Damit jemand online betrogen werden kann, braucht es vor allem eins: Benutzername / ­E-Mail und Passwort, also die Identität eines Users. Betrüger kommen auf unterschiedliche Arten zu diesen Identitäten, und es hängt sehr stark davon ab, über welche finanziellen und technischen Mittel sie verfügen. Auf jeden Fall ist es aber immer sowas wie eine Schnitzeljagd.

Professionelle Hacker greifen eine Seite mit möglichst vielen Usern an und kommen so in den Besitz von unterschiedlichen Daten wie E-Mail, Passwort, Adresse, Kreditkarten-Informationen etc. Diese Daten werden im Darknet zum Kauf angeboten und können je nach Umfang für sehr wenig Geld gekauft werden.

Die E-Mail-Adressen sind der erste Schritt für das, was als Nächstes folgt: Phishing-Attacken, um an die Passwörter zu kommen. Das Wort «Phishing» setzt sich aus den englischen Wörtern «Password», «Harvesting» und «Fishing» zusammen. Mittels Phishing versuchen Betrüger, an vertrauliche Daten zu kommen. Sie nutzen dabei aus, dass leider immer noch viele User die gleichen Zugangsdaten für verschiedene Portale nutzen.

So schützen Sie sich am besten gegen Betrüger:

  1. Anmeldungen
    Melden Sie sich nie bei unsicheren oder unbekannten Seiten an. Professionelle B2B-Seiten müssen zudem sicherstellen, dass die Identität von neuen Accounts überprüft wird. Bei Firmen können Sie zum Beispiel einen Handelsregisterauszug, eine ID-Kopie oder eine Anmeldung mit offiziellem Briefpapier anfordern, inkl. Unterschrift von einer Person mit Handelsregistereintrag.
     
  2. Verständnis
    Betrüger sind nur erfolgreich, weil der Betrug bei der grössten Schwachstelle im System anfängt: dem Menschen. Führen Sie Programme ein, die sowohl die eigene Organisation als auch Ihre Kunden zum Thema Phishing schulen. Gut geschultes Personal ist eine der wichtigsten Verteidigungslinien gegen Betrüger. Schulungen, Kurse und regelmässige Berichte zum Thema Betrug gehören heute zum Einmaleins der Prävention. Programme von HoxHunt, Infosec, Gophish, Lucy etc. können dabei eine gute Ergänzung zu Onsite-Schulungen sein.
     
  3. Passwörter
    Benutzen Sie nie das gleiche Passwort für mehrere Portale. Zudem müssen Passwörter regelmässig geändert werden und sollten keiner Logik folgen. Ein Passwort sollte idealerweise aus mindestens acht Zeichen bestehen. Variieren Sie dabei zwischen Buchstaben, Zahlen und Sonderzeichen. Grundsätzlich gilt: je länger ein Passwort desto sicherer.
     
  4. E-Mail
    Phishing fängt oft mit einer E-Mail an. Seien Sie besonders kritisch, wenn Sie eine E-Mail erhalten, die entweder nach Ihren persönlichen Daten fragt oder Sie auffordert, auf einen Link zu klicken. Seien Sie sich auch bewusst, dass gute ­Betrüger bekannte Partner teilweise perfekt imitieren. ­ Sie tarnen sich als Nachricht oder Newsletter von einem Ihnen bekannten Partner und sind kaum von echten Mitteilungen zu unterscheiden. Oft wird eine gewisse Dringlichkeit suggeriert, mit der Aufforderung, jetzt oder schnell eine gewisse Aktion auszuführen. Kontaktieren Sie notfalls den Partner, lassen Sie sich die Rechtmässigkeit einer E-Mail bestätigen oder achten Sie auf kleine Abweichungen wie Schriftart, Bilderwelt und Sprache.
     
  5. Pop-Ups / Microsites / Landingpages
    Professionelle Betrüger lancieren ganze Kampagnen mit Newsletter, Google Ads, Facebook Ads etc. und bauen Seiten von bekannten Firmen nach, um an Ihre Daten zu kommen. Wenn ein Partner gehackt wurde, können Betrüger sogar auf den offiziellen Seiten Pop-Ups, Microsites oder Landingpages integrieren. Achten Sie dabei besonders auf den Pfad der einzelnen Seiten und Unterseiten. Solche Seiten enttarnen sich am Schluss aber immer gleich, indem Sie früher oder später nach Ihren Zugangsdaten gefragt werden. Es gilt: Sobald eine Seite nach Ihren Zugangsdaten fragt, ist grösste Vorsicht geboten.
     
  6. Multi Factor Authentification Nutzen Sie Multi Factor Authentification, wann immer möglich und angeboten. Bieten Sie auch Ihren Kunden eine Multi Factor Authentification an. E-Mails und Passwörter können vergleichsweise schnell beschafft werden. Wenn aber ein zusätzlicher Code auf Ihr Mobile geschickt wird und dieser innert weniger Sekunden eingegeben werden muss, dann wird es für potenzielle Betrüger schwierig.
     
  7. Team Accounts
    Besonders Einkaufsteams neigen dazu, Team ­Accounts zu verwenden, bzw. jemand meldet sich irgendwo an, und alle anderen Teammitglieder nutzen dessen Account, um sich auch anzumelden. Händler, die bei mehreren Distributoren einkaufen, verwenden zudem oft auch noch die gleichen Daten, um sich bei mehreren Partnern anzumelden. Team Accounts sind deswegen extrem unsicher und unbedingt zu vermeiden. Noch gefährlicher wird es bei KMUs, bei denen Firmen Accounts auch noch für private Angelegenheiten genutzt werden.
     
  8. Abweichende Lieferanschriften
    Während Rechnungsanschriften oft sehr gut geprüft werden, fällt die Kontrolle bei abweichenden Lieferanschriften teilweise komplett aus. Wenn Sie Bestellungen mit abweichenden Lieferanschriften erhalten, können Sie sich diese Lieferanschrift entweder per Telefon oder über E-Mail bestätigen lassen.
     
  9. Verhalten im Betrugsfall
    Definieren Sie einen Ablauf bei Betrugsfällen. Wenn Sie direkt betroffen sind, dann müssen sofort alle Accounts geprüft werden. Ändern Sie die Zugangsdaten mit komplett neuen Informationen (E-Mail und Passwort). Falls Ihre Kunden davon betroffen sind, dann müssen die Kundenkonten sofort gesperrt werden. Nehmen Sie Kontakt mit dem Kunden auf, um einen potenziellen Schaden zu verhindern.
     
  10. Polizei
    Informieren Sie im Betrugsfall auf jeden Fall die Polizei und reichen Sie Anzeige ein. Nehmen Sie keinen direkten Kontakt zu den Betrügern auf und gehen Sie nicht auf Forderungen oder Erpressung ein.