Kleine und mittlere UnternehmenGeschäftsabläufe

So tragen Sie zum Schutz Ihres Unternehmens vor Phishing und Spoofing bei

Betrug zu erkennen ist nicht immer leicht – vor allem, wenn Betrüger:innen versuchen, einen vertrauenswürdigen Anschein zu erwecken.

Sie verwenden gefälschte E-Mails und Websites, verschicken SMS oder melden sich telefonisch, damit ihre Anfragen nach Geld oder Finanzdaten seriös wirken. Dabei geht es häufig um erhebliche Summen, weshalb der Schutz Ihres Unternehmens vor Phishing- oder Spoofing-Angriffen beim Risikomanagement oberste Priorität haben sollte.

Was ist Phishing?

Phishing ist eine Form des Onlinebetrugs, bei der versucht wird, Sie dazu zu bringen, vertrauliche Informationen wie Anmelde-, Kreditkarten- oder andere sensible Daten preiszugeben.

Bei einem Phishing-Angriff wird zum Beispiel oft ein Gefühl der Dringlichkeit erzeugt, um jemanden dazu zu bewegen, einen Link anzuklicken, der zu einer gefälschten Website oder einem Malware-Download führt.

Um sich vor Phishing zu schützen, sollten Sie auf Nachrichten achten, in denen nach personenbezogenen Daten wie Kredit- oder Debitkartennummern, Bankverbindungen, Personalausweisnummern, Passwörtern oder Ihrem vollständigen Namen gefragt wird. Wenn Sie den Verdacht haben, dass eine E-Mail gefälscht ist, sollten Sie sie auf keinen Fall öffnen, darauf antworten, auf enthaltene Links klicken oder Anhänge herunterladen.

Hinweis: Bei unerwarteten Zahlungsbenachrichtigungen von PayPal per E-Mail ist Vorsicht geboten. PayPal fordert Sie nie dazu auf, uns vertrauliche Informationen per E-Mail zu schicken. Überprüfen Sie jede Zahlungsbenachrichtigung, indem Sie sich in Ihr Konto einloggen und dort nach der jeweiligen Transaktion suchen. Sämtliche Transaktionen, die Sie getätigt oder erhalten haben (auch vorgemerkte oder offene Transaktionen), werden in Ihrer Kontoübersicht angezeigt.

Was ist Spoofing?

Spoofing bedeutet, dass Betrüger:innen ihre echten E-Mail-Adressen, Namen, Telefonnummern, URLs oder andere identifizierende Informationen verschleiern, um Ihnen vorzutäuschen, dass Sie mit jemand anderem kommunizieren.

Bei Phishing-Angriffen wird häufig Spoofing eingesetzt, um den Anschein zu erwecken, dass die Nachricht von einer legitimen Organisation stammt. Häufig kommt sie in Form einer E-Mail oder SMS von vermeintlich vertrauenswürdigen Absender:innen wie Ihrer Bank. Sie werden darin aufgefordert, einen Link anzuklicken, um beispielsweise Angaben zu aktualisieren oder eine Transaktion zu überprüfen. Der Link führt jedoch zu einer gefälschten Website, die Ihre Anmeldedaten abfragt, mit denen die Betrüger:innen dann auf Ihr Konto zugreifen.

Was ist Spear-Phishing?

Spear-Phishing ist eine gezielte Form von Phishing. Anstatt Phishing-E-Mails an die gesamte Belegschaft zu verschicken, konzentrieren sich die Betrüger:innen auf bestimmte Personen, damit sie ihre Angriffe gezielt anpassen können.

Ein Spear-Phishing-Angriff könnte beispielsweise eine gefälschte E-Mail an Ihre Buchhaltung sein, die scheinbar von der Geschäftsleitung stammt. In der E-Mail wird vielleicht nach einem Login-Passwort gefragt, oder sie enthält eine Rechnung mit der Aufforderung, diese sofort zu bezahlen. Da es so aussieht, als käme die Nachricht von der Geschäftsleitung, fällt die Buchhaltung möglicherweise eher auf den Betrug herein, vor allem, wenn die Nachricht personenbezogene Daten enthält. Diese können leicht über soziale Medien oder eine Onlinesuche herausgefunden werden.

Was ist Whaling?

Whaling ist eine Unterart von Spear-Phishing, die auf hochrangige Personen in Unternehmen abzielt, darunter Inhaber:innen, CEOs, CFOs oder andere leitende Angestellte.

