Die Gehaltsumleitung oder auch „Payroll Scam“ ist eine weitere Form des Business E-Mail Compromise (BEC).
Dazu gehören auch der CEO-Fraud und der Invoice-Fraud. Wie auch dort, wird beim Payroll Scam einfach eine Mail imitiert.
„Liebe Kollegen von HR,
Ich habe meine Bankverbindung geändert und bitte darum, meine Gehaltszahlungen ab sofort auf das Konto XYZ zu überweisen.
Vielen Dank.
Freundliche Grüße
Max Mustermann“
Wie im Beispiel oben ersichtlich, gibt der Inhalt der Nachricht eine vermeintliche neue Kontoverbindung eines:einer Mitarbeiter:in bekannt.
Woher die Betrüger:innen wissen, wo jemand arbeitet?
Über Plattformen wie LinkedIn, Xing oder Facebook. Oft sind diese dort auch mit entsprechenden Kolleg:innen vernetzt, die ein:e Betrüger:in im Bedarfsfall als Referenz verwenden kann.
Hat ein:e Betrüger:in eine Person und den dazugehörigen Arbeitsplatz ausgeforscht, bleibt nur noch das Verfassen eines Mails. Eine Mailadresse des Unternehmens kann einfach ausgeforscht oder auch den üblichen Formeln folgend erraten werden (z.B. human.resources@musterfirma.at). Die Absenderadresse kann entweder durch eine ähnlich aussehende Adresse ersetzt oder ganz mit der korrekten Adresse „maskiert“ werden.
Hält die Personalabteilung die Mail für echt und werden die geforderten Änderungen vorgenommen, geht die nächste Gehaltszahlung an das Konto der Betrüger:innen. Der Betrug fliegt erst auf, wenn der:die echte Mitarbeiter:in sich wegen des fehlenden Gehaltseingangs beschwert.
Eine andere Form des Payroll Scams sendet an verschiedene Mitarbeiter:innen eines Unternehmens ein Phishing-Mail, das über einen weiterführenden Link die Zugangsdaten zum HR-Gate des Unternehmens abfragt. Fällt der:die Mitarbeiter:in darauf herein, kann der:die Betrüger:in mit seinen Zugangsdaten ins HR-Gate des Unternehmens einsteigen und die Kontoverbindung für Gehaltseingänge ändern.
Um dieser Form von Betrug vorzubeugen, sind entsprechende Prozesse und eine sichere Infrastruktur notwendig. Änderungsaufträge per E-Mail sollten keinesfalls reichen, um eine Änderung der Gehaltskontonummer zu erwirken. Des Weiteren sollte ein einfaches web-based Login ins HR-Gate ebenso wenig ausreichend sein, um eine solche Änderung vorzunehmen.
Nimmt man die Bank Austria als Beispiel, stellt man fest, dass in unserem Unternehmen eine derartige Betrugsform weder technisch noch prozessmäßig möglich ist, da sowohl in den Prozessvorgaben als auch in der technischen Infrastruktur entsprechende Sicherheitsmaßnahmen gegeben sind.