Click here to load reader

Vermeidung von Internet-Betrug - deutsche-bank.de · PDF fileErläuterung üblicher Angriffsarten Übliche Angriffsarten – Phishing Gefälschte E-Mails, die Nutzer dazu verführen

  • View
    1

  • Download
    0

Embed Size (px)

Text of Vermeidung von Internet-Betrug - deutsche-bank.de · PDF fileErläuterung üblicher...

  • Vermeidung von Internet-Betrug

    Deutsche Bank

  • Auf einen Blick So schützen Sie sich vor Internet-Betrug

    Aufs Wesentliche reduzieren – Installieren Sie nur, was Sie benötigen

    – Aktualisieren Sie, was installiert ist

    – Deinstallieren Sie, was Sie nicht mehr brauchen

    Spam/Phishing – Löschen Sie Spam von unbekannten Absendern sofort

    – Prüfen Sie Links (Text/Bilder) – nicht auf Dateianhänge in verdächtigen E-Mails klicken

    – Leiten Sie verdächtige E-Mails im Zweifelsfall an Ihre IT- Security-Abteilung weiter

    CEO-Fraud – Hinterfragen Sie Überweisungsaufträge auf unbekannte Konten

    – Kontaktieren Sie den CEO unter der im Unternehmen hinterlegten Rufnummer

    – Prüfen Sie die Glaubwürdigkeit und Plausibilität der gemachten Angaben

    Freigabe von Zahlungen – Grenzen Sie Aufgaben klar voneinander ab

    – Geben Sie Zahlungen nur im 4-Augen-Prinzip frei

    – Nutzen Sie eine Zwei Faktor-Authentifizierung

    – Vertrauen Sie nicht blind - auch wenn starker Druck ausgeübt wird

    Passwort/Virenschutz – Verwenden Sie unterschiedliche und komplexe Passwörter für

    verschiedene Systeme

    – Löschen Sie inaktive Accounts

    – Installieren Sie aktuellste Sicherheitsupdates/Anti-Viren-Schutz

    – Setzen Sie Makro-Sicherheitseinstellungen auf ein hohes Niveau

    Bewusstsein der Mitarbeiter – Bieten Sie regelmäßig Cyber Security Awareness-Trainings an

    – Versenden Sie Newsletter und Tests zum Social Engineering- Betrug/Phishing

  • Erläuterung üblicher Angriffsarten

    Übliche Angriffsarten – Phishing

    Gefälschte E-Mails, die Nutzer dazu verführen sollen, vertrauliche Informationen wie User-IDs oder Passwörter preiszugeben.

    – Smishing Phishing durch SMS-Nachrichten. Eine an das Mobiltelefon gesendete Nachricht mit der Aufforderung, persönliche oder vertrauliche Informationen preiszugeben.

    – Vishing Sogenannte „War Dialers” rufen zu einem bestimmten Zeitpunkt tausende Nummern an. Wenn ein Anruf angenommen wird, wird eine Aufnahme abgespielt, die behauptet, dass eine Kreditkarte oder ein Bankkonto gefährdet wurde und persönliche Informationen benötigt werden.

    – Spear Phishing Nutzt hochrangige Einzelpersonen (CFOs, CIOs) in einem Unternehmen, um vertrauliche Informationen zu gewinnen.

    – Trojaner Eine bösartige Software, die vorgibt, eine spezielle Funktion für den Nutzer auszuführen, sich in Wirklichkeit aber unautorisierten Zugang zum System verschafft oder Daten verschlüsselt (Locky).

    – Man-in-the-Browser-Attacken Daten werden abgefangen, indem eine sichere Kommunikation zwischen dem Nutzer und einer Onlineapplikation angegriffen wird. Ein Trojaner wird z.B. in der Browserapplikation verankert und kann jegliche eingegebene Information abfangen und manipulieren.

    – Key Logger Robot Programme, die alle Tastatureingaben registrieren, um Nutzer- IDs und Kontoinformationen zu speichern.

    – Social Engineering Anrufe in bösartiger Absicht, E-Mails oder andere Arten von Manipulationen, um Menschen zu Aktionen oder zur Veröffentlichung von vertraulichen Informationen zu verführen.

  • Beispiele üblicher Angriffsarten Internet-Betrug und Cyberkriminalität Der Business E-Mail Compromise (BEC) ist eine immer beliebter werdende Methode des Angriffs von Cyberkriminellen auf Unternehmen, die regelmäßig Banküberweisungen durchführen.

    „Fake President“ – Der E-Mail-Account von einem Senior Executive in einem

    Unternehmen (meist CEO oder CFO) wird gehackt.

    – Eine gefälschte E-Mail wird an den Controller des Unternehmens gesendet mit der Anfrage, eine erhebliche Summe an ein ausländisches Bankkonto zu überweisen.

    – Die betrügerische E-Mail fordert Sie auf, die Überweisung dringend auszuführen, um eine ausländische Transaktion zu ermöglichen.

    Hacken des E-Mail-Accounts eines Mitarbeiters – Der E-Mail-Account eines Mitarbeiters wird gehackt.

    – Zahlungsaufforderungen zugunsten von Konten, die von dem Betrüger kontrolliert werden, werden an Geschäftskunden versendet. Die Kundeninformationen werden aus den Kontaktlisten des Mitarbeiters identifiziert.

    – Eventuell wird das Unternehmen erst auf den Betrug aufmerksam, wenn es beim Kunden nach dem Stand der Zahlung nachfragt.

    Phishing-E-Mail mit gefälschten Links – Ein Krimineller sendet eine E-Mail an einen Zahlungsver-

    kehrsmitarbeiter des Zielunternehmens. Die E-Mail erweckt den Eindruck, als wäre sie von einem Finanzdienstleister. Es wird nach einem Update der Zahlungssystem-Software gefragt.

