Der Internet-User wird zunehmend smarter (beziehungsweise vorsichtiger) und Anti-Phishing-Tools arbeiten immer akkurater. Dem Erfolg von Scammern, also Internetbetrügern, tut das bislang allerdings keinen Abbruch. Immer noch erschleichen sich (cyber)kriminelle Subjekte zehntausende Dollars mit leeren Versprechungen. Einmal lockt ein nicht unerhebliches Barvermögen, ein anderes Mal ist es die Angst vor finanziellem oder gar physischem Schaden, der Menschen dazu bewegt, auf die Taktiken der Scammer hereinzufallen. Trifft es nicht Einzelpersonen, sondern Unternehmen, kann der finanzielle Schaden in die Millionen gehen.
Dass der Internetbetrug immer noch derart florieren kann, liegt in erster Linie daran, dass kriminelle Hacker ihre Taktiken weiterentwickelt haben, um ihren Verfolgern (und Opfern) stets einen Schritt voraus zu sein. Ansonsten würden die Phishing-Versuche der Scammer ins Leere laufen. Mit unabsehbaren Folgen: der ein oder andere müsste sich dann nach einem echten Job umsehen.
Wir zeigen Ihnen 15 fiese Phishing-Taktiken, die selbst den smartesten User überlisten können - wenn der nicht weiß, wie man sich zur Wehr setzt.
Deaktivierungs-Angstmacherei
Diese Masche funktioniert vor allem deswegen, weil es (in "Netz-Dingen") kaum etwas gibt, was den Menschen mehr Angst einjagt, als eine Account-Deaktivierung. Wahrscheinlich haben auch Sie heute so eine E-Mail bekommen. Es vergeht kaum ein Tag ohne eine solche Fake-Benachrichtigung von vermeintlichen Unternehmen im Postfach. Der Message selbst ist in der Regel zu entnehmen, dass Ihr Konto deaktiviert wird, wenn Sie nicht auf einen bestimmten Link klicken, sich einloggen und möglichst schnell tätig werden. Zum Beispiel, indem Sie Ihre Kreditkarteninformationen nochmals bestätigen.
Es gab eine Zeit, da waren solche Phishing-Mails relativ einfach zu erkennen. Damit ist es längst vorbei. Heutzutage sehen die Nachrichten täuschend echt aus und beinhalten unter Umständen sogar Links zur offiziellen Seite des Unternehmens, in dessen Namen hier betrogen werden soll. Auch integrierte Warnungen vor Scammern und Internetbetrug sind keine Seltenheit mehr.
Wenn man gar kein Konto beim betreffenden Unternehmen besitzt, sind solche Betrugsversuche natürlich schnell entlarvt. Aber stellen Sie sich einfach vor, bei der nächsten Mail stimmt der Absender und Sie haben zufällig gerade eine neue Kreditkarte bekommen. Dann könnten auch Sie durchaus zu der Überzeugung gelangen, dass Sie besser schnell Ihre Daten aktualisieren um der Deaktivierung zu entgehen.
Die Lösung: Sehen Sie sich die URL des Links in einer E-Mail ganz genau an. Würden Sie diese genauso eintippen? Noch besser wäre es, Sie gewöhnen sich einfach an, gar keine Links in E-Mails mehr anzuklicken. Stattdessen schließen Sie die Mail und geben händisch die URL des Anbieters an, der Ihnen mit Deaktivierung droht.
Gefälschte Websites
Wenn Sie doch auf den Link in einer Phishing-Mail geklickt haben, gelangen Sie in der Regel auf eine Fake-Website, die der echten zum Verwechseln ähnlich sieht. Diese Fakes sind inzwischen oft 1:1-Kopien der Originale und nutzen auch die echte URL als Teil ihrer eigenen. Nur wer ganz genau hinsieht, kommt dem Betrug auf die Schliche. Allerdings achten darauf nur noch wenige User, wenn die Seite selbst bereits den Eindruck von Authentizität vermittelt.
