zum vorherigen Artikel

Social Engineering: Sie lügen wie gedruckt und führen in die Irre!

Mehr Schäden durch Social Engineering zeugen von Handlungsbedarf. Karten werden kaum noch manipuliert, aber Menschen zu ...

zum nächsten Artikel

Sprunghafter Anstieg von betrügerischer Abzocke

Warum Sie Phishing, Smishing, Vishing immer im Hinterkopf haben sollten. Es sind bekannte Betrugsmethoden, doch sie verf ...

FAQ

Betrug: Banken und Sparkassen fragen nie nach geheimen Daten!

„Social Engineering“ – dieser Begriff rückt immer stärker in den Fokus bei betrügerischer Abzocke. Und das mit ständig neu auftauchenden Varianten. Was steckt dahinter? Durch Angst, Neugier oder Respekt versuchen Kriminelle, ihre potenziellen Opfer zu manipulieren und dazu zu bringen, Geld zu senden oder sensible Daten wie PINs, TANs, Passwörter und Konto- oder Kreditkartennummern preiszugeben. Da die technischen Sicherheitssysteme der Kreditinstitute zuverlässig funktionieren, werden Social-Engineering-Angriffe immer ausgefeilter. So probieren Kriminelle an jene Daten zu kommen, mit denen diese Sicherheitssysteme umgangen werden – Stichwort Identitätsdiebstahl. Es ist gar nicht so einfach, betrügerische E-Mails, SMS oder Anrufe zu erkennen – was kann man tun, um sich zu schützen? Margit Schneider, Leiterin Sicherheitsmanagement bei der EURO Kartensysteme, klärt auf.

Phishing ist ein Kunstwort aus Passwort und Fishing. Kriminelle versuchen, mittels gefälschter E-Mails persönliche Zugangsdaten zu Konten, Kennwörter oder Kreditkartendaten „abzufischen“, um diese betrügerisch einzusetzen. Die E-Mails täuschen einen legitimen Grund mit dringendem Handlungsbedarf vor, zum Beispiel „Konto wurde vorübergehend gesperrt“ oder „Zugangsdaten aktualisieren“. Die Zielpersonen werden aufgefordert, auf einen Link zu klicken und dort die entsprechenden Zugangsdaten einzugeben. Auf den gefälschten, aber täuschend echt aussehenden Webseiten werden diese Daten von Kriminellen abgegriffen. Oftmals beinhalten die Phishing-Mails auch schädliche Anhänge, die den Angreifern weiteren Zugang zu wertvollen Daten liefern.

Social-Engineering-Attacken wie Phishing, Smishing und Vishing verfolgen alle das gleiche Ziel: Durch Irreführung und Lügen geheime Nutzerdaten auszuspionieren. Der Hauptunterschied ist das Medium. Beim Smishing wird eine kurze Textnachricht versendet. Dadurch wird ein potenzielles Opfer dazu verleitet, auf den Link zu einer gefälschten Webseite zu klicken und dort private Informationen einzugeben. Beim Vishing läuft der Kontakt übers Telefon. Die Anrufer:innen wirken sehr vertrauenswürdig und geben vor, dass sie vermeintliche (Sicherheits-) Probleme lösen müssten. Auf mögliche Einwände und Zweifel reagieren sie glaubwürdig und mit verständlichen Argumenten.

Kriminelle perfektionieren ihre Täuschungen, um zu verhindern, dass die Zielperson die Tarnung durchschaut. So werden aktuelle E-Mails und Webseiten von legitimen Unternehmen so gut imitiert, dass diese vom Original kaum zu unterscheiden sind. Dadurch steigt die Wahrscheinlichkeit, dass die Angriffe erfolgreich sind. Außerdem wird gezielt die menschliche Psyche manipuliert und Stressreaktionen, Überraschungsmomente, Respekt vor Autorität, Hilfsbereitschaft, Ängste oder einfach nur der Wunsch, alles richtig zu machen, ausgenutzt. Dieser Mechanismus ist besonders tückisch, denn gegen eine geschickt inszenierte Lügengeschichte ist niemand vollständig immun.

Die Grundregel lautet: Banken und Sparkassen, Behörden oder seriöse Firmen werden Sie niemals darum bitten, vertrauliche Informationen weiterzugeben – weder telefonisch noch digital! Folgen Sie also keinen Links, bei denen zur Eingabe von PINs, TANs, Passwörtern, Konto- oder Kreditkartennummern aufgefordert wird. Reagieren Sie nicht auf unübliche E-Mails, Nachrichten oder Anrufe. Anhänge, Links und Bilder sollten Sie nicht öffnen, ohne vorher genau zu prüfen, wer die Absender:innen sind. Nehmen Sie sich Zeit und lassen Sie sich nicht unter Druck setzen!

Bewahren Sie eine gesunde Skepsis, auf allen Kommunikationskanälen, vor allem bei Nachrichten oder Anrufen von Unbekannten. Vergewissern Sie sich im Zweifel bei der genannten Firma. Nehmen Sie dazu Kontakt über die offiziellen Wege auf, nicht über die verdächtige Nachricht oder der darin genannten Rufnummer. Beenden Sie jede Online-Sitzung durch reguläres Abmelden. Vergeben Sie für alle Online-Account-Zugängen unterschiedliche Passwörter. Halten Sie Software und Betriebssysteme auf dem neuesten Stand und installieren Sie auf allen Endgeräten Antivirenprogramme. Kontrollieren Sie regelmäßig die Umsätze Ihres Bankkontos.