Ein Beispiel für einen Whaling-Angriff wäre, wenn sich jemand als CEO ausgibt und eine:n CFO nach sensiblen Anmeldedaten oder Geschäftsgeheimnissen fragt. Da Führungskräfte viel beschäftigt sind und E-Mails häufig zwischen Meetings von ihrem Smartphone aus beantworten, schenken sie der E-Mail möglicherweise nicht die nötige Aufmerksamkeit.

Um Ihr Unternehmen vor Spear-Phishing- und Whaling-Angriffen zu schützen, sollten Sie Mitarbeiter:innen mit Zugang zu vertraulichen Informationen schulen, besonders wachsam zu sein. Bei allen dringenden oder ungewöhnlichen Anfragen sollte mit der Person, die die Informationen anfordert, Rücksprache gehalten werden.

Was ist Smishing?

Smishing-Angriffe erfolgen per SMS. Ein Beispiel: Sie erhalten eine SMS von Ihrer Bank, in der Sie aufgefordert werden, eine Transaktion zu überprüfen. Dazu klicken Sie auf einen Link, der Sie auf eine gefälschte Website weiterleitet, wo Ihre Anmeldedaten abgefragt werden.

Um sich vor Smishing zu schützen, sollten Sie nie auf Links von unbekannten Quellen oder Nummern klicken. Auch wenn ein Link allem Anschein nach von Ihrer Bank oder einer anderen vertrauenswürdigen Quelle kommt, sollten Sie ihn nicht anklicken. Wenn Sie glauben, dass die Anfrage legitim ist, kontaktieren Sie die vermeintliche:n Absender:innen direkt über eine bekannte Telefonnummer und holen Sie eine entsprechende Bestätigung ein.

Was ist Vishing?

Unter gefälschten Sprachnachrichten (auch „Vishing“ genannt) versteht man, wenn Betrüger:innen über ein automatisiertes System Sprachanrufe tätigen. In der Regel wird in den Anrufen auf ein „dringendes Problem mit Ihrem Konto“ hingewiesen, und Sie werden gebeten, Kontoinformationen preiszugeben, um dieses Problem zu lösen.

Ein Vishing-Versuch liegt beispielsweise vor, wenn Sie einen Anruf über eine möglicherweise betrügerische Transaktion auf Ihrem Konto erhalten und aufgefordert werden, Ihre PIN einzugeben, um die Transaktionsdetails zu erfahren.

Um sich vor Vishing zu schützen, geben Sie grundsätzlich keine Kontoinformationen preis, es sei denn, der Anruf ging von Ihnen selbst aus. Anrufer-IDs lassen sich leicht maskieren – verlassen Sie sich also nicht nur darauf, wenn Sie die Echtheit eines Anrufs überprüfen.

Was ist Suchmaschinen-Phishing?

Bei dieser Art von Phishing-Angriff erstellen Betrüger:innen gefälschte Websites, die vermeintlich zu einem Finanzinstitut oder einem Einzelhandelsunternehmen gehören. Anschließend versuchen sie mithilfe von Suchmaschinenoptimierung, die echte Website durch die gefälschte Website in den Suchergebnissen zu verdrängen.

So können beispielsweise Angestellte bei der Suche nach der Bank ihres Unternehmens stattdessen auf die gefälschte Website gelangen. Sobald sie versuchen, ihre Anmeldedaten auf der gefälschten Website einzugeben, erfassen die Betrüger:innen diese Daten und verwenden sie, um sich in das echte Konto einzuloggen.

Schützen Sie sich vor Suchmaschinen-Phishing, indem Sie Ihren Mitarbeiter:innen empfehlen, URLs von Websites direkt einzugeben, anstatt auf ein Suchergebnis zu klicken.

So tragen Sie zu Ihrem Schutz vor Phishing und Spoofing bei

Wenn Sie glauben, einen schädlichen Link angeklickt zu haben, schließen Sie sofort Ihren Browser, führen Sie einen Virenscan durch und ändern Sie dann Ihr Passwort und Ihre Sicherheitsfragen. Denken Sie daran, zuerst einen Virenscan durchzuführen, da beim Klicken auf den Link möglicherweise Malware übertragen wurde, die auch Ihr neues Passwort auslesen könnte.

Kontaktieren Sie anschließend Ihre Bank oder Ihren Kartenaussteller und schildern Sie Ihre Situation. Überprüfen Sie in den darauffolgenden Wochen auch unbedingt regelmäßig Ihre Kontoübersicht auf etwaige nicht autorisierte Transaktionen und melden Sie diese umgehend.

