Cyberkriminalität

Die Schwachstelle ist der Mensch

Trickbetrüger jeglicher Art haben drei Dinge gemeinsam: Sie sind raffiniert. Sie nutzen gezielt die Schwächen ihrer Opfer aus. Und sie haben Erfolg. Nicht bei jedem Versuch. Aber auf jeden Fall viel zu oft. Das gilt für den scheinbar offiziellen Vertreter oder die vermeintlich hilfsbedürftige Person an der Haustür. Und das gilt in weit größerem Ausmaß im unpersönlichen, technik-getriebenen Internet.

Der ein oder andere  wird sagen: Das kann mir nicht passieren, auf so etwas falle ich nicht rein. Gleichzeitig werden viele jemanden kennen, der oder dem genau das passiert ist. Das hat seine Gründe.

Kreativität und Kaltblütigkeit

Trickbetrüger sind raffiniert. Sie lassen sich ständig neue Maschen einfallen und legen dabei eine beachtliche Kreativität und Kaltblütigkeit an den Tag. Jüngstes Beispiel: Die Portale zur Beantragung von Soforthilfe im Rahmen der Corona-Krise waren kaum online, da hatten Kriminelle auch schon zugeschlagen. Indem sie Hilfesuchende von einer Suchmaschine aus auf gefälschte, täuschend echt wirkende Seiten führten. Um dort die Daten der Antragsteller abzugreifen und die Hilfszahlung dann auf eigene Konten zu leiten.

Aber auch wirklich alte Tricks ziehen immer noch. Zum Beispiel die Masche, die als „Nigeria Connection“ bekannt ist: Dem Opfer wird per E-Mail eine größere Summe Geld in Aussicht gestellt, vermeintlich beglaubigt durch tatsächliche oder erfundene hochoffizielle Stellen. Bei der ersten Kontaktaufnahme sind derartige Betrügereien übrigens oft an ein oder zwei unauffälligen Schreib- oder Grammatikfehlern zu erkennen. Die bauen die Betrüger bewusst ein, um sogenannte ‚false positives’ zu vermeiden, ungewünschte Treffer. Weil sie an Leuten, die diese Fehler erkennen und Verdacht schöpfen, nicht interessiert sind.

Segeln unter falscher Flagge

Trickbetrüger nutzen gezielt menschliche Schwächen aus. Beim Online-Antrag auf Soforthilfe ist es eine Stresssituation und damit verbunden eingeschränkte Vorsicht. Und sie haben damit Erfolg. Denn wenn mit einer Kampagne mehrere zigtausend E-Mails verschickt werden, reicht es aus, wenn ein Empfänger unter tausend in die Falle tappt.

Dabei haben alle Ansätze einen gemeinsamen Nenner: Die Person, die da schreibt oder mailt oder anruft, ist nicht die Person, die sie vorgibt zu sein. Der Betrüger segelt immer unter falscher Flagge. Und hier liegt die grundsätzlichste Verteidigung gegen Cyberkriminalität dieser Art: Schon beim geringsten Zweifel sorgfältig sicherzustellen, dass der Absender tatsächlich der Absender ist.

So erscheint in E-Mails oft ein plausibler Name im Absenderfeld, der zum Beispiel Begriffe wie Kundendienst, Rechnungsstelle oder Servicecenter enthält. In jedem E-Mail-Programm lässt sich die dahinter liegende Absender-Adresse anzeigen. Und wenn die nicht zweifelsfrei auf die besagte Firma oder Institution hinweist, gehört eine solche E-Mail sofort gelöscht.

Achtung: Unerwartete E-Mail mit Anhang

Höchste Vorsicht ist auch dann geboten, wenn unerwartet eine E-Mail mit Anhang in den Eingangskorb flattert – und sei es allem Anschein nach eine Mitteilung einer hochoffiziellen Stelle. Beim geringsten Zweifel an der Authentizität des Absenders ist ein Anruf bei der Stelle der einzig richtige Weg.

