Die Zunahme des Betrugs mit autorisierten Push-Zahlungen (APP) ist für Unternehmen im Vereinigten Königreich und darüber hinaus zu einem großen Problem geworden. In der Tat, laut UK Finance Allein im Jahr 2022 wurden mehr als 500 Millionen Pfund durch APP-Betrug von Unternehmen gestohlen.
Sean MoriartyCFO,
AccessPay
In unserem jüngsten Webinar Wie man APP-Betrug abwehrt: Verbesserte Zahlungskontrollen mit einem CFO besprechen, wir sbei einem Treffen mit Sean Moriarty, dem Finanzvorstand von AccessPay, über APP-Betrug, seine Verbreitung und die wirksamen Maßnahmen, die Unternehmen ergreifen können, um ihn zu verhindern.
In diesem Blog wird das Gespräch vertieft und es werden die wichtigsten Erkenntnisse und Strategien vorgestellt.Sehen Sie sich das vollständige Webinar auf Abruf an
Was ist APP-Betrug?
Der Begriff "autorisierter Push-Zahlungsbetrug" bezieht sich auf ein ausgeklügeltes System, bei dem ein Betrüger ein Unternehmen dazu bringt, freiwillig Geld auf ein betrügerisches Konto zu überweisen. Bei dieser Täuschung gibt sich der Betrüger oft als echter Lieferant, Mitarbeiter oder Finanzinstitut aus. Einer der besorgniserregendsten Aspekte dieser Art von Betrug besteht darin, dass er unter dem Deckmantel der Authentizität operiert und sich auf Social-Engineering-Taktiken und fortschrittliche technologische Tools stützt, um ahnungslose Opfer, in der Regel innerhalb des Finanzteams, zu täuschen.
Warum ist der APP-Betrug so weit verbreitet?
APP-Betrug hat aufgrund einer Kombination von Faktoren an Bedeutung gewonnen. Die finanziellen Belohnungen für Betrüger sind verlockend, denn schon wenige erfolgreiche Versuche können zu erheblichen Gewinnen für den Einzelnen führen. Darüber hinaus hat das digitale Zeitalter den Betrügern eine Fülle von Werkzeugen für ihre Machenschaften an die Hand gegeben, darunter die Möglichkeit, sich in E-Mail-Konten einzuhacken, gefälschte Dokumente zu erstellen und sogar den Kommunikationsstil von Führungskräften zu imitieren. Da Fernarbeit und elektronische Kommunikation zur Norm geworden sind, werden die Möglichkeiten für Betrüger, diese Schwachstellen auszunutzen, immer größer.
Ein Beispiel für APP-Betrug aus der Praxis
Während seiner Laufbahn als CFO hat Sean viele Beispiele für APP-Betrug gesehen.
Einer seiner CFO-Kollegen berichtete kürzlich über ein schockierendes Beispiel, bei dem ein Finanzteam eines Unternehmens direkt angegriffen wurde und einen erheblichen finanziellen Schaden erlitt.
Das Szenario: Aufdeckung eines APP-Betrugsversuchs mit Screen Sharing
- Unternehmen: Anonym
- Erster Kontakt: Das Opfer erhält einen Anruf, der angeblich von Barclays kommt und verdächtige Kontoaktivitäten und blockierte Zahlungsausgänge meldet.
- Antrag auf Mittelübertragung: Der Anrufer bringt das Opfer dazu, Geld von einem Konto auf das Konto des Unternehmens zu überweisen, um Dringlichkeit zu erzeugen.
- Bildschirmfreigabe: Der Betrüger schlägt eine gemeinsame Bildschirmnutzung vor, um das Problem effizienter zu lösen, und das Opfer stimmt zu.
- Manipulation des Bildschirms: Während der Sitzung übernimmt der Betrüger die Kontrolle und zeigt Transaktionen an, die für das Opfer echt zu sein scheinen, aber manipuliert wurden.
- Autorisierungscode anfordern: Der Betrüger fordert das Opfer auf, einen Autorisierungscode einzugeben, wobei er die tatsächlichen Transaktionen, die genehmigt werden, verschleiert.
- Unbeabsichtigte Übertragung: Das Opfer genehmigt unwissentlich verschiedene Transaktionen, die dem Unternehmen einen Verlust von 200.000 Pfund einbringen.
Dieser Vorfall erinnert uns eindringlich daran, wie wichtig es ist, die richtigen Sicherheitskontrollen durchzuführen, um derartige Betrügereien in Zukunft zu verhindern - eine Lektion, auf die wir bei der Vorstellung von Beispielen für Präventionsmaßnahmen noch näher eingehen werden.
3 Wege, wie Sie APP-Betrug bekämpfen können
Erkennen der roten Fahnen und der üblichen Taktiken
Es gibt mehrere Beispiele für APP-Betrugsfälle, die von ausgeklügelten Spear-Phishing-Angriffen bis hin zur direkten Manipulation von Zahlungsvorgängen reichen. Diese realen Szenarien unterstreichen, wie wichtig es ist, wachsam zu bleiben und mehrschichtige Abwehrmechanismen in Unternehmen zu implementieren. Das Erkennen der üblichen Taktiken von Betrügern - wie das Erzeugen eines Gefühls der Dringlichkeit, das Ausnutzen persönlicher Daten und die Manipulation der E-Mail-Kommunikation - kann Finanzteams in die Lage versetzen, potenzielle Betrugsfälle zu erkennen, bevor sie eskalieren.
