Einfallstor E-Mail
Gegen Schäden, die von diesem Netzwerk ausgingen, waren wohl die wenigsten der Betroffenen versichert, obwohl es längst Anbieter wie die GEV gibt, die mit ihren Produkten gezielt auf diese Bedrohung reagiert haben. Dennoch: Dieses drastische Beispiel wirft ein Schlaglicht auf die immer professionellere Organisation von Cyberkriminellen. Im Netz hat sich eine völlig neue Form von Verbrechen herausgebildet, die den Normalbürger immer häufiger trifft. Haupteinfallstor für die Attacken ist der private E-Mail-Account. Denn der ist standardmäßig nicht gesichert und kann „vollgemüllt“ werden wie ein Briefkasten mit Postwurfwerbung. E-Mails sind ungefähr so geheim wie der Text auf einer Urlaubspostkarte.
In der digitalen Post-Variante sorgen Spam-Filter dafür, dass ein Teil dieser Mails unbekannten Ursprungs gleich im Spamordner landen. Einen ausreichenden Schutz vor dem Erhalt solcher Mails stellen Spamfilter aber definitiv nicht dar. Das kann nur eine komplette end-to-end-Verschlüsselung leisten. Volle Datenintegrität- und Authentizität leisten ausschließlich Cloud-Services, die mit persönlichen Zertifikaten arbeiten. Um sie zu nutzen, ist die Verwendung einer digitalen Identität Voraussetzung, wie sie die e-ID der meisten deutschen Personalausweise darstellt.
Phishing: Angeln nach Daten
Die bekannteste Form von Online-Betrug ist das Phishing. Der Wortursprung geht auf das englische Wort für „Angeln“ zurück: Kriminelle fischen im Netz nach persönlichen Daten. Das Muster ist dabei immer dasselbe. Über gefakte Webseiten, E-Mails aber auch Kurznachrichten wird versucht, die Identität eines Internetnutzers zu stehlen. Hauptangriffsziel solcher Attacken sind Bankverbindungen. Gelangen die Angreifer auf diesem Wege zu Passwörten, steht einer Kontoplünderung oft nichts mehr im Wege.
Die Kriminellen machen sich dabei die Gutgläubigkeit ihrer Opfer zunutze. Typisch ist hier die per Mail verschickte Aufforderung, persönliche Kontodaten infolge einer nicht weiter definierten „Umstellung“ noch einmal zu bestätigen. Der „Erfolg“ dieser Betrugsmasche beruht auf gefälschten Oberflächen z.B. eines Kreditinstitutes. Der Phantasie der Betrüger sind dabei keine Grenzen gesetzt. Gerade seit der Corona-Pandemie treten als Lockvogel immer häufiger aktuelle Gesundheitsthemen in den Mittelpunkt. Die Kriminellen machen sich dabei die allgemeine Verunsicherung und das gestiegene Informationsbedürfnis zunutze, die die Hemmschwelle senken, auch nicht näher geprüften E-Mails Glauben zu schenken.
Betrug mit COVID-19
Dafür setzen die Betrüger auf aktuelle Keywords wie „Maske“, „Impfstoff“, „COVID-19“ oder „Test-Kit“. Das ist deshalb eine beliebte Methode, weil Domains mit Corona-Bezug zunächst Blocklisten noch unterlaufen. Die neuen Domains werden noch nicht auf der Liste verdächtiger Webseiten geführt und tricksen auf diese Weise Spamfilter wirksam aus. Interpol beobachtet seit Ausbruch der Pandemie einen sprunghaften Anstieg von Domains und Online-Betrugsversuchen die thematisch mit Corona verknüpft sind.
