Betrugs-E-Mails sind die meist verbeitete Methode, um Unternehmern ihr hart verdientes Geld abzuknöpfen. Das Stehlen von Anmeldedaten, Schadsoftware oder gefälschte Rechnungen sind die 3 beliebtesten Methoden der E-Mail-Betrüger, um Schaden anzurichten. Aber damit ist jetzt Schluss! Mithilfe dieses Beitrags durchschauen Sie die häufigsten Betrugsmaschen und erfahren, wie Sie sich davor schützen können.
Dieser Beitrag wurde am 24. Mai 2022 aktualisiert.
Welche Arten von Betrugs-E-Mails sind für Unternehmen gefährlich?
Phishing: Bei Phishing E-Mails versuchen Betrüger an Ihre Anmeldedaten zu kommen. Unter falschen Vorwänden – wie ein Sicherheitscheck – werden Sie gebeten, Ihre Anmeldedaten anzugeben oder zu ändern. Dabei wird immer cleverer vorgegangen. Websites bekannter Firmen werden detailliert nachgebaut und erscheinen echt. Geben Sie dort Ihr Passwort ein, liegt es direkt in den Händen der Betrüger.
Die andere Möglichkeit ist, dass Sie gebeten werden Ihr Passwort zu ändern. Durch den im E-Mail enthaltenen Link werden Sie manchmal sogar auf die richtige Website weitergeleitet, aber vorher wird noch ein “Keylogger” installiert. Dieses Programm zeichnet alles auf, was Sie auf Ihrer Tastatur eingeben und schickt die Informationen weiter. Somit geraten alle eingegebenen Anmeldedaten in die Hände der Betrüger.
Gefährliche Dateien: Der Absender versucht Sie unter falschen Vorgaben zum Öffnen des Anhangs zu bewegen. Am weitesten verbreitet sind angebliche Zahlungsaufforderungen oder Rechnungen. Besonders beliebt sind hier verpackte Dateien wie “.zip” oder “.rar”. Hier sehen Sie beim Download des Anhangs nämlich nicht, was sich darin verbirgt. Öffnen Sie den Anhang, werden schädliche Programme auf Ihrem Computer installiert. Diese Programme greifen entweder Ihr System an oder versuchen wie der oben genannte Keylogger, unbemerkt sensible Daten zu entziehen.
Falsche Rechnungen: Anstatt hinter einem Anhang Schadsoftware zu verbergen, werden oft täuschend echte Rechnungen verschickt. Betrüger nutzen es aus, dass in größeren Firmen Mitarbeiter meist selbstständig handeln und demenstprechend nicht jeder Mitarbeiter über alle Tätigkeiten der Kollegen Bescheid weiß. Schnell wird angenommen “irgendjemand wird das schon bestellt haben” und die Rechnung wird bezahlt. Ist das Geld erst einmal überwiesen, hilft auch die späte Erkenntnis nicht, dass es sich um eine falsche Rechnung gehandelt hat.
Wie erkennen Sie Betrugs-E-Mails?
Allgemeine Merkmale von Betrüger-E-Mails
Rechtschreib- und Grammatikfehler: Der ein oder andere Fehler kann zwar auch mal einem Mitarbeiter eines Unternehmens einschleichen. Sobald jedoch über 1-2 schwere Fehler in der Rechtschreibung und Grammatik in der Mail enthalten sind, handelt es sich mit hoher Wahrscheinlichkeit um einen Betrugsversuch.
Adresse des Absenders: Überprüfen Sie die Absenderadresse der E-Mail. Speziell bei E-Mails von angeblichen Firmen ist das ein guter Anhaltspunkt. Handelt es sich wirklich um eine E-Mail-Adresse, die eine Firma verwenden würde? Und stimmt diese auch wirklich mit dem genannten Namen in der E-Mail überein?
Name des Absenders: Google ist hier Ihr Freund. Sind Sie sich unsicher, liefert eine Suchanfrage mit dem Namen des Absenders schnell Ergebnisse. Werden Sie nicht fündig, ist der Name bzw. die Firma mit sehr hoher Wahrscheinlichkeit einfach nur erfunden worden.
Phishing
Aufforderung Anmeldedaten anzugeben oder zu ändern: Es wird von Banken, Kreditkartenunternehmen, Online-Shopping-Portalen und vielen weiteren Unternehmen ständig wiederholt: Sie werden nie per E-Mail dazu aufgefordert werden, auf einen Link zu klicken, um Ihr Passwort zu ändern oder Ihre Anmeldedaten weiterzugeben.