    – Die Pishing-E-Mail fordert dazu auf, ein Formular auszufüllen oder auf einen Link oder Button zu klicken, wodurch sich eine betrügerische Website öffnet, die eine Kopie des referierten Unternehmens ist. Ziel ist das Abgreifen persönlicher Daten (User-ID, Passwort) aus der Onlinebanking-Anwendung.

  • Best Practice zur Reduzierung von Internet-Zahlungsbetrug Schutz des E-Mail-Accounts

    – Spam löschen Sofortiges Löschen von unerwünschten E-Mails (Spam) von unbekannten Absendern.

    Öffnen Sie keine Spam-E-Mails, klicken Sie auf keine Links und öffnen Sie keine Anhänge in Spam-E-Mails. Diese enthalten oft Malware, wodurch Kriminelle Zugang zu Ihrem Computersystem erlangen können.

    – „Weiterleiten” statt „Antworten” Nutzen Sie nicht die „Antworten”-Funktion, um geschäftliche E-Mails zu beantworten.

    Nutzen Sie stattdessen die „Weiterleiten”-Funktion und geben Sie die korrekte E-Mail-Adresse ein oder wählen Sie diese aus Ihrem Adressbuch, um sicherzustellen, dass die richtige Adresse verwendet wird.

    – Überprüfen Sie alle Anfragen mit eventuell vorgetäuschter Dringlichkeit Viele Spam-E-Mails behaupten, dass Ihr Account in Gefahr sei, wenn nicht etwas Kritisches sofort aktualisiert würde.

    Seien Sie wachsam, wenn Sie z. B. von Ihrem CEO oder CFO eine Nachricht bekommen, dass eine vertrauliche Transaktion dringend ausgeführt werden soll. Rufen Sie immer den entsprechenden Manager zur Verifizierung an.

    – Überprüfen Sie E-Mails, die Sie zu einem System-Update auffordern Kontaktieren Sie immer Ihren Relationship Manager, wenn Sie in einer E-Mail zu einer Aktualisierung Ihrer Onlinebanking- Anwendung aufgefordert werden.

    Bewusstsein der Mitarbeiter – Richten Sie Cyber Security-Awareness-Trainings für alle

    Mitarbeiter ein.

    – Abonnieren Sie regelmäßige Newsletter mit den neuesten Betrugstrends und Schutzmöglichkeiten.

    – Führen Sie Tests zur Erkennung von Social-Engineering- und Phishingbetrug durch.

    Computersicherheit – Vermeiden Sie es, Dateien von unbekannten Quellen aus dem

    Internet oder von einem USB-Stick zu laden.

    – Stellen Sie sicher, dass Ihr Computer den aktuellsten Malware- Antivirenschutz hat und die aktuellsten Sicherheitsupdates auf Ihrem Computer installiert sind.

    – Stellen Sie die Makro-Sicherheitseinstellungen auf ein hohes Niveau.

    – Überlegen Sie, für Onlinezahlungen einen separaten Computer zu nutzen mit speziellen physischen Sicherheitskontrollen.

    – Nutzen Sie nicht das gleiche Passwort für verschiedene Systeme, aktualisieren Sie es regelmäßig und löschen Sie inaktive Accounts.

  • Best Practice zur Reduzierung von Internet-Zahlungsbetrug

    Schutz vor der Ausführung fehlerhafter Zahlungen – Freigabe von Zahlungen im 4-Augen-Prinzip

    Alle Zahlungen über einem bestimmten Betragslimit sollten eine doppelte Freigabe benötigen.

    – 2-Faktoren-Authentifizierung für Zahlungsfreigaben Zahlungsfreigaben sollten immer eine 2-Faktoren- Authentifizierung erfordern (z. B. Chipkarte und Passwort).

    – Tägliche Überwachung und Abgleich der Zahlungskonten

    – Implementierung von Grenzwertüberwachung Bei außergewöhnlich hohen Beträgen erfolgt eine automatische Information über die Transaktion schon bei der Eingabe.

    – 2-Faktoren-Authentifizierung für das Kunden-Log-in nutzen, wo möglich

    – Zahlungskonten White List Pflegen einer Positivliste mit gültigen Zahlungskonten. Änderungen in der Liste sollten durch eine zweite Kontrolle genehmigt werden.

    – Abgrenzung der Aufgaben Sicherstellung einer ordnungsgemäßen Abgrenzung der Aufgaben bei Zahlungserfassung, Zahlungsbestätigung und Zahlungsfreigabe.

    – HR Policy Sicherstellen, dass Arbeitsplatzrotation und Pflichturlaub für Zahlungsverkehrsmitarbeiter umgesetzt werden.

  • Informationssicherheit @ Deutsche Bank

    – Eine unserer höchsten Prioritäten ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Kunden- und Bankdaten zu schützen.

    – Dazu hat die Deutsche Bank ein umfassendes Informations- und Internetsicherheitsprogramm etabliert:

    – schriftlich festgelegte und regelmäßig aktualisierte Sicherheitsrichtlinien und Standards (auch für IT- Lieferanten der Deutschen Bank)

    – vielfältige Kontrollen, u.a. physische (z.B. Zugangs- kontrollen, sichere Datenzentren), technische (z.B. Legitimation und Genehmigung, Netzwerkzonen) und administrative Kontrollen (z. B. funktionale Trennung von Aufgaben, neutrale Kontrollen, regelmäßige Mitarbeiterrezertifizierung)

    – neueste Sicherheitstechnologien, z.B. Anti-Malware, Verschlüsselung, Network Intrusion Detection, Sicherheitspatches, Data Leakage Prevention (DLP)