Verdächtige Mails identifizieren
Woran aber erkennt man, dass eine E-Mail nicht vertrauenswürdig ist und es ratsam ist, sie sofort zu löschen? Misstrauen ist immer dann angebracht, wenn Passwörter, PINs oder ganz unverfroren Kontodaten abgefragt werden. In vielen Fällen erkennt man verdächtige Mails schon bei der Anrede. Fehlt hier der volle Name und wird mit allgemeinen Formulierungen wie „Sehr geehrter Kunde“. Man sollte sich klar machen, dass Shopping-Dienstleister und Banken grundsätzlich den vollen Namen des Nutzers kennen. Aber auch dann ist Vorsicht geboten: Es ist keine Raketenwissenschaft mehr, den vollen Nutzernamen in Erfahrung zu bringen. Bei Bankgeschäften empfiehlt es sich deshalb dringend ausschließlich auf der Website des jeweiligen Institutes zu arbeiten.
Themenschwerpunkt sind alle Aktivitäten, die mit finanziellen Leistungen in Verbindung stehen. Das sind Banken, aber auch Online-Versandunternehmen. Banken etwa informieren Sie nicht ohne Vorankündigung per Mail über „Veränderungen“ ihrer Bankverbindungen, sie tun das vorwiegend schriftlich. Sollten Sie unsicher sein, kontaktieren Sie direkt Ihre Bank. Jeder unbedachte Klick kann Tausende Euro kosten!
Falsches Deutsch
Überdurchschnittlich häufig zeichnen sich Phishing Mails durch einen abenteuerlichen Umgang mit der deutschen Sprache aus. Grammatikfehler, Schnitzer in der Orthographie sind weitere Merkmale verdächtiger Mails. Das gilt vor allem auch für die verlinkten Fake-Webseiten. Auch sie sind häufig ein Festival der Fehler. Achten Sie bei der Beurteilung auch ganz besonders auf Schriftgrößen und Farben. Diese weichen bei Phishing-Mails oft vom Original ab. Ebenso sind auffallend unscharfe Fotos ein Indiz für Fälschung und Betrug. Und wenn Ihnen beispielsweise die Sparkasse überraschend auf englisch schreibt, sollten alle Alarmglocken läuten. Und ganz wichtig: Auf keinen Fall sollte der Empfänger einer Mail ohne eingehende Prüfung der Aufforderung zum Download von Dateien oder Webseiten folgen.
„Sie haben gewonnen!“
Schließlich stellt die Aussicht auf einen Gewinn in einer Lotterie einen sicheren Hinweis auf krumme Dinger dar. Wer träumt nicht vom großen Geld über Nacht? Nur: Dafür muss man grundsätzlich auch an einem bestimmten Gewinnspiel teilgenommen haben. Selbst wenn dies der Fall ist: Gewinne werden in der Regel nicht per Mausklick in einer E-Mail ausgeschüttet. Das wäre dann eher das Kind mit dem Bade.
Pharming: Gefälschte Webseiten
Eine Weiterentwicklung des Phishings stellt das Pharming dar. Es lässt sich auch als Werkzeug begreifen, mit dem Phishing-Attacken automatisch über einen DNS-Server gefahren werden. Kern des Pharmings ist die Manipulation von Webbrowser-Anfragen mit dem Ziel, den User auf gefälschte Webseiten zu locken. Das geschieht unter Zuhilfenahme eines „Trojanischen Pferdes“ oder eines Virus. Die Folgen sind fatal: Der User wird systematisch auf gefälschte Webseiten geleitet, z.B. die einer Bank - obwohl er die korrekte Webadresse eingegeben hat.
Um Pharming-Angriffe zu entdecken, gilt zunächst die Faustregel: Vertrauenswürdige Seiten müssen mit https:// beginnen. Denn hier muss sich ein Server mit Hilfe eines Zertifikats authentifizieren. Doch für den Normalnutzer ist es oft technisch zu ambitioniert, wiederum die Echtheit eines Zertifikats zu überprüfen, da bei SSL-Client-Zertifikaten Prüfsummen wie MD5 oder SHA1 miteinander verglichen werden. Selbst dann ist keine hundertprozentige Sicherheit gewährleistet ist, da immer noch komplexe Verfahren zur Manipulation angewendet werden können
Als zuverlässiger Schutz gelten deshalb vor allem spezielle Sicherheitssoftwares wie Moneyplex, die insbesondere bei Bankgeschäften genutzt werden sollten. Wer sich hier unsicher ist, ist immer gut beraten, direkt mit seiner Bank zu sprechen.
