Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) waren im vergangenen Jahr fast 70 Prozent aller Spam-Mails Cyber-Angriffe. Und 9 von 10 der betrügerischen Mails täuschten vor, von einer Bank oder Sparkasse zu stammen.
Bei ihren Cyberangriffen gehen die Kriminellen so professionell vor, dass gefälschte Nachrichten nur noch schwer von echten zu unterscheiden sind. Auffällig ist, dass die Phishing-Mails immer besser personalisiert, das heißt mit möglichst vielen persönlichen Informationen gespickt sind, die vorher ausgespäht wurden. Dabei kann der Zeitpunkt zwischen dem Abfischen der Daten und dem Ausnutzen dieser Informationen durchaus eine Weile auseinanderliegen. Wenn dann plötzlich ein angeblicher Anruf von der Bank kommt, der sich auf eine Mail von vor ein paar Wochen bezieht, sind manche verunsichert und fallen auf die Betrüger herein.
Aktuelle Warnung: Viele Smishing-Angriffe zu Paketlieferungen
Die Masche ist nicht neu, sie tritt aber seit einiger Zeit wieder gehäuft auf: Handy-Nutzer bekommen Nachrichten per SMS oder per WhatsApp mit der Information, dass für eine Paketlieferung noch eine Gebühr gezahlt werden muss, zum Beispiel eine Zollgebühr. Die offenen Beträge sind bewusst klein gehalten; 1,90 Euro oder 2,90 Euro, damit der Betroffene nicht weiter über die Summe nachdenkt, sondern dies schnell erledigen will. Tatsächlich kann es aber sein, dass statt 1,90 Euro 190 Euro abgebucht werden, was der Betroffene bei der Freigabe der Transaktion auf die Schnelle nicht bemerkt. Oder aber es werden die Kontakt- und Kreditkartendaten „abgefischt“ und mit diesen später ein fremdes Gerät aktiviert. Um an das für die Zwei-Faktor-Authentifizierung notwendige Passwort zu kommen, wird dies ebenfalls ausgeforscht. Dann haben die Betrüger freie Hand, um Zahlungen zu Lasten des Opfers vorzunehmen.
Phishing-Attacken kommen in regelmäßigen Wellen
Betrüger nutzen immer wieder aktuelle Themen, um ihre Opfer hinters Licht zu führen. Das waren in der Vergangenheit zum Beispiel die Pandemie, die Umsetzung von Sanktionsmaßnahmen, kann aber auch die IT-Umstellung der Bank sein, eine angeblich notwendige Verifizierung der Nutzerdaten oder die Anpassung von Geschäftsbedingungen nach einer neuen EU-Richtlinie, weil sonst angeblich das Konto binnen weniger Tage gesperrt werden wird.
Gerne werden die potenziellen Opfer unter Druck gesetzt: Wenn Sie nicht sofort schnell handeln, wird das Konto gesperrt. Ein passender Link, der auf eine gefälschte Bankseite führt, wird gleich mitgeschickt. Gibt man nun auf dieser Fake-Seite seine korrekten persönliche Daten wie Passwörter oder Kartennummern ein, werden diese von den Angreifern unbemerkt ausgelesen. Im Besitz der sensiblen Informationen versuchen sie nun, Überweisungen vom Konto des Opfers zu veranlassen oder mit den gestohlenen Kreditkartendaten Einkäufe zu bezahlen. In einigen Fällen wird auch dazu aufgefordert, den von der Bank versendeten Aktivierungsbrief für das TAN-Verfahren abzufotografieren und hochzuladen. Fällt man darauf herein, öffnet man Tür und Tor zum eigenen Konto. Denn ein Betrüger könnte mit dem Aktivierungsbrief ein neues Gerät für das TAN-Verfahren zum Konto hinzufügen und dann Transaktionen selbständig frei geben.
Falsche Hilfsorganisationen sammeln Geld ein
Das sogenannte „Charity-Scam“ nimmt reale Ereignisse wie Flutkatastrophen oder Erdbeben als Anknüpfungspunkt, um die Hilfsbereitschaft der Menschen mit betrügerischen Spendenaufrufen über E-Mails oder den Social-Media-Kanälen auszunutzen. Hier landet das Geld aber nicht bei den gewünschten Hilfsorganisationen, sondern bei Betrügern. Die Websites klingen zwar so ähnlich wie die Originale und bilden das Corporate Design täuschend echt nach, unterscheiden sich dennoch häufig in kleinen Merkmalen. Gerade die angezeigte Adresse im Browser und das Impressum sollte man sich genau ansehen und im Zweifel die Website selbst suchen und nicht einfach auf einem Link klicken, um dort eine Zahlung durchzuführen.