In dem oben erwähnten Fall hätte das Opfer die Bank über eine Direktnummer zurückrufen sollen, aber die vom Betrüger geschaffene Dringlichkeit reichte aus, um das Opfer unter Druck zu setzen, das Problem schnell zu lösen.
Es ist immer am besten, direkt mit einem ranghöheren Kollegen zu sprechen, wenn eine Kommunikation oder eine Zahlung unregelmäßig erscheint. Hier bestand die übliche Taktik darin, das Opfer in "Panik" zu versetzen, was in diesem Fall leider aufging.
Sean gibt ein praktisches Beispiel für APP-Betrug und wie er ihn überwunden hat.
Aufbau wirksamer Verteidigungsstrategien
Um APP-Betrug wirksam zu bekämpfen, müssen Unternehmen einen umfassenden Ansatz wählen, der sowohl Mitarbeiterschulungen als auch technologische Lösungen umfasst. Eine enge Zusammenarbeit zwischen Finanz-, Sicherheits-, IT- und Governance-, Risiko- und Compliance-Teams (GRC) ist von entscheidender Bedeutung.
Regelmäßige Schulungen können die Fähigkeit der Mitarbeiter verbessern, verdächtige Aktivitäten zu erkennen und zu melden. Darüber hinaus kann die Integration von Technologien, wie z. B. Zahlungsempfängerbestätigungsdiensten, eine Echtzeitprüfung von Kontodetails ermöglichen und sicherstellen, dass Zahlungen an rechtmäßige Empfänger geleitet werden.
Solche Schulungen vermitteln Einzelpersonen und Organisationen das Wissen, um gängige Betrugstaktiken zu erkennen, einschließlich Phishing-E-Mails und manipulativer Kommunikation. Es wird betont, wie wichtig es ist, Zahlungsanfragen und Empfängerinformationen zu überprüfen, und es werden Praktiken wie die Bestätigung des Zahlungsempfängers (CoP) gefördert (mehr dazu später), um betrügerische Transaktionen zu verhindern. Darüber hinaus vermittelt die Schulung sichere digitale Gewohnheiten, wie eine solide Passwortverwaltung und Wachsamkeit gegenüber Phishing-Angriffen.
In Unternehmen wird durch spezielle Schulungen das Bewusstsein der Mitarbeiter geschärft, wodurch das Risiko von Insider-Bedrohungen verringert wird. In dem von Sean erwähnten Fall waren seine Mitarbeiter durch die richtige Schulung darauf vorbereitet, Phishing-Versuche dieser Art zu hinterfragen. Aber natürlich gibt es auch Situationen, in denen Unternehmen nicht so viel Glück haben. Ein litauischer Mann, Evaldas Rimasauskas, hat einen klassischen Fall von Kompromittierung von Geschäfts-E-Mails (BEC) inszeniert, bei dem er zusammen mit Mitverschwörern erfolgreich über $100 Millionen von Facebook und Google gestohlen hat. Sie gaben sich als das in Taiwan ansässige Unternehmen Quanta Computer aus und verschickten über zwei Jahre hinweg zwischen 2013 und 2015 überzeugende Phishing-E-Mails mit gefälschten Rechnungen und Verträgen.
Möchten Sie mehr darüber erfahren, wie Sie wirksame Verteidigungsstrategien umsetzen können?
Laden Sie unseren kostenlosen Leitfaden herunter: Der praktische Leitfaden zur Bekämpfung von Betrug bei autorisierten Push-Zahlungen
Technologie für die Prävention nutzen
Die Bestätigung des Zahlungsempfängers (Confirmation of Payee, CoP) spielt eine entscheidende Rolle bei der Vereitelung von APP-Betrugsversuchen. Mit der CoP können Unternehmen Kontonummern, Bankleitzahlen und Kontonamen abgleichen, um sicherzustellen, dass sie übereinstimmen. Durch die Durchführung dieser Überprüfungen vor der Einleitung von Zahlungsläufen können Unternehmen Unstimmigkeiten erkennen und verhindern, dass Gelder auf betrügerische Konten gelangen. Jede Namensabweichung löst eine Warnung aus, die den Zahlungspflichtigen auffordert, den Namen zu überprüfen.
Transaktion. CoP vereitelt Social-Engineering-Taktiken von Betrügern und verbessert die Rückverfolgbarkeit im Falle eines Verstoßes.
Hätte das Team dieses Opfers beschlossen, eine Zahlung vorzunehmen, wäre die CoP-Funktion für den Schutz der Organisation von entscheidender Bedeutung gewesen. Sie hätte die Unstimmigkeiten zwischen dem Kontonamen und der Person, an die gezahlt werden soll, aufgezeigt und die Zahlung bis zur Überprüfung dieser Angaben gestoppt.
APP-Betrug stellt für Unternehmen aller Größen und Branchen ein erhebliches Risiko dar. Mit einem proaktiven Ansatz, der Mitarbeiterschulungen und technologiegestützte Lösungen kombiniert, können Unternehmen jedoch das Risiko, Opfer dieser ausgeklügelten Betrugsmaschen zu werden, mindern.
Durch eine enge Zusammenarbeit zwischen Finanz- und Sicherheitsteams und den Einsatz fortschrittlicher Tools wie CoP können Unternehmen ihre Abwehrkräfte verstärken und ihre Vermögenswerte vor der allgegenwärtigen Betrugsgefahr schützen.
Erfahren Sie mehr über die Bestätigung des Zahlungsempfängers und darüber, wie Sie verdächtige Transaktionen erkennen können, bevor sie durchgeführt werden, mit unserem Fraud & Error Prevention Suite.