Sprunghafter Anstieg von betrügerischer Abzocke
Warum Sie Phishing, Smishing, Vishing immer im Hinterkopf haben sollten. Es sind bekannte Betrugsmethoden, doch sie verfangen heute erfolgreicher denn je. Wie ist das möglich? Und wie kann sich jede:r besser schützen?
Laut aktuellem Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Digitalen Verbraucherschutz herrscht eine dynamische Gefährdungslage, in der Phishing-, Smishing- und Vishing-Attacken einen Schwerpunkt bilden. Dort beobachtet das BSI zudem eine fortschreitende Individualisierung: Mit immer persönlicher zugeschnittenen Ansprachen werden die Verbraucher:innen überlistet. Dabei müssen die Opfer noch nicht einmal an der Digitalisierung teilhaben; ein Bankkonto und Festnetztelefon genügen. Die Tricks greifen längst nicht nur bei Senior:innen!
Die Täter:innen folgen einem Muster. Erkennen Sie es?
Bei den heute so virulenten Betrugsversuchen per Telefon, E-Mail, Chat oder Textnachrichten geht es darum, geheime Angaben zur Authentifizierung von Kontoinhaber:innen zu erschleichen. Um Ihren Schutz zu verbessern, merken Sie sich die Tatmuster-Regel. Trainieren Sie sich ein gezieltes Misstrauen im täglichen Umgang mit Telefon, Computer und Handy an. Fragen Sie sich bei jedem Angebot, Anliegen oder Anruf, ob es sich um eine der folgenden fünf Betrugsmethoden handeln könnte. „Ist das echt oder kann das weg?“. Im Zweifel ist es besser, in keiner Form auf die „Fallensteller“ einzugehen und jede Interaktion abzubrechen.
1. Phishing – das Abfischen von sensiblen Informationen wie Kartennummer, Passwort und ähnlichen Daten – läuft über gefälschte E-Mails oder Webseiten. Zum Beispiel werden für gefälschte Webseiten mit gestohlenen Kreditkarten Top-Platzierungen in Suchmaschinen gekauft, so dass möglichst viele Leute auf der nachgebauten Phishing-Seite landen und ihre Kundendaten dort abgeben. Teils wird im großen Stil eine ganze Kette von derartigen Zwischenseiten betrieben (sog. Pharming).
2. Smishing bezeichnet das Ködern mittels SMS bzw. Textnachricht über alle möglichen Messengerdienste. Auch in Chat-Gruppen werden die Teilnehmer:innen auf Phishing-Seiten gelockt.
3. Vishing hat nichts mit „Video“ zu tun, sondern mit „Voice“ – der Stimme am Telefon als Kontaktkanal. Die Anrufer:innen wickeln ihre Opfer mit einer Geschichte ein und setzen sie unter Druck, um an Daten bzw. Geld zu kommen. Neben softwaregestützten Massenanrufen internationaler Betrüger:innen können mit dieser Methode auch Täter:innen ganz ohne Technikkenntnisse zum Zug kommen. Teilweise folgen solchen Anrufen noch Hausbesuche.
4. Schadsoftware, mit der theoretisch jede smarte Technologie infiziert werden kann, ist in der Entwicklung anspruchsvoll, denn sie kann viel mehr als Schlüsseldaten abgreifen und gerätetypische Möglichkeiten nutzen. Methoden dieser Art sind mittlerweile so fortgeschritten, dass selbst IT-Spezialisten zunehmend herausgefordert sind.
5. Social Engineering meint die manipulative Kraft, die den meisten Betrugsmethoden heute zu Grunde liegt. Eine Art Hackerangriff auf den Menschen: Das Opfer wird durch eine Fake-Geschichte so beeinflusst, dass es Passwörter, Informationen und viel Geld herausrückt. In der Regel bauen die Täter dabei unter dem Deckmantel einer Autorität (Polizei, IT-Sicherheitsbehörde, BKA, Bank oder Sparkasse) oder näherstehenden Person (Enkeltrick, Romance-Scam) Druck auf. Ausgenutzt werden Stressreaktionen, Hilfsbereitschaft, Ängste, Wünsche, Mitgefühl, Einsamkeit oder auch einfach nur das Bestreben, alles richtig machen zu wollen.
Trickbetrugsentwicklung und -schäden nehmen deutlich zu.
Statistiken des BSI zeigen: Bereits 2020 war jeder Vierte von Kriminalität im Internet betroffen, am häufigsten von Betrug; ein Drittel davon hatte einen realen finanziellen Schaden. Der höchste Schadenswert lag damals bei 50.000 Euro. Seit dem Frühjahr 2022 warnen die Behörden nun verstärkt vor Phishing, Smishing, Vishing. Beispielsweise hat die Bundesnetzagentur im Juni allein zur sog. „Europol-Masche“ über 7.600 Fälle registriert, über die Dunkelziffer lässt sich darüber hinaus nur spekulieren. Varianten mit z. B. Interpol, FBI, BKA gibt es auch. Softwaregestützt werden dabei Tausende Festnetz- und Mobilnummern immer wieder hartnäckig kontaktiert. Angeblich geht es darum, zur Aufklärung einer Straftat beizutragen: Im Ermittlungszusammenhang sei man auf Ihre Personendaten gestoßen und jetzt sollten Sie kooperieren, um sich von jedem Verdacht befreien zu können.