Kontaktdaten können in großer Anzahl gekauft werden, sowohl im Darknet also auch von legalen Händlern. Außerdem durchforsten Cyberkriminelle das Internet und insbesondere Social-Media-Plattformen nach E-Mail-Adressen und weiteren persönlichen Daten. Deshalb ist es ratsam, Telefonnummern und andere persönliche Angaben nicht unüberlegt herauszugeben oder online zu veröffentlichen.

Wichtig zu wissen: Ihr Kreditinstitut bzw. deren Mitarbeitende werden Sie niemals nach sensiblen Informationen (z.B. Kreditkartennummer, TAN, PIN, Passwörter) fragen. Oder Sie bitten, Geld auf ein anderes Konto zu überweisen. Werden Sie darum gebeten, sollte sofort klar sein, dass hinter der Kommunikation eine Social-Engineering-Taktik steckt. Auch wenn der Anlass des Gesprächs noch so plausibel klingt. Denken Sie daran: Auch die Telefonnummer, die Ihnen angezeigt wird, kann manipuliert sein und ist somit keine Garantie für einen vertrauenswürdigen Anruf. Wenn Sie unsicher sind, legen Sie auf und rufen Sie direkt bei Ihrer persönlichen Kundenberatung der Bank oder Sparkasse an und verifizieren Sie die Anfrage. Nutzen Sie dafür nicht die am Telefon genannte oder im Display angezeigte Telefonnummer, sondern die Ihnen bekannte.

Da die Kriminellen ihre Techniken perfektionieren, kann man sich nicht mehr nur auf fehlerhaftes Deutsch mit Rechtschreib- und Zeichensatzfehlern oder einen Text in fremder Sprache verlassen. Doch einige Merkmale sind klare Warnzeichen. Etwa wenn die E-Mailadresse des Absenders auffällig ist: Der Name anders geschrieben wird als üblich; es fehlt ein Buchstabe oder ist einer zu viel oder sie sieht kryptisch aus – häufig entlarvt schon der Domainname nach dem @-Zeichen den betrügerischen Absender. Weitere Alarmsignale können sein: Fehlende persönliche Anrede; Adressat ist gar nicht Kunde/Kundin beim vermeintlichen Anbieter; vertrauliche, persönliche Daten werden abgefragt. Zudem vermitteln Phishing-Mails oft eine Dringlichkeit, indem sie der Zielperson die Sperrung des Accounts oder finanzielle Verluste androhen.

Sobald Sie eine Nachricht klar als betrügerisch erkennen, sollten Sie diese an den Anbieter weiterleiten. Häufig gibt es hierfür spezielle Mail-Adressen. Wenn Sie sich unsicher sind, gilt es, wie bereits erwähnt, sich mit dem Anbieter in Verbindung zu setzen und nachzufragen. Außerdem können Betroffene auch das Bundesamt für Sicherheit in der Informationstechnik kontaktieren (service-center@bsi.bund.de).

Wer die URL seiner Bank oder Sparkasse unvollständig in den Internetbrowser eingibt, löst meist eine Suchanfrage beispielsweise bei Google, Bing oder Yahoo aus. Cyberkriminelle kaufen dort gezielt die bestplatzierten Werbeanzeigen, die auf nachgeahmte Bankseiten führen. Loggt man sich dort dann mit seinen Zugangsdaten ein, übermittelt man dabei den Kriminellen den Zugriff aufs Konto.

Insbesondere bevor Sie sich auf der Internetseite Ihres Kreditinstituts einloggen, sollten Sie immer prüfen, ob es sich wirklich um die verschlüsselte Seite Ihrer Bank oder Sparkasse handelt. Das ist unter anderem am geschlossenen Schloss-Symbol im Internet-Browser zu erkennen und daran, dass die Webadresse mit „https“ beginnt. Allerdings leiten Cyberkriminelle inzwischen auch auf vermeintlich sichere Webseiten mit https-Verschlüsselung weiter. Lassen Sie sich nicht von ähnlich geschriebenen Webadressen täuschen, sondern achten Sie akribisch genau auf die korrekte Schreibweise; manchmal ist es nur ein Buchstabe mehr oder weniger, der den Unterschied ausmacht.

Es gibt sogenannte Passwort-Manager, die Ihre Zugangsdaten und Passwörter sicher verschlüsselt speichern. Je nach Ausgestaltung funktioniert der Zugriff über eine App auch geräteübergreifend. Was Sie bitte nie tun sollten: PINs, Passwörter und Zugangsdaten ungeschützt im Handy, etwa als Foto oder Adressbucheintrag, speichern.

Als erstes sollte unverzüglich das Konto und der Online-Banking-Zugang gesperrt werden. Entweder beim Kreditinstitut oder über den Sperr-Notruf 116 116. Anschließend überprüfen Sie die Kontobewegungen und setzen sich mit Ihrer Bank oder Sparkasse in Verbindung. Erstatten Sie Anzeige bei der Polizei. Nutzen Sie danach ausschließlich neue Passwörter und PINs für das Konto.

Außerhalb der persönlichen Kundenbetreuung der Bank oder Sparkasse erhält man weitere Informationen beim Bundesamt für Sicherheit in der Informationstechnik unter www.bsi.bund.de/socialengineering bzw. www.bsi.bund.de/phishing oder bei der Polizeiberatung unter www.polizei-beratung.de/opferinformationen/cybercrime. Aktuelle Warnungen über neue Betrugsvarianten findet man im Phishing-Radar der Verbraucherzentrale unter https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059.