oder wenn die Ware beim Bezahler nicht ankommt. Meist größere Summen (bekannt sind 5- bis 7-stellige Beträge). Die Zielländer dieser Betrugsszenarien befinden sich meist in Europa, China, Hongkong oder Südostasien. von von Betrüger Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 19

21 Betrugsszenarien in der Praxis: Man in the middle Beispielfall in Anwendung auf Garantieleistungen. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 20

22 Betrugsszenarien in der Praxis: Man in the middle Beispielfall in Anwendung auf Bezahlung mit Scheck. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 21

23 Der CEO-/CFO-Fraud setzt gezielt auf Ihre Hilfsbereitschaft und Ihre Beziehung zu Ihrer Hausbank. Mailverkehr Zahlung Zahlung Zahlung Betrüger Mitarbeiter Bank 1. Der vermeintliche Chef betraut den Mitarbeiter unter absoluter Vertraulichkeit mit einer Aufgabe. Er soll einem Dritten (Anwalt, Unternehmensberatung, Kanzlei) alle notwendige Informationen per mitteilen. 2. Der Mitarbeiter wird danach von der dritten Person kontaktiert, geschickt beruhigt und manipuliert. Ziel ist die Erlangung weiterer Informationen (Limite, Autorisierungen, notwendige Unterschriften). 3. Der Mitarbeiter erhält den Auftrag, eine Zahlung auszulösen; durchaus mit bereits geleisteten Unterschriften, die er zuvor als notwendig bekannt gegeben hat (verteilte Unterschrift). Dabei wird er gekonnt in den Mailverkehr zwischen den vermeintlichen Chef und der dritten Person einbezogen. 4. Der uns als Bank bekannte und vertraute Mitarbeiter beauftragt die Zahlung mit der gebotenen Dringlichkeit. Rückfragen werden meist aufgrund der Vertraulichkeit nicht beantwortet. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 22

24 Der Fraud setzt gezielt auf Ihre Hilfsbereitschaft und Ihre Beziehung zu Ihrer Hausbank. Zahlung Problem Zahlung Problem Lösung Lösung Betrüger Mitarbeiter Bank Zahlung 5. Probleme werden mit dem vermeintlichen Chef geklärt. Nicht autorisierte Unterschriften sollen nun z. B. auf der Basis des Handelsregisters autorisiert werden. 6. Es wird mit Fälschungen von Dokumenten, Ausweisen, Beglaubigungen und BaFin-Unterlagen gearbeitet. Dabei wird der Mitarbeiter im Unternehmen auch instrumentalisiert, Druck auf die Bank auszuüben. Die Zahlung sei ja schließlich dringlich. 7. Verlangte Absicherungen und Bestätigungen werden geliefert. 8. Reicht der Kontostand für die Zahlung nicht aus, wird der Mitarbeiter mit der Frage nach einer Überziehung zur Bank geschickt. Ein Ausgleich wird zum Folgetag zugesagt, und zwar über Gelder die vermeintlich vom Mutterkonzern oder der Tochtergesellschaft kommen sollen. Gibt es diese nicht, gibt der Täter sich auch mit kleineren Beträgen zufrieden. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 23

25 Fraud-Szenarien in der Praxis: Spear Phishing (CFO-Fraud/CEO-Fraud) Eine gefälschte, scheinbar interne Mail weist einen Mitarbeiter an, eine Transaktion durchzuführen. Die Weisung kommt meist vom Management und avisiert einen Anruf z. B. von einem betrauten Anwalt. Eine von vielen uns bekannten Szenarien, mit denen der Mitarbeiter getäuscht werden soll, ist eine anstehende Fusion, die aufgrund der Börsennotierung des eigenen Unternehmens streng vertraulich ist. Konkrete Fälle aus U.K., den USA und aus Deutschland sind bekannt. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 24

26 Fraud-Szenarien in der Praxis: Spear Phishing (CFO-Fraud/CEO-Fraud) Von: Hans Chef: Der folgt der avisierte Anruf. Auch das Vortäuschen ganzer Telefon- und Videokonferenzen ist uns bekannt. Die Rufnummer im Display ist über Spoofing fälschbar. Verlangte Dokumente werden auch gefälscht geliefert (Ausweiskopien, Fusionsverträge etc.) Der Betrug wird aus sicherer Entfernung per Anruf so oft wiederholt, bis die Täuschung entdeckt wird. Bei Überweisungen in den asiatischen Raum werden die Anweisungen oft nach 12 Uhr MEZ initiiert und es wird meist eine gleichtägige Valutabindung verlangt. Praxisfall 1: Es rief laut dem Mitarbeiter der CFO der eigenen Holding persönlich an und der Mitarbeiter meinte, ihn an der Stimme erkannt zu haben. Die eingeschaltete Revision war vor Ort, als weitere Anrufe des Betrügers folgten und bestätigte die Ähnlichkeit. Praxisfall 2: Der Treasurer in einer gerade aufgekauften Firma erhielt den Anruf vom vermeintlichen Vorstand. Auch er glaubte, ihn an der Stimme erkannt zu haben, da er ihn vor drei Wochen erst angerufen und zum Firmenjubiläum gratuliert hatte. Beide Anrufe waren vorgetäuscht. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 25

