Betrug im Zahlungsverkehr

Viele Betrugsmuster sind seit Jahren bekannt, doch die Methoden zur Täuschung der Opfer entwickeln sich stetig weiter. Kriminelle passen ihre Vorgehensweise geschickt an aktuelle Gegebenheiten an und nutzen moderne Technologien, um den Angriff schwerer erkennbar zu machen.

Wir möchten auf spezifische Betrugsmuster im Bereich «Business E-Mail Compromise» eingehen, die für Unternehmen besonders relevant sind, und aufzeigen, wie Sie sich davor schützen können.

BEC ist eine E-Mail-Betrugsmasche, bei der Unternehmen oder Einzelpersonen ins Visier genommen werden. Kriminelle nutzen gefälschte oder gehackte E-Mail-Konten, um auf sensible Informationen zuzugreifen. Sie geben sich als vertrauenswürdige Geschäftspartner, Führungskräfte oder Mitarbeitende aus. Es kann vorkommen, dass sie täuschend echte Sprachnachrichten oder Videos verwenden, die mit künstlicher Intelligenz erstellt wurden.

Das Ziel dieser Angriffe ist es, die Opfer zur Überweisung von Geld oder zur Herausgabe von Informationen zu bringen.

BEC zählt heute zu den gravierendsten digitalen Risiken für Unternehmen jeder Grösse. Neben erheblichen finanziellen Verlusten drohen langfristige Reputationsschäden. Zu den häufigsten Ausprägungen von BEC gehören gefälschte Rechnungen, CEO-Betrug sowie Angriffe im Zusammenhang mit Gehaltszahlungen.

Ungewöhnliche oder unbekannte E-Mail-Adressen
Leichte Abweichungen im Absendernamen oder in der E-Mail-Domain
Atypische Dringlichkeit oder hoher Zeitdruck in der Nachricht
Unübliche Sprache, Grammatik- oder Rechtschreibfehler
Aufforderung zur absoluten Vertraulichkeit oder Geheimhaltung
Unbekannte Anhänge oder verdächtige Links
Ungewohnte Zahlungsanweisungen oder Kontowechsel
Plötzliche Änderung von Kommunikationskanälen

Schulen Sie sich selbst und Ihre Mitarbeitenden regelmässig zu aktuellen Betrugsmaschen und IT-Sicherheit. Gerne unterstützen wir Sie dabei.
Schützen Sie Ihre IT-Infrastruktur nach aktuellsten Standards. Eine schwach gesicherte IT-Infrastruktur, beispielsweise durch ausstehende Updates beeinträchtigt, ist anfälliger für Betrug.
Etablieren Sie mit Ihrer Kundschaft und Ihren Lieferanten unterschiedliche Kommunikationskanäle und halten Sie diese aktuell (z. B. Telefon, E-Mail, Postanschrift).
Definieren Sie klare Zahlungsprozesse. Beispiele:
- Führen Sie, wenn möglich, ein Vieraugenprinzip ein und vermeiden Sie Einzelzeichnungsrechte.
- Verifizieren Sie abweichende oder neue Zahlungsinstruktionen von Ihren Geschäftspartnern (z. B. andere Bank/Kontonummer). Wichtig: Tun Sie dies über einen sicheren Kanal, zum Beispiel über eine bereits validierte geprüfte Telefonnummer.
Seien Sie sich bewusst, dass E-Mail-Kommunikation manipulationsanfällig ist und keine vollständige Sicherheit bietet.
Halten Sie Ihre Mitarbeitenden dazu an, verdächtige Beobachtungen und Ereignisse umgehend einer internen, zentralen Stelle zu melden.
Fördern Sie ein gesundes Misstrauen unter Ihren Mitarbeitenden gegenüber ungewöhnlichen Anfragen.
Prüfen Sie, welche Informationen Sie über Ihr Unternehmen und Ihre Angestellten veröffentlichen wollen. Beschränken Sie diese auf ein Minimum.

