Cyberverbrechen wie Smishing und Vishing sind nach wie vor ein großes Problem. Unstimmigkeiten beim Online-Banking oder offene Rechnungen werden vorgeschoben, so versuchen Kriminelle, schädliche Apps zu verteilen oder Passwörter zu stehlen, davor warnt gerade wieder der Bundesverband der Verbraucherzentralen. Betroffen sind Privatpersonen und Unternehmen gleichermaßen, die zwar den Betrug per Mail kennen, bei SMS und Telefonanrufen aber leider weniger misstrauisch sind.
Was sind das für Maschen – und wie kann ich mich davor schützen? Gerald Reischl, österreichischer Technologie- und IT-Experte sowie Autor des Buches „Internet of Crimes“ hat sich mit den Tricks der Betrüger genauer befasst. Hier gibt er Tipps, wie man sie erkennt.
Vishing: Eine Kombination aus Voice und Phishing
Zunächst einmal: „Vishing“ – das Wort ist eine Kombination aus „Voice“ und „Phishing“. „Phishing“ kennt man schon aus vergangenen Jahren. Es bezeichnet die Praxis, Menschen durch Täuschung dazu zu bringen, persönliche, sensible oder vertrauliche Informationen preiszugeben. Beim Vishing wird aber eben keine gefälschte E-Mail oder eine Fake-Websites dazu genutzt, sondern ein Internet-Telefondienst (VoIP).
Die Masche: Jemand gibt sich als eine echte Person oder ein legitimes Unternehmen aus. Das hat gerade wieder Hochkonjunktur. „In Zeiten, in denen viele Menschen nicht nur emotional, sondern auch im Hinblick auf ihre Zukunft Unsicherheit verspüren, ist es extrem schwierig, Fakten von Fiktion zu trennen. Dann sind Menschen leichter anfällig für Betrug“, so Reischl.
Persönliche Ansprache macht es Verbrechern leichter
Vishing ist derzeit populär, weil es eine persönliche Beziehung herstellt. „In vielen Fällen bezeichnen sich die Anrufer selbst als Experten oder Profis auf ihrem Gebiet. Sie geben sich als Computertechniker, Bankangestellte, Polizisten oder sogar selbst als Opfer solcher Methoden aus“, sagt Reischl.
„Die Homeoffice-Situation ist dabei oft hilfreich für die Computerkriminellen. Man kann Mitarbeiter unter dem Vorwand anrufen, man sei ein IT-Administrator der eigenen Firma.“ Schon ist die Hemmschwelle beim Opfer, geheime Daten herauszugeben, gesunken. Im Gespräch entlockt man dem Mitarbeiter Passwörter und Co., kann Schadsoftware einschleusen oder Zugangsdaten abgreifen.
Beliebte Masche: Angeblich ruft die Bank an, weil das Konto des Kunden geknackt wurde
Beim Vishing hat man einen Ansprechpartner direkt in der Leitung, der emotional Druck ausüben kann. Das macht die Methode noch perfider – und für die Verbrecher oft auch effektiver. Vishers können sogar gefälschte Anrufer-ID-Profile erstellen, die dem Opfer eine bekannte Telefonnummer vorgaukeln. Das nennt man Caller ID Spoofing. Wenn das Opfer nicht ans Telefon geht, wird oft eine Voicemail hinterlassen, in der man aufgefordert wird, zurückzurufen, zum Beispiel, weil das Bankkonto online geknackt wurde.
Ziel von Vishing: Daten abgreifen, Schadsoftware einschleusen
Meist geht es darum, Kreditkartendaten, Geburtsdaten, Kontoanmeldungen oder Ähnliches zu erhalten. Es geht nicht nur um vermeintliche Anrufer der Firmen-IT-Abteilung. Mal hat man angeblich einen Preis gewonnen, mal geht es um ein kostenloses Angebot, mal um den Spendenaufruf einer vermeintlichen Wohltätigkeitsorganisation oder um eine kritische Angelegenheit beim Finanzamt. Alles ist Fake, alles dient nur dem Datenklau.
Anrufe fühlen sich legitimer an
Bei E-Mails ist man schon an Spam oder Ausspäh-Versuche gewöhnt, am Telefon ist das aber eine andere Nummer. Anrufe und persönliche Gespräche fühlen sich für viele Menschen immer noch legitimer an. „Und: Vishing ist nicht so bekannt wie Phishing – dass man angerufen wird, ist noch immer ein sehr frisches Kriminalitätsterrain“, sagt Reischl.
Zur Sicherheit: Lieber einmal zu viel auflegen
Auch bei Telefongesprächen sollte man immer misstrauisch bleiben, Druck immer mit Gelassenheit begegnen. „Wenn ein vermeintlicher Microsoft-Mitarbeiter anruft, der online das System meines Rechners updaten will, sollte man einfach auflegen. Besser man legt einen Anruf zu viel auf, als dass man in eine Falle tappt“, sagt der IT-Experte.