Wie gut Phishing-Webseiten heute gemacht sind, musste der Hack-gebeutelte US-Finanzdienstleister Equifax am eigenen Leib erfahren. Nach dem bekannt geworden war, dass die Datensätze von 143 Millionen Kunden kompromittiert worden waren, hatte das Unternehmen eine eigene Website für Betroffene eingerichtet. Die wurde von einem findigen Researcher nachgebaut. Und zwar so gut, dass Equifax selbst mehrfach auf die Phishing-Seite verlinkte.
Die Lösung: Inspizieren Sie Links - beziehungsweise URLs - in E-Mails äußerst genau, um sicherzustellen, dass Sie keinem Scam zum Opfer fallen. Gar nicht mehr auf Links in Mails zu klicken ist auch hier die beste Methode.
"Nigeria"-Scams
Diese Phishing-Methode gibt es schon seit etlichen Jahren. Dabei scheinen nigerianische Scammer mit besonders viel Eifer am Werk zu sein - daher auch der Name. Und auch wenn Sie sich über die schlechte Grammatik und die haarsträubenden Stories, die in diesen Phishing-Mails aufgetischt werden, schlapp lachen: Diese Elemente sind absichtlich eingebaute Filter.
Der durchschnittliche Nigeria-Scammer versendet jeden Tag Millionen betrügerischer E-Mails. Und die meisten werden von E-Mail-Nutzern (oder deren Antimalware-Lösung) als Spam aussortiert. Diese User sind aber auch gar nicht das Ziel. Stattdessen nehmen solche Mails gezielt einfach beeinflussbare oder manipulierbare Persönlichkeiten ins Visier. Manche Menschen empfinden die Fehler und merkwürdigen Geschichten auch gar nicht als abschreckend. Und genau die sind für die Phishing-Betrüger das ultimative Ziel.
Im Übrigen hat es nichts mit (mangelnder) Intelligenz zu tun, wenn man auf eine solche betrügerische E-Mail hereinfällt. Das ist schon Nobelpreis-Gewinnern, Finanz-Managern und Doktoren passiert.
Die Lösung: Wenn etwas zu gut klingt, um wahr zu sein (so wie unerwartet ein kleines Vermögen geschenkt zu bekommen), dann handelt es sich in aller Regel um einen Fake.
Sie gehen direkt ins Gefängnis
Hacker und Scammer wissen, dass Sie ein schlechtes Gewissen haben und nutzen das aus. Sogar wenn die Sache, wegen der Sie ein schlechtes Gewissen haben nicht illegal ist, könnten Sie trotzdem leicht dazu gebracht werden, sich Sorgen zu machen. Und die Androhung von Knast oder Geldstrafe per Mail ist wohl das beste Mittel, um direkte und ziemlich offenherzige Antworten zu provozieren. In Deutschland gab es solche Scams bereits im Namen von GEMA und GVU, ansonsten wird auch das FBI gerne für Fake-Mahnmails missbraucht. Inzwischen werden solche Kampagnen auch per Telefon gefahren, um die Dringlichkeit der Angelegenheit zu verdeutlichen.
Manche Menschen haben unter Umständen weder illegal Musik oder Filme heruntergeladen, noch Steuern hinterzogen und gehen trotzdem auf monetäre Forderungen von Betrügern ein - nur um die Warnung, Mahnung oder Bedrohung los zu werden. Oder sie verdächtigen ein anderes Mitglied des Haushalts, Urheber digitaler Missetaten zu sein. Was unter Umständen zu unschönen häuslichen oder familiären Konsequenzen führen könnte. Unglücklicherweise kommen manche dieser Fake-Strafandrohungen mit Ransomware im Gepäck im E-Mail-Postfach an und erhöhen so nochmals den Druck auf den User zu bezahlen.
