Phishing, Smishing, Vishing Wie Cyberkriminelle mit der Angst der Opfer spielen
Düsseldorf · Social Engineering heißt eine Betrugsmasche, bei der die Täter persönliche Informationen als Waffe einsetzen, um einen Benutzer anzugreifen. Das geschieht per Mail, SMS oder auch per Telefonanruf.
Durchsuchungen in allen 16 Bundesländern, eine Razzia gegen 58 Beschuldigte, Ermittlungen unter anderem wegen des Verdachts auf Betrug im Online-Handel, Datenklau und Geldwäsche – am Mittwoch haben deutsche Ermittlungsbeamte zum großen Schlag gegen Cyberkriminelle ausgeholt, die über eine Plattform gestohlene Zugangsdaten zu verschiedenen E-Commerce- und Onlinezahlungsdiensten verkauft haben sollen.
Cyberattacken werden immer häufiger. Attackiert werden Opfer beispielsweise mit klassischer Ransomware (Trojanern, mit deren Hilfe die Täter ihre Opfer erpressen wollen) oder künstlicher Intelligenz. Oder mit Social Engineering – einer Methode, bei der Betrüger persönliche Informationen als Waffe einsetzen, um einen Benutzer anzugreifen. Beispielsweise wenn eine Mail nur scheinbar von der Chefin oder einem netten Kollegen kommt, in Wirklichkeit aber von einem gut getarnten Hacker. „Oftmals beinhalten die Phishing-Mails auch schädliche Anhänge, die den Angreifern weiteren Zugang zu wertvollen Daten liefern“, so Margit Schneider, Leiterin Sicherheitsmanagement der Euro Kartensysteme, einem Gemeinschaftsunternehmen der Banken und Sparkassen. Die Kriminellen machen sich Angst, Stress und Gutgläubigkeit der Betroffenen zunutze. Nur so ist zu erklären, warum immer noch so viele Menschen auf die Tricks reinfallen, obwohl doch regelmäßig davor gewarnt wird. Die Täter arbeiten mit Mails, in denen Daten preisgegeben oder aktualisiert werden sollen, damit die Opfer Konten weiter nutzen können, in denen sich die Täter als Vertreter einer Behörde und damit als scheinbare Autorität ausgeben oder Unfälle von nahen Angehörigen vorspiegeln, um ihr Gegenüber zu schnellen Zahlungen zu überreden, damit drohen, dass Accounts gesperrt würden.
Alles bekannt unter den Namen Phishing (per Mail), Smishing (wenn die Täter mit SMS arbeiten) oder Vishing (Angriff per Telefon). „Diese Attacken haben zuletzt stark zugenommen. Und es ist gar nicht so einfach, betrügerische E-Mails, SMS oder Anrufe zu erkennen“, erklärt Schneider. Was tun, damit solche Angriffe erfolglos bleiben? Geldhäuser, Behörden oder seriöse Unternehmen bitten ihre Kundschaft niemals darum, vertrauliche Informationen per Mail, SMS oder Telefon weiterzugeben. Also:
Keinen Links folgen, bei denen man PIN, TAN, Passwörter, Konto- oder Kreditkartennummern preisgeben soll. Nicht auf merkwürdige Mails reagieren, keine verdächtigen Anhänge oder Links in solchen Nachrichten ungeprüft öffnen. Auch am Telefon gegenüber Unbekannten keine sensiblen Daten preisgeben. Für unterschiedliche Accounts unterschiedliche Passwörter nutzen, regelmäßig updaten, Antivirenprogramme installieren, Kontobewegungen regelmäßig prüfen.
Phishing-Mails erkennen — die häufigsten Maschen der Betrüger
Bei der Suche nach potenziellen Opfern suchen die Kriminellen unter anderem auf Social-Media-Plattformen und im Darknet. „Daher Telefonnummern und andere persönliche Angaben nicht unüberlegt herausgeben oder online veröffentlichen“, rät Schneider. Fake-Mails erkennt man zum Beispiel daran, dass Namen anders geschrieben werden (oft fehlt nur ein Buchstabe). Also auch die Domains genau prüfen.
Promis als Lockvögel der Internetbetrüger
Und was tun, wenn die Bankdaten schon preisgegeben sind? „Als erstes sollte man sofort das Konto und den Online-Banking-Zugang sperren, beim Kreditinstitut oder über den Sperr-Notruf 116116“, rät Schneider. Dann Anzeige erstatten und – ganz wichtig – Passwörter und PIN ändern.