So sollen in Bayern Privatpersonen über 2,5 Millionen Euro an unter dem Deckmantel von Europol agierende Betrüger:innen überwiesen haben; in Rheinland-Pfalz konnten sie in einem Einzelfall eine halbe Million Euro erbeuten. Ein Opfer hat sich über Tage mit insgesamt 26 Überweisungen ruiniert und das sogar entgegen den „Sicherheitsvorkehrungen ihres Finanzdienstleisters", der auffällig gewordene Transaktionen abgeblockt hatte. Im Europol-Fall haben die Kriminellen Rufnummern von Europol auf dem Display erscheinen lassen, so dass sie misstrauische Opfer sogar selbst auffordern konnten, getrost die im Display angezeigte Nummer zu googeln; worauf Europol als Suchergebnis verifiziert wurde.
Warum das Abfischen persönlicher Daten so dramatisch ist!
• Die Täter:innen können mit den ergaunerten Daten die höchsten technischen Sicherheitsbedingungen der Geldinstitute umgehen. Weil sie mit den gestohlenen Identitätsdaten Transaktionen auslösen können, die den Kontrollmechanismen der Finanzinstitute nicht anders erscheinen als Vorgänge, die von den echten Kontoinhaber:innen selbst autorisiert wurden. Folglich sind die betrügerischen Kontobewegungen meist nicht sofort identifizierbar, das Institut kann die durch unberechtigte Dritte ausgelöste Auszahlung in der Regel nicht blockieren.
• Da die Anrufe – und die Zahlungen – um die ganze Welt geleitet werden, kommen die Behörden vorerst nicht an die Drahtzieher. Je nach methodischem Schwerpunkt gibt es lediglich Hinweise auf Betrugs-Callcenter in Kalkutta, der Türkei oder Westafrika. Es wird auch noch dauern, bis die Lücke in der europäischen Telefon-Infrastruktur durch eine Gesetzesänderung zum Spoofing, also der Verschleierung der eigenen Identität in der Informationstechnik, ausgebessert wird.
• Die Täter:innen gehen gern arbeitsteilig mit mehreren Spezialist:innen vor, was die Strafverfolgung zusätzlich erschwert.
• Je nach Phishing-Technik brauchen die Täter:innen gar keine oder mäßige hochprofessionellen IT-Kenntnisse, manche haben heute aber auch ein Niveau entwickelt, dass es selbst IT-Sicherheitsspezialisten schwer fällt, die Fallen zu erkennen.
• Besonders perfide: Die Täter:innen nutzen die Sorgen und Ängste, Wünsche und Sehnsüchte der Menschen aus; oft werden Hilfsbereitschaft, Gutgläubigkeit oder Vertrauen missbraucht. Mit Schreckensnachrichten, engen zeitlichen Fristen und Drohungen werden die Betreffenden skrupellos unter Druck gesetzt.
• Etliche Opfer schweigen aus Scham, den Trickbetrügern auf den Leim gegangen zu sein. Dabei könnte ihre Erfahrung wertvoll für Aufklärung, Prävention und Strafverfolgung sein.
Gelingt der Betrug immer wieder, weil wir uns selbst betrügen?
Ob Tinder-Trading-Scam oder gefälschte Sendungsbenachrichtigung, die Medien sind voll mit geschilderten Social Engineering Betrugsfällen. Jede Bank und jede Sparkasse warnt die Kundschaft: Nie würden Mitarbeiter:innen telefonisch Kontakt aufnehmen, um Kontozugangsdaten zu erfragen. Trotzdem haben diese altbekannten Betrugsmaschen immer wieder Erfolg. Absurd? Eine mögliche Erklärung liegt im Vermeidungsverhalten, wie es die psychologische Fachwelt nennt.
Die Vogel-Strauß-Taktik wenden nicht nur Verbraucher:innen an, die sich gar nicht mit dem Thema beschäftigen wollen. Die einen hoffen auf den Zufall, gar nicht erst ins Visier solcher Täter zu gelangen; doch verschont zu bleiben, wird statistisch von Tag zu Tag unwahrscheinlicher. Die anderen glauben, bei ihnen würden solche Tricks nicht greifen, weil sie sich von ihrem selbstgemachten Opferklischee unterscheiden oder in ihrem speziellen Fall ja alles einzigartig anders ist. Dabei zeigen die Statistiken, dass Trickbetrug bei allen Menschen gelingt, unabhängig vom Alter, Geschlecht, Bildungsgrad, Beruf oder sonstigen Faktoren. Wer sich für immun gegen die vielfältigen Phishing-Tricks hält, ist eher stärker gefährdet. Wir können die Tatmuster-Regel nur empfehlen.
Weitere Informationen zum Trickbetrug finden Sie sowohl in dieser Newsletterausgabe, als auch in einem Themenbeitrag vom November 2021.
Die Entwicklung wird kartensicherheit.de auch künftig für Sie verfolgen.
Quellen:
https://www.verbraucherzentrale.de/geld-versicherungen/phishingradar-archiv-71872
https://bankenverband.de/blog/smishing-vishing-phishing/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/online-banking-online-shopping-und-mobil-bezahlen_node.html
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/Hinweise_aktuell/Anrufe_Europol_und_andere.html
https://www.spiegel.de/netzwelt/web/europol-abzocke-so-funktioniert-die-telefon-betrugsmasche-a-322f2a02-027c-4c04-be27-44f4a88cf88b
17. Konferenz kartensicherheit.de digital