Bei solchen Versuchen handelt es sich zu 99% um Betrugsmaschen. Wollen Sie auf Nummer sicher gehen, dann verwenden Sie nicht den Link in der E-Mail, sondern gehen Sie ganz normal auf die Website und ändern dort Ihre Anmeldedaten.
Anrede: Werden Sie in solchen E-Mails nur mit “Sehr geehrte Damen und Herren” angeredet, handelt es sich sehr wahrscheinlich um Betrug. Denn Unternehmen bei denen Sie Anmeldedaten hinterlegt haben, wissen immer Ihren Namen. Nur Betrüger wissen nicht, welcher Name hinter dem Konto oder der E-Mail-Adresse steckt.
Linkaufbau: Mit einem Blick auf den Link kann oft im Vorhinein bereits ein Phishing-Versuch erkannt werden. Vergleichen Sie bei trügerisch wirkenden E-Mails den Link der E-Mail mit der URL der Ihnen bekannten Website im Internet. Oft werden Buchstaben vertauscht, ausgelassen oder dazugenommen und es fällt auf den ersten Blick nicht einmal auf.
Achten Sie zudem darauf, ob es sich um eine https- oder eine http-URL handelt. Bei einer https-Website werden die Anmeldedaten verschlüsselt. Daher hat jede Website, wo sensible Daten eingegeben werden (Kreditkartennummer, Bankkonto), auch eine solche https-Verschlüsselung. Betrüger richten natürlich keine Verschlüsselung für Ihre falschen Websites ein.
Hinweis: Handelt es sich angeblich um ein bekanntes österreichisches Unternehmen und es werden ungewöhnliche URL-Endungen wie .biz oder .tor oder sonstige Ihnen unbekannte Endungen verwenden, ist äußerste Vorsicht geboten.
Gefährliche Anhänge
Dateianhänge: Laden Sie keine Dateianhänge herunter, die Sie nicht kennen. Öffnen Sie verpackte Dateien nur, wenn Sie den Absender bereits gut kennen und diesem vertrauen können. Dasselbe gilt für .exe-Dateien, da sich dahinter immer ein Programm verbirgt.
Gegencheck: Fragen Sie in der Buchhaltung oder bei Kollegen nach, ob der Firmenname bekannt ist und die Aufforderungen stimmen. Wenn nicht, dann ignorieren Sie die E-Mail.
Nicht einschüchtern lassen: Nach erstmaligem Ignorieren bekommen Sie oft noch eine zweite E-Mail mit extrem hohen Mahnungsgebühren oder sonstigen Drohungen. Das soll Sie zum Öffnen des Anhangs zwingen, aber gibt gleichzeitig preis, dass es sich um Betrüger handelt. Denn in Österreich dürfen Mahnungsgebühren gewisse Höchstgrenzen (Wucher) nicht übersteigen. Wenn dort nichts bestellt wurde, dann kann Ihnen nichts passieren. Öffnen Sie weiterhin auf keinen Fall den Anhang.
Falsche Rechnungen
Gegencheck: Hier hilft nur ein Gegencheck. Alle Rechnungen sollten sorgfältig mehrfach überprüft werden, bevor das Geld überwiesen wird. Ist Ihnen eine Firma unbekannt, überprüfen Sie per Google erst einmal ob diese wirklich existiert und fragen Sie Ihre Mitarbeiter.
Nicht einschüchtern lassen: Wie bei den gefährlichen Anhängen bekommen Sie nach erstmaligem Ignorieren öfters noch eine zweite E-Mail mit saftigen Mahnungsgebühren oder sonstigen Drohungen. Auch hier gelten dieselben Regeln: Nicht einschüchtern lassen und die E-Mails ignorieren.
Wie schützen Sie sich am besten gegen Betrugs-E-Mails?
Generelle Sicherheitsmaßnahmen
Installieren Sie ein Anti-Viren-Programm und eine Firewall für Ihr Unternehmen und halten Sie diese immer auf neuestem Stand. Diese erkennen und warnen Sie vor schädlichen Programmen. Einen 100%-igen Schutz bekommen Sie aber nicht, da ständig neue schädliche Programme entwickelt werden. Diese sind den Anti-Viren-Programmen dann noch unbekannt und sie reagieren nicht darauf. Werden Sie also nicht nachlässig bei den E-Mails.