Ist da vielleicht etwas faul?

Wenn Sie vermuten, dass Sie eine Phishing-E-Mail von PayPal erhalten haben, sollten Sie diese auf keinen Fall beantworten und keine der enthaltenen Links anklicken oder Anhänge öffnen. Leiten Sie die E-Mail stattdessen einfach an spoof@paypal.com weiter. Bitte lassen Sie dabei die Betreffzeile unverändert und senden Sie die verdächtige E-Mail nicht als Anhang, damit wir die E-Mail so prüfen können, wie Sie sie erhalten haben. Löschen Sie die E-Mail aus Ihrem Konto, nachdem Sie sie weitergeleitet haben, damit keine weitere Gefahr für Sie besteht.

Woran erkennen Sie, dass eine eingegangene Nachricht tatsächlich von PayPal stammt?

PayPal fragt Sie per E-Mail grundsätzlich nicht nach Informationen. Stattdessen bitten wir Kontoinhaber:innen, sich in ihr Konto einzuloggen und die jeweils benötigten Informationen dort im Bereich „Konfliktlösungen“ einzugeben. Dass Sie sich auf der echten PayPal-Website befinden, erkennen Sie an der URL https://www.paypal.com.

Weitere Tools zur Betrugsprävention

Um zu verhindern, dass Cyberkriminelle Phishing-Informationen in einer Transaktion mit Ihrem Unternehmen verwenden, stehen Ihnen über PayPal und andere Anbieter von Betrugsmanagementlösungen folgende Tools zur Verfügung:

  • Adressverifizierung: Nutzen Sie einen Adressverifizierungsservice (Address Verification Service, AVS), um zu überprüfen, ob die Rechnungsanschrift mit der Adresse übereinstimmt, die im System des Kartenausstellers hinterlegt ist.
  • Kartenprüfnummer: Die Kartenprüfnummer (Card Verification Value, CVV) ist die drei- oder vierstellige Nummer auf der Rückseite der Karte, über die sichergestellt werden kann, dass sich die Karte tatsächlich in Kund:innenbesitz befindet.
  • Issuer Identification Number (IIN) oder Bank Identification Number (BIN): Hierbei handelt es sich um die ersten sechs Ziffern der Kartennummer, über die der Kartenaussteller identifiziert werden kann.
  • IP-Geolokalisierung: Durch IP-Geolokalisierung lässt sich der Standort des für die Transaktion verwendeten Geräts bestimmen. Ein Abgleich der Geolokalisierungsdaten mit der von Kund:innen angegebenen Rechnungs- und Lieferadresse kann möglicherweise Hinweise auf betrügerische Transaktionen liefern.

Selbst wenn Sie noch so vorsichtig sind, besteht die Gefahr, dass Sie irgendwann unbeabsichtigt auf einen unsicheren Link klicken. Um sich beim Surfen zu schützen (und sicherer zu fühlen), können Sie Tools verwenden, die die Sicherheit von Websites bewerten1:

  • MyWOT.com
  • Safeweb.Norton.com

Diese Dienste sammeln Meldungen verdächtiger Websites und bewerten sie. Sie können natürlich nicht jeden schädlichen Link erkennen, können aber einen hilfreichen ersten Schutz bieten.

Wenn Sie ein Onlinegeschäft betreiben, denken Sie daran, dass es auch andere Arten von Betrug gibt, auf die Sie achten sollten. Informieren Sie sich über empfohlene Vorgehensweisen zum Verhindern von Betrug, gängige E-Commerce-Betrugsmaschen und weitere Risikomanagement-Tools.

War dieser Inhalt hilfreich?

Verwandte Inhalte

Mehr Informationen und Tipps

Füllen Sie das Formular aus, um hilfreiche Informationen und praktische Tipps für Ihr Unternehmen zu erhalten. Zusätzlich erfahren Sie mehr von anderen Händler:innen, die PayPal nutzen, um sie beim Erreichen ihrer Geschäftsziele zu unterstützen.

*Pflichtfelder.

Wenn Sie Cookies akzeptieren, verwenden wir diese, um Ihre Erfahrung zu verbessern und anzupassen und unseren Partnern zu ermöglichen, Ihnen personalisierte PayPal-Anzeigen zu zeigen, wenn Sie andere Websites besuchen. Cookies verwalten und mehr erfahren