Die Lösung: Ruhig bleiben. Die Mail genau lesen. Werden Details zu den angeblichen Vergehen geliefert? Wahrscheinlich nicht. Davon abgesehen: Wenn eine Regierungsbehörde von Ihnen Geld verlangt und zwar sofort, weil sonst drastische Konsequenzen drohen - dann werden Sie gerade aufs Glatteis geführt.
Support-Scammer
Betrugsversuche im Namen des technischen Supports gehen in der Regel via E-Mail ein. Vielleicht stolpern Sie aber auch über eine Fake-Webseite oder werden angerufen. Wo Ihnen solche Scams auch begegnen - sie wirken meist sehr überzeugend.
Wenn Sie mit einem "Techniker" kommunizieren, wird der Sie bitten, ein Remote-Access-Tool und Support Software zu installieren. Wenig überraschend findet er daraufhin jede Menge Malware und fehlerhafte Einstellungen auf Ihrem Rechner. Dann wird er Ihnen eine Software verkaufen wollen, um das Problem aus der Welt zu schaffen. Und schon besitzen Internetbetrüger Ihre Kreditkarten-Daten.
Das Dumme daran ist: Das Vorgehen der Scammer unterscheidet sich nicht vom dem üblichen Ablauf eines Gesprächs mit einem echten Support-Techniker. Der Unterschied besteht lediglich darin, wie der Support Sie gefunden hat. Wie oft hat Sie bereits ein Techniker kontaktiert, um Ihnen Hilfe bei einem Problem anzubieten, bevor Sie überhaupt wussten, dass dieses existiert?
Die Lösung: Fragen Sie Freunde und Bekannte mit IT-Wissen um Hilfe. Oder recherchieren Sie die Nummer des Unternehmens, das Sie vermeintlich kontaktiert und bitten um eine Bestätigung.
SEO-Trojaner
Eine gängige Phishing-Methode besteht darin, Sie dazu zu bringen, bösartige Software herunterzuladen. Und zwar indem Sie gut rankende Suchergebnisse anklicken.
Und so funktioniert es: Sie haben ein technisches Problem (zum Beispiel eine Fehlermeldung) und beschließen, den Fehlercode per Suchmaschine zu recherchieren. Was im Grunde auch eine gute Strategie ist. Allerdings kann es dabei passieren, dass Sie auf einer Seite landen, die offiziell aussieht und eine schnelle Lösung verspricht, dabei aber nur Schadcode bereithält.
Die Lösung: Um vertrauenswürdige Hilfe für ein Problem zu erhalten, sollten Sie ausschließlich die offizielle Website des entsprechenden Händlers oder Herstellers aufsuchen.
Betrug mit Kleinanzeigen
Kleinanzeigen-Seiten und Auktions-Plattformen sind bei Online-Betrügern äußerst beliebt. Das liegt in erster Linie daran, dass viele User auf diesen Plattformen sehr bereitwillig auf Links klicken und persönliche Daten preisgeben.
Besondere Vorsicht sollten Sie walten lassen, wenn Käufer sofort bereit sind, sogar mehr als den verlangten Preis zu bezahlen. Einzige Voraussetzung: ein Mittelsmann soll für die Abwicklung der Bezahlung zum Einsatz kommen. Sie können sich denken, worauf das hinausläuft.
Die Lösung: Achten Sie auf die offiziellen Empfehlungen der Portalbetreiber bezüglich Sicherheit und Schutz vor Betrug. Auch hier gilt: Was zu schön ist um wahr zu sein, ist es wahrscheinlich auch nicht.
Ein Freund in Not
Diese Betrugsmasche gab es bereits im Prä-Internet-Zeitalter. Damals warteten die Betrüger, bis ihre Zielperson das Haus verlassen hat, rufen kurze Zeit später bei ihr zuhause an und erzählen der Person die rangeht, es habe einen Autounfall gegeben (oder Ähnliches) und Ihr Sohn/Tochter/Mann/Frau/Bruder etc. bräuchte nun dringend Geld.