Gehen Sie zudem sicher, dass auch Ihr Betriebssystem immer aktualisiert wird. Schadsoftware zielt auf die Sicherheitslücken in Ihrem Betriebssystem ab. Bei Aktualisierungen werden bekannte Sicherheitslücken ausgebessert. Dadurch sind Sie von älteren Schadprogrammen besser geschützt.
Passwort-Verschlüsselung
Ein Programm zur Passwort-Verschlüsselung ist eine sehr effektive Maßnahme, um Ihre Anmeldetdaten zu schützen. Solche Programme speichern Ihre Anmeldedaten verschlüsselt ab und füllen bei der Anmeldung die Felder für Sie aus. Dadurch werden die weit verbreiteten “Keylogger” nutzlos, denn diese speichern nur das, was Sie wirklich auf der Tastatur eingeben. Da die Felder aber von Ihrem Programm ausgefüllt werden, besteht keine Chance die Anmeldedaten aufzuzeichnen.
Zudem erkennen Sie falsche Websites leichter. Sie haben auf einen Link in einer E-Mail geklickt und plötzlich sind auf dieser bekannten Website keine Anmeldedaten mehr gespeichert? Der Grund dafür kann sein, dass die Website falsch ist, denn Ihre Daten sind nur für die URL der richtigen Website gespeichert.
Keine Links zulassen
Oft verbergen sich in trügerischen E-Mails Links hinter Bildern und Texten. Durch einen Klick auf den Text werden Sie so schnell zum Opfer der Betrüger. Deaktivieren Sie daher Links für Ihre E-Mails. So werden Sie zuerst gefragt, ob Sie den Inhalten vertrauen, bevor Sie auf Links klicken können.
Mitarbeiterschulung
Der beste Schutz sind natürlich aufmerksame Mitarbeiter, die sich der Gefahr bewusst sind und die Inhalte solcher E-Mails ignorieren. Da wir von RYSIT hohen Wert auf Datensicherheit legen, haben wir Ihnen in diesem Infoblatt (hier klicken) die 3 beliebtesten Arten von Betrugs-E-Mails für Ihre Mitarbeiter zusammengefasst. Dieses Infoblatt können Sie einfach ausdrucken und für Ihre Mitarbeiter gut sichtbar aufhängen.
Ignorieren und Löschen
Auch wenn Sie solche arglistigen E-Mails oft wütend machen – reagieren und antworten ist hier die falsche Entscheidung. Dann sind sich die Betrüger nämlich sicher, dass hinter der E-Mail-Adresse garantiert ein aktiver Nutzer steckt und solche E-Mails gelesen werden. Ihre E-Mail-Adresse wird in diesem Fall weiterverkauft und Ihre Lage verschlimmert sich. Ignorieren Sie die E-Mail und löschen Sie sie einfach.
Fazit
Auch wenn die Betrüger immer cleverer werden, können Sie Ihnen trotzdem noch auf die Schliche kommen. Denn perfekt arbeiten diese keineswegs, sie hoffen viel mehr auf die Unachtsamkeit des Empfängers. Halten Sie sich an diese Ratschläge, erkennen Sie Betrugs-E-Mails rasch und tappen nicht in die Falle.
Wir von der RYSIT Consulting GmbH verstehen das Sicherheitsthema immer als essentiellen Bestandteil unserer EDV Betreuung. Daher hoffen wir, dass wir Ihnen mit diesem Beitrag geeignete Schutzmechanismen gegen diese Bedrohung nahebringen konnten.
Sollten Sie noch Fragen haben oder wir etwas Wichtiges zum Thema „Wie Sie betrügerische E-Mails erkennen und sich davor schützen“ in diesem Beitrag vergessen haben, so stehen wir Ihnen aktiv als Ansprechpartner zur Verfügung. Schreiben Sie uns einfach eine E-Mail an richard.schranz@rysit.at oder rufen Sie uns direkt an (+43 1 361 95 00).
Foto: © Geralt – pixabay.com (Beitragsbild)
Mein Name ist Richard Schranz. Ich bin Inhaber bei RYSIT und schreibe hier, um Unternehmen mit Ihren IT-Problemen zu helfen. Sie haben eine Frage? Kontaktieren Sie uns unverbindlich!