Betrüger lassen sich immer ausgefeiltere Methoden einfallen, um im Internet sowie per E-Mail, SMS oder Telefon an sensible Daten der Verbraucher zu gelangen. Dagegen hilft vor allem höchste Aufmerksamkeit.
Die Gefahr ist real: Kurz vor Weihnachten hat ein Mann aus Suhl (Thüringen) rund 14 000 Euro verloren, weil Unbekannte per Phishing-Mail an seine Bankdaten gelangt waren. Eine angebliche Bankangestellte überredete ihn am Telefon, den Zugriff auf seinen Computer zuzulassen. Daraufhin wurden diverse Beträge abgebucht.
Das Abgreifen vertraulicher Daten (Pin, Tan, Passwörter, Konto- oder Kreditkartennummern) nimmt stark zu. Die betrügerische Abzocke, genannt „Social Engineering“, tritt in immer neuen Variationen auf. Mehr als ein Viertel der Befragten haben bereits persönlich Erfahrung mit Cyberkriminalität gesammelt, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner jüngsten Bürgerbefragung ermittelt – 19 Prozent wurden mit Phishing-Betrügereien und 14 Prozent mit Identitätsdiebstahl konfrontiert. Wie lassen sich derlei E-Mails oder SMS erkennen – und was ist im Schadensfall zu tun? Dazu ein Überblick.
Was ist der Unterschied zwischen Phishing, Smishing und Vishing? Mit Social-Engineering-Attacken wie Phishing, Smishing (SMS Phishing) und Vishing (Voice Phishing) werden durch Irreführung geheime Nutzerdaten ausspioniert. Beim Phishing werden E-Mails eingesetzt. Beim Smishing wird eine kurze Textnachricht versendet; dadurch wird ein Opfer dazu verleitet, auf den Link zu einer gefälschten Webseite zu klicken und dort private Informationen einzugeben. Beim Vishing läuft der Kontakt übers Telefon. Die Anrufer wirken dann vertrauenswürdig und geben vor, dass sie vermeintliche (Sicherheits-)Probleme lösen müssten.
Wieso fallen so viele Menschen auf an sich bekannte kriminelle Taktiken herein? „Kriminelle perfektionieren ihre Täuschungen, um zu verhindern, dass die Zielperson die Tarnung durchschaut“, sagt Margit Schneider, Direktorin für Sicherheitsmanagement bei Euro Kartensysteme in Frankfurt, einem Gemeinschaftsunternehmen der Banken und Sparkassen. So werden E-Mails und Webseiten legitimer Unternehmen so gut imitiert, dass diese vom Original kaum zu unterscheiden sind. Außerdem wird gezielt die menschliche Psyche manipuliert – etwa durch Stressreaktionen oder Überraschungsmomente. Ausgenutzt werden Respekt vor Autorität oder Hilfsbereitschaft.
Was schützt vor Cyberkriminellen? Immer wieder veröffentlicht der Sparkassenverband neue Beispiele für Attacken auf die Kunden. Erst vor Wochen hat eine Kundin eine vermeintliche Mail der Rottweiler Kreissparkasse erhalten – mit der Aufforderung, vertrauliche Daten einzugeben. Misstrauen bewahrte sie vor Schlimmerem.
„Banken und Sparkassen, Behörden oder seriöse Firmen werden niemals nach sensiblen Informationen, wie etwa Kreditkartennummern, Tan, Pin oder Passwörtern, fragen oder darum bitten, vertrauliche Daten weiterzugeben – weder telefonisch noch digital“, sagt Schneider. Auch würden sie nie darum bitten, Geld auf ein anderes Konto zu überweisen. Man solle keinem Link folgen, bei denen zur Eingabe vertraulicher Daten aufgefordert wird. Auch solle man nicht auf unübliche Mails, Nachrichten oder Anrufe reagieren und keine Anhänge, Links und Bilder öffnen, ohne vorher den Absender zu prüfen. Selbst wenn der Anlass des Gesprächs plausibel klingt, kann die angezeigte Rufnummer manipuliert sein.
Wie kommen Betrüger an E-Mail-Adressen oder Rufnummern? „Kontaktdaten können in großer Anzahl gekauft werden, sowohl im Darknet als auch von legalen Händlern“, erläutert die Sicherheitsexpertin für Zahlungskarten. „Außerdem durchforsten Cyberkriminelle das Internet und insbesondere Social-Media-Plattformen nach E-Mail-Adressen und weiteren persönlichen Daten.“ Deshalb sei es ratsam, Telefonnummern und andere persönliche Angaben nicht unüberlegt herauszugeben oder online zu veröffentlichen.
Wie sind betrügerische Mails zu erkennen? Da die Kriminellen ihre Techniken perfektionieren, kann man sich nicht auf fehlerhaftes Deutsch oder einen Text in fremder Sprache verlassen. Einige Merkmale sind aber klare Warnzeichen, etwa die auffällige Mailadresse des Absenders, weil der Name anders geschrieben wurde als üblich. Weitere Alarmsignale sind: die fehlende persönliche Anrede; der Adressat ist nicht Kunde beim vermeintlichen Anbieter; die Abfrage persönlicher Daten. Auch vermitteln Phishing-Mails oft eine Dringlichkeit, indem sie die Sperrung des Accounts oder Verluste androhen.
Was ist zu tun, wenn man eine Phishing-Nachricht identifiziert hat? Sobald eine Nachricht klar als betrügerisch erkannt wurde, sollte sie an den Anbieter weitergeleitet werden. Häufig gibt es hierfür spezielle Mail-Adressen. Außerdem kann man das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, kontaktieren (service-center@bsi.bund.de).
Warum sollte man beim Online-Banking nicht über Suchmaschinen abkürzen? Wer die Internetadresse seiner Bank unvollständig in den Browser eingibt, löst meist eine Suchanfrage, beispielsweise bei Google, aus. Cyberkriminelle kaufen dort gezielt die bestplatzierten Werbeanzeigen, die auf nachgeahmte Bankseiten führen. Loggt man sich dort mit seinen Zugangsdaten ein, übermittelt man sie den Kriminellen.
Sind gefälschte Webseiten zu erkennen? Bevor sich der Nutzer auf der Internetseite seines Kreditinstituts einloggt, sollte er stets prüfen, ob es sich wirklich um die verschlüsselte Seite der Bank oder Sparkasse handelt. Das ist etwa am geschlossenen Schlosssymbol im Internet-Browser zu erkennen und daran, dass die Webadresse mit „https“ beginnt. „Allerdings leiten Cyberkriminelle inzwischen auch auf vermeintlich sichere Webseiten mit https-Verschlüsselung weiter“, sagt Schneider. Daher sollte man akribisch auf die korrekte Schreibweise achten.
Was tun, wenn die Bankdaten irrtümlich preisgegeben wurden? Als erstes sollten unverzüglich das Konto und der Online-Banking-Zugang gesperrt werden – entweder beim Kreditinstitut oder über den Sperrnotruf 116 116. Anschließend muss man die Kontobewegungen überprüfen und sich mit der Bank oder Sparkasse in Verbindung setzen. Ferner rät Schneider zur Anzeigeerstattung bei der Polizei.