Gefälschte Rechnungen

Die Angreifenden nehmen Kontakt mit einem Unternehmen auf und geben sich dabei als bestehenden Geschäftspartner – etwa einen Lieferanten – aus. Sie fordern die Zahlung einer legitimen, offenen Rechnung auf ein neues, bislang unbekanntes Bankkonto. Zuvor verschafft sich die Täterschaft Zugang zur IT-Infrastruktur des Unternehmens oder des tatsächlichen Partners. So gelangen sie an Informationen, die es ihnen ermöglichen, die Täuschung besonders glaubwürdig erscheinen zu lassen. Die angeschriebene Person geht somit von einer plausiblen Anfrage aus und veranlasst die Einzahlung auf ein von der Täterschaft kontrolliertes Konto.

CEO-Betrug

Bei dieser Variante wendet sich die Täterschaft meistens direkt an die Finanzabteilung und gibt sich als Mitglied der Unternehmensleitung aus – beispielsweise als CEO oder CFO. Mit dem Hinweis auf eine vermeintlich vertrauliche und besonders dringliche Transaktion wird eine sofortige Überweisung gefordert. Um glaubwürdig zu wirken, fälscht oder manipuliert die Täterschaft Absenderadressen oder E-Mail-Inhalte. Die angeschriebene Person glaubt, einer legitimen Anweisung nachzukommen, und tätigt die Überweisung auf ein Konto unter Kontrolle der Täterschaft.

Gehaltsbetrug

Hier geben sich die Angreifenden gegenüber der Personalabteilung als Mitarbeitende des Unternehmens aus. In einer täuschend echten Nachricht – oft vom vermeintlich privaten E-Mail-Konto, also nicht von der offiziellen geschäftlichen E-Mail-Adresse – bitten sie um die Änderung ihrer Bankverbindung, beispielsweise im Zuge eines angeblichen Kontowechsels. Auch in diesem Fall wird die Identität durch gefälschte E-Mail-Adressen oder kompromittierte Konten überzeugend nachgeahmt. Die Personalabteilung aktualisiert daraufhin die hinterlegten Kontodaten, sodass die nächste Gehaltszahlung auf ein Konto der Täterschaft überwiesen wird.

1
Informationsbeschaffung
Kriminelle sammeln gezielt Informationen über Unternehmen, Mitarbeitende, Prozesse und gegebenenfalls Privatpersonen. Sie nutzen öffentlich zugängliche Quellen sowie manipulative Techniken wie Phishing, Hacking oder das gezielte Ansprechen von Personen, um sensible Informationen zu erhalten. Diese Informationen bilden die Grundlage für die darauffolgende Täuschung. Das Sammeln von Informationen kann sich über Tage, Wochen oder sogar Monate hinziehen.
2
Täuschung
Die Angreifenden nutzen die gesammelten Informationen, um das Vertrauen ihrer Opfer zu gewinnen. Sie geben sich als vertrauenswürdige Personen oder Organisationen aus und verwenden gefälschte E-Mails, Nachrichten oder Telefonanrufe, um ihre Opfer zu manipulieren. Dabei betonen sie oft Dringlichkeit und Vertraulichkeit, um den Druck zu erhöhen. Zusätzlich können heutzutage mithilfe von Deepfakes Stimmen oder Personen schnell und einfach täuschend echt nachgeahmt werden.
3
Ausführung der Zahlung
Die getäuschte Person veranlasst die Einzahlung auf ein Bankkonto, das von der Täterschaft kontrolliert wird. Durch geschickte Täuschung werden alle Zweifel beseitigt, sodass die Überweisung ohne weitere Kontrolle oder Überprüfung ausgeführt wird. Die Opfer handeln in dem Glauben, eine legitime Transaktion zu tätigen.

Informieren Sie umgehend Ihre IT-Abteilung, damit notwendige Massnahmen ergriffen werden können.
Kontaktieren Sie sofort Ihre Hausbank. So kann Ihre Bank die notwendigen Schutzmassnahmen ergreifen und im Schadensfall eine betrügerische Transaktion beanstanden.
Erwägen Sie eine Strafanzeige, wenn Sie von Betrug betroffen sind, auch dann, wenn kein finanzieller Schaden entstanden ist.

Für Rückfragen steht Ihnen Ihre Beraterin oder Ihr Berater gerne zur Verfügung.

Betrug im Zahlungsverkehr

Informationsbeschaffung

Täuschung

Ausführung der Zahlung

Ist Ihnen etwas Verdächtiges aufgefallen?

Hilfe

Produkte

Bereiche

Über uns