Vorschussbetrug verlockt mit schnell verdientem Geld
Immer wieder gelingt es Betrügern, Menschen mit dem sogenannten Vorschussbetrug hereinzulegen und dazu zu verleiten, Geld zu überweisen. Die Geschichten können variieren, aber letztlich wird stets mit der Möglichkeit gelockt, ein schnelles Geld zu verdienen. Eine Person gibt vor, vermögend zu sein und sein Geld aus unterschiedlichen Gründen ins Ausland in Sicherheit bringen zu müssen. Um dort ein Konto eröffnen zu können, solle das Opfer nur einen kleinen Betrag überweisen, dafür wird ihm eine größere Summe versprochen. Schnell und einfach verdientes Geld? Von wegen – das Geld der Überweisung ist weg, die versprochene Entlohnung kommt nie.
Beim Speer-Phishing werden Opfer gezielt ausspioniert
Eine spezielle Phishing-Variante ist das sogenannte „Spear (Engl. für Speer) –Phishing“. Dabei gehen die Kriminellen gezielt gegen einzelne Opfer vor: Mit Informationen, die ausgespäht oder im Netz gesammelt wurden, versuchen sie Angestellte von Unternehmen zu Überweisungen auf fremde Konten zu veranlassen. Den ahnungslosen Angestellten wird dabei zum Beispiel vorgegaukelt, es handle sich um einen eiligen und besonders vertraulichen Auftrag ihres Chefs (CEO-Fraud/Chef-Betrug).
Anrufe durch falsche Bankmitarbeiter reißen nicht ab
Hier kontaktieren die Kriminellen Kundinnen und Kunden per Telefon und geben sich als Bankangestellte, als Mitarbeitende von Europol, der Polizei der Bundesanstalt für Finanzaufsicht oder auch vom Bankenverband aus. Oftmals wurde die Telefonnummer so manipuliert, dass es so aussieht, als würde tatsächlich von der Bank bzw. von der genannten Organisation angerufen (siehe Call-ID-Spoofing). Häufig werden bei diesen Anrufen Sicherheitsgründe vorgeschoben, um persönliche Daten, Kontoinformationen oder Passwörter für den Online-Banking-Zugang zu erschleichen. Die Anrufenden arbeiten dabei höchst geschickt, teilweise werden die Anrufe vorab per Brief angekündigt, um die scheinbare Seriosität des Anrufs zu erhöhen.
Alle Alarmglocken sollten klingeln, wenn der Anrufer – mit welcher Begründung auch immer – verlangt Zugriff über den PC mittels einer Fernwartungssoftware zu bekommen. Wird dies zugelassen, ist das vergleichbar mit einer sperrangelweit geöffneten Haustür: eine Einladung für Diebe, hereinzuspazieren. Ohne Wissen der Besitzerin oder des Besitzers kann auf diesem Weg eine Spionagesoftware auf den Computer installiert werden, die später persönliche Daten mitliest bzw. ausspioniert. Auch von „Testüberweisungen“ – zum Beispiel nach der Installierung eines angeblich neuen Sicherheitssystems ist die Rede.
Der beste Tipp ist hier der einfachste: Auflegen und sich nicht unter Druck setzen lassen. Natürlich werden in Service-Hotlines einer Bank auch persönliche Daten (Name, Straße, Geburtsdatum) zur Identifizierung des Anrufenden abgeglichen. Aber Angestellte einer Bank werden in keinem Fall eine komplette Telefon-Banking-PIN, die Onlinebanking-PIN oder eine Transaktionsnummer (TAN) erfragen.
Im Zweifel ist es ratsam, die Bank selbst telefonisch zu kontaktieren und nachzufragen. Dabei aber nicht die Rückruftaste drücken, denn bei einer manipulierten Nummernanzeige wird die korrekte Nummer vorgegaukelt (siehe Call-ID-Spoofing). Am besten von der Website oder aus den eigenen Unterlagen die korrekte Telefonnummer der Bank raussuchen und die Nummer selbst wählen.
QUELLE: Bundesverband deutscher Banken e.V.