Tatort Geldautomat: Skimming
Als besonders tückische Betrugsmethode hat sich in den vergangenen Jahren das Skimming erwiesen. Skimming bedeutet "abschöpfen". Dabei werden EC-Karten direkt am Geldautomaten manipuliert, die Daten auf Magnetstreifen oder Chip werden unbefugt ausgelesen. Ziel ist es, über die EC-Karte eines Bankkunden Zugriff auf dessen Konto zu erlangen und dieses zu leeren. Die Täter manipulieren dazu Kartenlesegeräte, wie sie an jedem Geldautomaten zum Einsatz kommen. Im schlimmsten Fall werden beim Skimming Kopien einer EC-Karte angefertigt, die es erlauben, diese ohne das Wissen ihres rechtmäßigen Besitzers für finanzielle Transaktionen zu missbrauchen. Die meisten Opfer erfahren davon erst, wenn die Bank wegen Überziehung des Dispos anruft.
Datenklau
Die Täter manipulieren das Kartenlesegerät der Bank, indem sie ein zweites Lesegerät in dem betreffenden Automaten implementieren – für den Kunden zunächst unbemerkt, da das zweite Lesegerät so tief im Kartenschlitz angebracht ist, dass es nicht mehr sichtbar ist. Die Daten werden gespeichert und etwa über Bluetooth-Technologie an die Betrüger übertragen. Dem Missbrauch der Karte steht dann nichts mehr im Wege. Gleiches gilt natürlich auch für die „Bauern-Variante“ des Skimmings mit EC-Karten: Wer es Dritten allzu leicht macht, die Eingabe des PIN mitzulesen, bekommt Probleme.
Auch hier gibt es ein paar Grundregeln, das Risiko zu begrenzen. Zunächst sollte man sich den Geldautomaten selbst genauer ansehen: Sind einzelne Teile locker? Sehen sie vielleicht sogar „angeklebt aus? Stehen Teile über? Sind einzelne Teile farblich unterschiedlich? All dies können Indizien für einen manipulierten Geldautomaten sein. Beim kleinsten Verdachtsmoment gilt: Auf keinen Fall persönliche Daten eingeben und den Verdacht der Bank melden. Denn im Schadensfall ist nicht selbstverständlich, dass die Bank dafür aufkommt: Kann die Bank den Nachweis führen, dass Geld mit der Originalkarte und der dazugehörigen Geheimzahl abgehoben worden ist, bleiben Geschädigte auf den Kosten sitzen.
Limits für Abhebungen
Die beste Prophylaxe gegen EC-Karten-Datenklau sind deshalb Limits für Abhebungen, die Sie mit Ihrer Bank vereinbaren. Auch Prepaid-Karten mit begrenzten Abhebevolumen helfen, den Schaden im Ernstfall wenigstens in Grenzen zu halten. Das diese Vorsichtsmaßnahmen absolut notwendig sind, zeigt sich schon an der Bandbreite von Skimming-Attacken. Diese treten nämlich nicht nur an Bankautomaten auf, sondern sind bereits an Zapfsäulen von Self-Service-Tankstellen nachgewiesen worden. Eine Betrugsvariante, die teilweise dadurch möglich worden ist, weil solche Zapfsäulen in Einzelfällen mit einem Universalschlüssel zu öffnen sind – ohne eine auf Anhieb erkennbare Spur zu hinterlassen.
Hausratversicherung gegen Cybercrime
Falls nun alle Vorsichtsmaßnahmen nicht funktioniert haben sollten und Sie unverschuldet Opfer von Phishing, Pharming und Skimming geworden sein sollten, gibt es außerdem die Möglichkeit, Cyber-Schäden über den Max-Tarif Ihrer Hausratsversicherung bei der GEV abzusichern.