27 Fraud-Szenarien in der Praxis: Auswirkungen eines CEO-Frauds Quelle: facc.com Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 26

28 Fraud-Szenarien in der Praxis: Auswirkungen eines CEO-Frauds Quelle: facc.com Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 27

29 Fraud-Szenarien in der Praxis: Erpressung (derzeit hypothetisch) Mögliches Szenario: Ein Mitarbeiter hat seine Informationen z.b. auf Xing und wird über Headhunter oder Consultants mit falscher Identität als Kontakt angefragt. Mit der Bestätigung legt er sein Netzwerk und seine Position offen, wenn er die nicht ohnehin schon jedermann anzeigt. Hat der Mitarbeiter in privat genutzten Sozialen Medien den gleichen Namen führt dort private Informationen offen oder akzeptiert Freundschafts-anfragen persönlich nicht bekannter Kontakte und ist vielleicht mit seinen eigenen Kindern verlinkt, die wiederum posten, wo sie regelmäßig zum Sport gehen entsteht ein Erpressungspotenzial! Bisher eher hypothetisches Szenario. Einige Social Media Anbieter: Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 28

30 Wege der Schadsoftware auf Ihren Computer Ransome ware / Kryptotrojaner mit einem Anhang, der ein ausführbares Script beinhaltet Zum Beispiel als Anhang einer an Human Ressource getarnt als Bewerbung Kann auch einige Tage inaktiv bleiben Auch wenn Sie zahlen, ist nicht sicher gestellt, dass Sie mit einer Entschlüsselung wieder an Ihre Daten gelangen. Schalten Sie den Rechner sofort hart aus, wenn Sie den Befall vermuten. (On/Off gedrückt halten) Betriebssystem sollte immer aktuell sein Anti-Virenprogramme sollte immer auf dem neuesten Stand sein. Möglichst keine Anmeldung mit Adminrechten Einsatz von Programmen die Aktionen/ Muster eines Krypto-Trojaners erkennen und verhindern. Backups sollten nicht ständig verbunden sein. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 29

31 Agenda 1 Vorstellung 2 Vom beleghaften Betrug zum Cybercrime 3 Beispiele für industrialisiertes Cybercrime 4 Social Engineering: Cybercrime im Firmenkundengeschäft setzt beim Mitarbeiter an 5 Wie können Sie sich als Unternehmen schützen und was tun im Betrugsfall? 6 Kontaktdaten Commerzbank 7 Disclaimer Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 30

32 Wie können sich Unternehmen schützen? Schulen Sie Ihre Mitarbeiter zu diesen Betrugsszenarien. Awareness ist der beste Schutz Ihres Unternehmens. Gewährleisten Sie die IT-Sicherheit in Ihrem Unternehmen (Betriebssystem, Firewall, Antivirensoftware, Nutzerrechte, Updates und Änderung von Startpasswörtern auch auf der Telefonanlage). Installieren Sie nie Software, die Ihnen Dritte ungefragt aufdrängen. Öffnen Sie keine s von Absendern, die Sie nicht kennen. Öffnen Sie keine Anlagen von s, denen Sie nicht vertrauen. Öffnen Sie Bewerbungsunterlagen am besten nur noch auf einen Stand-alone-Rechner, der nicht in Ihr Netzwerk eingebunden ist. Identifizieren Sie risikobehaftete Prozesse und stellen Sie Kontrollen sicher. Nicht nur die Zahlungseingabe oder die Zahlungsfreigabe ist sicherheitskritisch. Stammdatenänderungen (Kontoverbindungen, Versandadressen) sollten über Rückfragen abgesichert sein (auch bei Gehalt). Rückversicherung bei Unsicherheit: Eine telefonische Rückversicherung beim bekannten Ansprechpartner oder Vorgesetzten im Unternehmen, bei der Bank oder beim Geschäftspartner kann den Betrug verhindern. Schulen Sie Mitarbeiter auf das Risiko von Social Media, wenn Kontaktanfragen von Unbekannten leichtfertig akzeptiert werden. Schaffen Sie ein Bewusstsein dafür, dass veröffentlichte Daten in solchen Netzwerken darauf zu prüfen sind, wie sie gegen die Person selbst genutzt werden können. Prüfen Sie jeden überraschenden Sachverhalt mit dem gesunden Menschenverstand. Haben Mitarbeiter in Ihrer Firma Einzelunterschriftsvollmachten? Dürfen Mitarbeiter in Ihrer Firma unlimitiert unterschreiben? Haben Sie bei der Bank ein Fax-/ -Revers für Aufträge hinterlegt? Haben Sie bei Ihrer Bank die Sperrung beleghafter Zahlungsaufträge beauftragt? Sind öffentlich bekannte Unterschriften auch für die Autorisierung bei der Bank hinterlegt? Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 31