Smishing: Manipulation durch einen Download-Link in der SMS
Das Phänomen des Smishings ist eine ähnliche Masche, allerdings setzen die Betrüger hierbei auf die Manipulation durch SMS (SMS plus Phishing ergibt Smishing). In solchen SMS können Download-Links mit schädlicher Software stecken, aber die Ansprache in der SMS liest sich wie die Nachricht von einem guten Freund oder einem Arbeitskollegen. Klickt man den Link an, erhält der Betrüger Zugriff aufs Smartphone, kann Log-in-Daten auslesen oder das Gerät sperren und dann Geld für das Entsperren verlangen. Oder es wird auf eine gefälschte Webseite verlinkt, in die man Daten eintragen soll. Derzeit sind laut Verbraucherzentralen-Verband auch falsche Drohungen mit dem Besuch von Gerichtsvollziehern wegen angeblich offener Rechnungen im Umlauf. Auch SMS mit Bezug zur Steuererklärung gehen gerade vermehrt um.
Derzeit beliebter Trick: Fake-Mitarbeiter helfen bei Computer- oder Smartphone-Problemen
Besonders perfide sind Spear-Smishings, bei denen gezielt vorab die frei verfügbaren Daten einer Person in den sozialen Netzwerken ausgewertet werden. Bei der dann folgenden Ansprache wird so ein Gefühl der Vertrautheit suggeriert. Wohl am beliebtesten ist es derzeit, sich als Mitarbeiter einer Kundenbetreuung auszugeben und bei einem vermeintlichen Computer- oder Smartphone-Problem zu helfen.
Smishing-Fallen vermeiden: Grundsätzlich immer kritisch bleiben
„Viele User haben die Gefahr, die auch von einer SMS ausgehen kann, noch nicht erkannt“, so der Experte. Smishing vermeidet man am besten, indem man gerade bei Gewinnen, Coupons oder Angeboten per SMS stutzig bleibt.
Banken und Co. erfragen mit Sicherheit keine Daten per SMS. Gleiches gilt für Unternehmen. „Ich kenne kein Unternehmen, das User per SMS dazu auffordert, sich auf einem Portal einzuloggen, um Daten zu aktualisieren oder sich auf einer Webseite einzuloggen“, sagt Reischl. Weiterer Rat vom Experten: Nicht auf Links in SMS klicken und vor dem Antworten auf eine SMS immer die Absendernummer kontrollieren. Hat man einen Link in der Nachricht angetippt, auf keinen Fall die Zugangsdaten zum Online-Banking auf einer geöffneten Seite eingeben und keine Installation einer neuen App erlauben, mahnt der Bundesverband der Verbraucherzentralen. Reischl sagt: „Auch hier gilt: Besser man löscht eine SMS zu viel, als dass man zum Opfer wird.“
Online-Banking: Wer nicht aufpasst, hat den Schaden
Allmählich müsste es sich herumgesprochen haben: Echte Banken verschicken nie irgendwelche Mails mit der Bitte, möglichst sofort auf bestimmte Links zu klicken und dann alle möglichen Zugangsdaten im Web einzugeben. Sie versenden auch nie eine SMS, in denen es etwa um die Sperrung eines Kontos geht. Und echte Bank-Mitarbeiter rufen nicht spätabends zurück, um die Freigabe einer Überweisung per App zu fordern oder über die Eröffnung eines Tagesgeldkontos zu plaudern …
Solcherlei „Phishing“-Maschen sollten inzwischen bekannt sein. Das Kürzel steht für „Password fishing“, die Verbraucherzentrale listet laufend neue Warnungen auf ihrer lesenswerten Seite „Phishing-Radar“. Die Gerichte zeigen sich daher mittlerweile auch ziemlich ungnädig, wenn Kontoinhaber auf eine offensichtliche Abzocke hereinfallen. So stellte das Oberlandesgericht Frankfurt kürzlich fest: „Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag“ (6. 12. 23, 3 U 3/23) – in dem Fall ging es um fast 50.000 Euro. Das Landgericht Lübeck mahnte gerade einen Kläger: „Die Gefahr des Geldverlusts bei Freigabe der Überweisung ohne vorherige Kontrolle der Auftragsdaten hätte sich aufdrängen müssen“ (3. 1. 24, 3 O 83/23) – auch hier war der Bankkunde also „grob fahrlässig“ und bleibt daher auf mehreren Tausend Euro Schaden sitzen.
Marie Schäfers hat ihren Studienabschluss in Geschichte und Journalistik an der Universität Gießen gemacht. Sie volontierte bei der „Westfälischen Rundschau“ in Dortmund und ist Leitende Redakteurin der Zeitung Sonntag-EXPRESS in Köln. Für aktiv beschäftigt sie sich als freie Autorin mit den Themen Verbraucher, Geld und Job.
Alle Beiträge der Autorin