Diese – im Übrigen erneute – Warnung stammt vom Verbraucherschutzportal „Watchlist Internet“: Die Kriminellen durchforsten zum Beispiel Webseiten nach Personendaten von Mitarbeitenden. Haben sie welche gefunden, senden sie eine E-Mail an die Personalabteilung mit der Bitte, die Lohn- beziehungsweise Gehaltszahlungen auf ein anderes Konto zu überweisen.

Gehaltsdiebstahl durch Cyberkriminelle: Wie sieht die E-Mail aus?
So oder ähnlich kann die E-Mail aussehen, mit der die Datendiebe versuchen, an den Lohn zu gelangen:

Hallo [Name der für Gehälter zuständigen Person in der Personalabteilung],

wie geht es dir heute? Ich habe mein Bankkonto gewechselt und möchte,

dass mein Gehalt anders als bisher auf mein neues Bankkonto überwiesen wird. Soll ich sofort meine neuen Bankdaten mitteilen, damit die Änderungen vorgenommen werden können?

Danke und LG
[Name des Mitarbeiters / der Mitarbeiterin]

So weit, so ungefährlich – vorausgesetzt, die Person aus der Personalabteilung hakt, zum Beispiel per Anruf, beim Absender, bei der Absenderin nicht nach, ob diese E-Mail tatsächlich von ihm oder ihr gesendet wurde. Denn wird die Nachricht nicht auf ihre Echtheit hin überprüft, bekommen die Kriminellen zukünftig das Gehalt auf deren Bankkonto überwiesen.

Wie kommen die Betrüger an Informationen?
Was diese Art von finanziellem Betrug laut „Watchlist Internet“ gefährlich mache: „Nicht nur stimmt der Absendername tatsächlich mit dem eines Mitarbeiters oder einer Mitarbeiterin überein, sondern die Betrüger passen den Stil der E-Mail an die Unternehmenskultur an.“

Das, was an Informationen öffentlich präsentiert wird, zum Beispiel auf einer Unternehmenswebsite oder in Personenprofilen in sozialen Netzwerken, können auch Menschen mit betrügerischen Absichten nutzen. Zusätzlich können die Cyberkriminellen via E-Mails und Anrufe Hinweise bekommen.

Darüber hinaus sei der Aufwand an Recherche mitunter enorm: „So wird vorab beispielsweise versucht herauszufinden, ob geduzt oder gesiezt wird, welche Signaturen zum Einsatz kommen oder wie die üblichen Grußformeln aussehen.“

Es werden also keine technischen Sicherheitslücken ausgenutzt, „sondern gnadenlos menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt gegenüber Autoritäten“ - Stichwort „Social Engineering“. Dies kann sogar dazu führen, dass jemand im guten Glauben, das Richtige zu tun, eine Schadsoftware auf dem Arbeitsrechner oder im Firmennetzwerk installiert.