Heutzutage arbeiten Scammer und kriminelle Hacker mit der gleichen Masche - nur nutzen sie dazu soziale Netzwerke und E-Mails. Alles was die Phishing-Betrüger dazu brauchen, ist beispielsweise ein gestohlener oder gefälschter Facebook-Account. Eine entsprechende Nachricht ist dann schnell in die Freundesrunde geschickt.
Dabei stellen die Scammer besonders gerne auf Negativszenarien ab: Naturkatastrophen, Unfälle oder Verhaftungen beispielsweise. Sollten Sie auf einen solchen Betrug hereinfallen, werden die Scammer noch mehr Geld verlangen. Und zwar solange, bis Sie merken, was Sache ist. Besonders fies: Die Zielgruppe solcher Betrügereien sind vor allem alte Menschen - Stichwort "Enkeltrick".
Die Lösung: Senden Sie niemals an Irgendjemanden Geld, ohne vorher mit ihm oder ihr persönlich gesprochen zu haben. Um sicherzugehen, dass es sich bei Ihrem Gegenüber tatsächlich um die betreffende Person handelt, stellen Sie am besten eine (Fang-)Frage mit persönlichem Bezug, auf die ein Betrüger gar keine korrekte Antwort wissen kann.
Überweisungsscams
Wenn Sie inzwischen immer noch denken, dass nur ungebildete Menschen mit mangelnder technischer Erfahrung zum Opfer von Phishing werden können: Fragen Sie sich doch mal, wie einige der smartesten Unternehmenslenker einer weiterentwickelten Version des Überweisungs-Betrugs zum Opfer fallen konnten.
Dabei ging es um Millionen: Google und Facebook wurden um einhundert davon erleichtert. Verantwortlich dafür waren Scammer, die Software in den Finanzabteilungen der Unternehmen installieren konnten, den typischen Ablauf von Transaktionen studierten und anschließend im Namen von Partnerunternehmen millionenschwere Rechnungen stellten. Die wurden zunächst auch bezahlt - das Geld konnte aber nach Auskunft von Google und Facebook mit Hilfe der Strafverfolgungsbehörden gerettet werden.
Einige der weltgrößten Unternehmen sind solchen Überweisungs-Betrügereien bereits zum Opfer gefallen. Alleine im Jahr 2016 wurden in den USA rund drei Milliarden Dollar auf diese Weise gestohlen. In den meisten Fällen ist das Geld unwiederbringlich verloren.
Die Lösung: Unternehmen sollten Kontrollinstanzen installieren, um sich vor betrügerischen Forderungen zu schützen. In jedem Fall sollte jede Forderung im Vorfeld gewissenhaft verifiziert werden. Als zusätzliche Schutzmaßnahme empfiehlt es sich, die Rechner die für die Überweisungen genutzt werden, zu isolieren und vom normalen Unternehmensnetzwerk getrennt zu halten.
Der Traumjob
Eine Zielgruppe, die Internetbetrüger besonders gerne ausbeuten, sind Jobsuchende. Die lassen sich nämlich ziemlich einfach via Social-Media- oder Job-Plattform abfischen. Dazu bieten die Betrüger zum Beispiel einfach gut bezahlte Jobs an. Und ihre Opfer merken oft gar nicht, was eigentlich vor sich geht. Denn es handelt sich dabei tatsächlich um Jobs mit echter Bezahlung. Nur legal ist die Tätigkeit nicht.
Denn wer hier "Mitarbeiter" wird, wird zum Teil eines Geldwäscherings. Die einzige Aufgabe in diesem Job besteht darin, Geld abzuheben und es weiterzuleiten - unter Einbehaltung eines kleinen Anteils versteht sich. Einige "Chefs" bitten ihre "Mitarbeiter" auch darum, das Geld zunächst in Bitcoins umzuwandeln. Besonders gerne zielen Kriminelle dabei auf Jugendliche ab, die die Zusammenhänge nicht verstehen und sich vom "Gehalt" für die vermeintlich leichte Aufgabe blenden lassen.