33 Was, wenn es doch passiert ist? Was tun, wenn man Opfer geworden ist? Kontaktieren Sie sofort Ihre Bank, insbesondere wenn die Zahlung noch frisch ist. Zahlungen werden nur dann garantiert zurückgegeben, wenn sie dem Empfängerkonto noch nicht gutgeschrieben sind. Zahlungen werden unter Umständen auch dann noch zurückgegeben, wenn über das Geld noch nicht verfügt wurde (good will). Ein erfolgreicher Überweisungsrückruf ist nur möglich, wenn er zeitnah erfolgt. Auch bei abgewendeten Betrugsversuchen teilen Sie uns bitte die Empfängerbankverbindung mit Klären Sie im Betrugsfall und im Fall des Betrugsversuchs mit Ihrem Management, ob Sie - wie von uns empfohlen - eine Anzeige bei der Polizei stellen möchten. Was kann die Commerzbank im Fall des Falles für Sie tun? Unmittelbarer Überweisungsrückruf Inanspruchnahme der weltweit guten Vernetzung mit internationalen Banken Vermittlung von Kontakten zu Ermittlungsbehörden im ganzen Bundesgebiet, die auf Cybercrime bzw. Wirtschaftskriminalität spezialisiert sind. Empfehlungen für die weitere Vorgehensweise je nach Betrag, Land und Sachverhalt. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 32

34 Fazit Cybercrime im Firmenkundengeschäft ist nicht industrialisiert wie im browserbasierten Banking. Hohe Diversität macht das Schreiben von Malware zu teuer. Die Attacken erfolgen meist über Social Engineering. Schulung von Mitarbeitern, gesicherte Prozessschritte, die Prüfung eines merkwürdigen Sachverhaltes mit dem gesunden Menschenverstand und die Rückversicherung bei bekannten Ansprechpartnern über einen anderen Kanal (Telefon) helfen, den Betrug zu verhindern. Der Schaden durch einen zu spät bemerkten Betrug kann unter Umständen auch nach Geldabgang noch abgewendet werden, wenn Sie nicht zögern und sofort Ihre Bank informieren. Damit kann ein Überweisungsrückruf eingeleitet werden. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 33

35 Commerzbank AG GS-OS IS Security Consulting & Research MSB CTS & FI, Product Management Cash Services, Fraud Prevention (Informieren Sie uns im Betrugsfall zusätzlich zu Ihrem Berater) Geschäftsräume: Kaiserstraße Frankfurt/Main Postanschrift: Frankfurt/Main Tel.: Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 34

36 Disclaimer Diese Präsentation wurde von der Commerzbank AG vorbereitet und erstellt. Die Veröffentlichung richtet sich an professionelle und institutionelle Kunden. Alle Informationen in dieser Präsentation beruhen auf als verlässlich erachteten Quellen. Die Commerzbank AG und/oder ihre Tochtergesellschaften und/oder Filialen (hier als Commerzbank Gruppe bezeichnet) übernehmen jedoch keine Gewähr-leistungen oder Garantien im Hinblick auf die Genauigkeit der Daten. Die darin enthaltenen Annahmen und Bewertungen geben unsere beste Beurteilung zum jetzigen Zeitpunkt wieder. Sie können jederzeit ohne Ankündigung geändert werden. Die Präsentation dient ausschließlich Informationszwecken. Sie zielt nicht darauf ab und ist auch nicht als Angebot oder Verpflichtung, Aktien oder Anleihen zu kaufen oder zu verkaufen, die in dieser Präsentation erwähnt sind, wahrzunehmen. Die Commerzbank Gruppe kann die Informationen aus der Präsentation auch vor Veröffentlichung gegenüber ihren Kunden benutzen. Die Commerzbank Gruppe oder ihre Mitarbeiter können ebenso Aktien, Anleihen und dementsprechende Derivate besitzen, kaufen oder jederzeit verkaufen, wenn sie es für angemessen halten. Die Commerzbank Gruppe bietet interessierten Parteien Bankdienstleistungen an. Die Commerzbank Gruppe übernimmt keine Verantwortung oder Haftung jedweder Art für Aufwendungen, Verluste oder Schäden, die aus dieser Präsentation entstehen oder in irgendeiner Art und Weise im Zusammenhang mit der Nutzung eines Teils dieser Präsentation stehen. Cybercrime & Social Engineering 2016 Dr. Boris Hemkemeier / Ronny Wolf Information Securtity / Mittelstandsbank Cash & Transaction Services 35