Wer stattdessen auf sein Glück vertraut (oder der Neugier nachgibt), kann sich jede Menge Ärger einhandeln. Steckt hinter der E-Mail ein Betrüger, dann installiert sich mit dem Öffnen des Anhangs eine Schadsoftware auf dem Computer. Das kann völlig unbemerkt bleiben – allerdings hat der Betrüger womöglich gerade das komplette Adressbuch abgegriffen oder, schlimmer noch, Zugangsdaten zu E-Mail- oder Kunden-Accounts.

Manchmal wird der Schaden jedoch auch sofort deutlich: Wenn der Zugriff auf die Festplatte umgehend gesperrt und nur gegen Überweisung einer stattlichen Gebühr in Cryptowährung wieder freigegeben wird.

„Ihr Account wurde aus Sicherheitsgründen gesperrt.“

Etwas eleganter ist das sogenannte Phishing. Anstatt eine angehängte Datei zu öffnen, soll das Opfer hier lediglich auf einen Link klicken. Die E-Mail sieht auf den ersten Blick auch völlig vertrauenswürdig und plausibel aus, kommt scheinbar von der eigenen Bank, vom Internet-Anbieter oder gern genutzten Online-Versandhandel. Der zum Beispiel mitteilt, dass ein Konto oder ein Account aus Sicherheitsgründen gesperrt wurde. Im verlinkten Kundenbereich möge man die Zugangsdaten verifizieren. Nur ist der Kundenbereich, zu dem der Link führt, genauso gefälscht wie die E-Mail. Und was immer man dort einträgt, übermittelt man direkt an den Betrüger.

Etwas „eleganter“ und damit gefährlicher ist das Phishing deshalb, weil es – im Gegensatz zum unverhofften Millionengewinn – oft recht plausibel wirkt. Hier haben die Betrüger recherchiert, wissen zum Beispiel, wo man Kunde ist oder welche Zahlungsmöglichkeiten man nutzt.

Die hohe Kunst des Phishings

Grundsätzlich gilt, dass weder eine Bank noch eine andere Institution jemals per E-Mail oder am Telefon nach Zugangsdaten fragen wird. Und grundsätzlich gilt, dass alles, was man in sozialen Medien über das eigene Privat- oder Berufsleben preisgibt, von Betrügern missbraucht werden kann.

Die hohe Kunst des Phishings ist schließlich das sogenannte Spear-Phishing: ein hochpräziser Betrugsversuch, der sich an einen kleinen Kreis von potenziellen Opfern richtet.

Hier haben die Betrüger besonders gut recherchiert, um so für eine hohe Glaubwürdigkeit ihrer Nachrichten zu sorgen.

Gesunder Menschenverstand – und gesundes Misstrauen

Die Grundproblematik – dass sich hinter vermeintlich seriöser Fassade etwas ganz anderes verbirgt – ist im Online-Bereich allgegenwärtig. Wer weiß schon, wer sich hinter „silversurfer55“ versteckt? Wie seriös das Portal „nur-seriöse-infos.de“ wirklich ist? Die Grenzen zwischen Information und Manipulation sind schwer zu erkennen und Irrwege nicht auszuschließen.

Gegen regelrechten Betrug kann man sich schützen: Mit Wachsamkeit, gesundem Menschenverstand und auch einer Portion Misstrauen. Zurückhaltung bei der Offenlegung privater Informationen in sozialen Medien gehört auch dazu.

Für sensible Informationen gibt es Übertragungstechniken und Programme, die einen erhöhten Schutz bieten. Mit ownChat widmen wir uns dem sicheren Instant Messaging. Weil das Internet im Prinzip eine tolle Sache ist. Weil die schnelle Kommunikation im geschlossenen Kreis sehr nützlich sein kann. Auch und gerade wenn es sich um vertrauliche Inhalte handelt.