Die Lösung: Wenn Ihr Job darin besteht, den ganzen Tag in Unterwäsche herumzulungern und das Geld anderer Leute gegen Gebühr weiterzuleiten, besteht durchaus eine gesteigerte Chance, dass es sich um Betrug handelt. Für den Fall, dass es Ihnen jetzt gerade wie Schuppen von den Augen fällt: Brechen Sie jeglichen Kontakt ab und kontaktieren Sie einen Anwalt. Geldwäsche ist kein Kavaliersdelikt.
Telefon-Weiterleitungsbetrug
Lieferdienste, Hotels und andere Unternehmen, die Kreditkarten per Telefon akzeptieren, rücken bei dieser Masche ins Visier der Online-Betrüger. Das läuft dann folgendermaßen ab: Ihr Mitarbeiter geht ans Telefon und lässt sich von einem Betrüger davon überzeugen, eine Zahlenkombination über die Wähltastatur einzugeben. Natürlich geschieht das aus einem vermeintlich guten Grund - dient aber eigentlich nur dazu, Ihr Firmentelefon auf die Leitung der Betrüger umzuleiten. Eine mögliche Konsequenz: Ihre Kunden wählen Ihre Telefonnummer, landen aber bei Betrügern und geben diesen auch noch bereitwillig ihre Kreditkartendaten preis.
Die Lösung: Wenn Jemand versuchen sollte, Sie zur Eingabe eines Nummern- oder Zahlencodes zu bewegen, gehen Sie nicht darauf ein.
SMS-Phishing
Es gab eine (zugegebenermaßen kurze) Zeit, da waren Mobiltelefone sicher vor Spam und Phishing. Das ist vorbei. Inzwischen wird Phishing sowohl über Voice Mails, als auch über SMS betrieben. Insbesondere letztere Methode ist eigentlich eher primitiv und leicht zu durchschauen - sollte man meinen. Schließlich erhält man dabei einen Link, über den ein Trojaner installiert wird.
Etwas raffinierter wird es, wenn Sie eine SMS mit einer Telefonnummer erhalten. Wenn Sie diese anrufen, setzt das eine Social-Engineering-Kampagne in Gang. Eine der gängigsten Methoden besteht darin, dass Sie eine Textnachricht erhalten mit der Mitteilung, dass Ihre Kreditkarte kompromittiert wurde. Wenn Sie den Absender anrufen, verlangt der, dass Sie Ihre Kartennummer eintippen. Und die Falle schnappt zu.
Die Lösung: Erhalten Sie eine SMS, deren Inhalt unerwartet oder sinnfrei ist? Dann löschen Sie sie.
"Guten Tag, das SEK" …
Diese Phishing-Taktik hat das Potenzial Menschenleben zu gefährden. Denn beim sogenannten "SWATting" fälschen Betrüger Ihre Telefonnummer und alarmieren damit die Polizei. Dabei spielen sie ein Szenario vor, das einen massiven Einsatz zur Folge hat - etwa einen Amoklauf, eine Entführung oder einen Anschlag. Hat das Erfolg, wird das Opfer in Kürze von einem Sondereinsatzkommando besucht, das in manchen Ländern der Erde auch gerne einmal zuerst schießt und dann erst fragt.
Zum Opfer solcher "SWATting"-Attacken werden in der Regel Menschen, die übergeordnete Positionen einnehmen oder sich bei den falschen Individuenin die Nesseln setzen.Security-Koryphäe Brian Krebs etwa wurde bereits so oft Opfer von "SWATting", dass die Behörden inzwischen zuerst telefonisch bei ihm nachfragen, ob es sich tatsächlich um einen Notfall handelt, bevor sie ausrücken. Bei seiner "SWATting-Premiere" wurde das Haus von Krebs allerdings von einem schwer bewaffneten SWAT-Team umstellt.
Die Lösung: Die meisten Strafverfolgungsbehörden sind sich dieses gefährlichen Trends inzwischen bewusst und haben Methoden entwickelt, um solche Betrugsversuche zu erkennen.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.