Die Corona-Pandemie ist für Betrüger eine gute Zeit. Viele Menschen sind im Homeoffice, verbringen mehr Zeit vor dem Bildschirm und sind durch eingeschränkte Sozialkontakte anfällig für die direkte Ansprache. Dadurch erfahren bekannte Cyberverbrechen wie Smishing und Vishing einen zweiten Frühling. Betroffen sind Privatpersonen und Unternehmen gleichermaßen, die zwar den Betrug per Mail kennen, bei SMS und Telefonanrufen aber zu wenig misstrauisch sind.
Was sind das für Maschen – und wie kann ich mich davor schützen? Gerald Reischl, österreichischer Technologie- und IT-Experte sowie Autor des Buches „Internet of Crimes“ hat sich mit den Tricks der Betrüger genauer befasst. Hier gibt er Tipps, wie man sie erkennt.
Vishing: Eine Kombination aus Voice und Phishing
Zunächst einmal: „Vishing“ – das Wort ist eine Kombination aus „Voice“ und „Phishing“. „Phishing“ kennt man schon aus vergangenen Jahren. Es bezeichnet die Praxis, Menschen durch Täuschung dazu zu bringen, persönliche, sensible oder vertrauliche Informationen preiszugeben. Beim Vishing wird aber eben keine gefälschte E-Mail oder eine Fake-Websites dazu genutzt, sondern ein Internet-Telefondienst (VoIP).
Die Masche: Jemand gibt sich als eine echte Person oder ein legitimes Unternehmen aus. Auch das ist nicht neu, wird aber in der Corona-Pandemie wieder beliebter. Denn: „In Zeiten, in denen viele Menschen nicht nur emotional, sondern auch im Hinblick auf ihre Zukunft Unsicherheit verspüren, ist es extrem schwierig, Fakten von Fiktion zu trennen. Dann sind Menschen leichter anfällig für Betrug“, so Experte Reischl.
Persönliche Ansprache macht es Verbrechern leichter
Vishing ist derzeit populär, weil es eine persönliche Beziehung herstellt. „In vielen Fällen bezeichnen sich die Anrufer selbst als Experten oder Profis auf ihrem Gebiet. Sie geben sich als Computertechniker, Bankangestellte, Polizisten oder sogar selbst als Opfer solcher Methoden aus“, sagt Reischl.
„Die Homeoffice-Situation ist dabei oft hilfreich für die Computerkriminellen. Man kann Mitarbeiter unter dem Vorwand anrufen, man sei ein IT-Administrator der eigenen Firma.“ Schon ist die Hemmschwelle beim Opfer, geheime Daten herauszugeben, gesunken. Im Gespräch entlockt man dem Mitarbeiter Passwörter und Co., kann Schadsoftware einschleusen oder Zugangsdaten abgreifen.
Beliebte Masche: Angeblich ruft die Bank an, weil das Konto des Kunden geknackt wurde
Beim Vishing hat man einen Ansprechpartner direkt in der Leitung, der emotional Druck ausüben kann. Das macht die Methode noch perfider – und für die Verbrecher oft auch effektiver. Vishers können sogar gefälschte Anrufer-ID-Profile erstellen, die dem Opfer eine bekannte Telefonnummer vorgaukeln. Das nennt man Caller ID Spoofing. Wenn das Opfer nicht ans Telefon geht, wird oft eine Voicemail hinterlassen, in der man aufgefordert wird, zurückzurufen, zum Beispiel, weil das Bankkonto online geknackt wurde.
Ziel von Vishing: Daten abgreifen, Schadsoftware einschleusen
Meist geht es darum, Kreditkartendaten, Geburtsdaten, Kontoanmeldungen oder Ähnliches zu erhalten. Es geht nicht nur um vermeintliche Anrufer der Firmen-IT-Abteilung. Mal hat man angeblich einen Preis gewonnen, mal geht es um ein kostenloses Angebot, mal um den Spendenaufruf einer vermeintlichen Wohltätigkeitsorganisation oder um eine kritische Angelegenheit beim Finanzamt. Alles ist Fake, alles dient nur dem Datenklau.
Anrufe fühlen sich legitimer an
Bei E-Mails ist man schon an Spam oder Ausspäh-Versuche gewöhnt, am Telefon ist das aber eine andere Nummer. Anrufe und persönliche Gespräche fühlen sich für viele Menschen immer noch legitimer an. „Und: Vishing ist nicht so bekannt wie Phishing – dass man angerufen wird, ist noch immer ein sehr frisches Kriminalitätsterrain“, sagt Reischl.
Zur Sicherheit: Lieber einmal zu viel auflegen
Auch bei Telefongesprächen sollte man immer misstrauisch bleiben, Druck immer mit Gelassenheit begegnen. „Wenn ein vermeintlicher Microsoft-Mitarbeiter anruft, der online das System meines Rechners updaten will, sollte man einfach auflegen. Besser man legt einen Anruf zu viel auf, als dass man in eine Falle tappt“, sagt der IT-Experte.
Smishing: Manipulation durch einen Download-Link in der SMS
Das Phänomen des Smishings ist eine ähnliche Masche, allerdings setzen die Betrüger hierbei auf die Manipulation durch SMS (SMS plus Phishing ergibt Smishing). In solchen SMS können Download-Links mit schädlicher Software stecken, aber die Ansprache in der SMS liest sich wie die Nachricht von einem guten Freund oder einem Arbeitskollegen. Klickt man den Link an, erhält der Betrüger Zugriff aufs Smartphone, kann Log-in-Daten auslesen oder das Gerät sperren und dann Geld für das Entsperren verlangen. Oder es wird auf eine gefälschte Webseite verlinkt, in die man Daten eintragen soll.
Derzeit beliebter Trick: Fake-Mitarbeiter helfen bei Computer- oder Smartphone-Problemen
Besonders perfide sind Spear-Smishings, bei denen gezielt vorab die frei verfügbaren Daten einer Person in den sozialen Netzwerken ausgewertet werden. Bei der dann folgenden Ansprache wird so ein Gefühl der Vertrautheit suggeriert. Wohl am beliebtesten ist es derzeit, sich als Mitarbeiter einer Kundenbetreuung auszugeben und bei einem vermeintlichen Computer- oder Smartphone-Problem zu helfen.
Smishing-Fallen vermeiden: Grundsätzlich immer kritisch bleiben
„Viele User haben die Gefahr, die auch von einer SMS ausgehen kann, noch nicht erkannt“, so der Experte. Smishing vermeidet man am besten, indem man gerade bei Gewinnen, Coupons oder Angeboten per SMS stutzig bleibt.
Banken und Co. erfragen mit Sicherheit keine Daten per SMS. Gleiches gilt für Unternehmen. „Ich kenne kein Unternehmen, das User per SMS dazu auffordert, sich auf einem Portal einzuloggen, um Daten zu aktualisieren oder sich auf einer Webseite einzuloggen“, sagt Reischl. Weiterer Rat vom Experten: Nicht auf Links in SMS klicken und vor dem Antworten auf eine SMS immer die Absendernummer kontrollieren. Der Experte mahnt: „Auch hier gilt: Besser man löscht eine SMS zu viel, als dass man zum Opfer wird.“