Sicher haben auch Sie schon einmal von sich selbst gedacht, dass Sie schlau genug sind, um einen Betrug zu erkennen. Wer fällt schon auf eine schlecht geschriebene E-Mail oder Textnachricht herein? Leider kann uns dieses Selbstvertrauen sorglos machen. Tatsächlich lässt sich nicht jeder Betrugsversuch einfach erkennen. Mitunter kann schon ein zeitlicher Zufall dafür sorgen, dass er überzeugender wird. Kurz gesagt: Niemand ist davor gefeit.
Meine Bank hat mir vor kurzem eine neue Kreditkarte zugeschickt. Innerhalb einiger Stunden nach deren Empfang habe ich auch eine Textnachricht von meiner Bank erhalten. In der Nachricht wurden korrekt die ersten drei Stellen der neuen Kartennummer aufgeführt und ich wurde gebeten, auf den Validierungslink zu klicken. Das erschien mir nicht sonderlich verdächtig. Immerhin hat die Bank meine Telefonnummer und wir wissen, dass eine Kreditkarte zunächst aktiviert werden muss.
Aber doch war irgendetwas daran nicht ganz richtig. Die verwendeten Formulierungen erschienen etwas ungewöhnlich und so auch die URL. Ein paar Nachforschungen zeigten schließlich, dass es in der Tat ein Phishingversuch war. Die Website, auf die der Link führte, war weniger als 72 Stunden alt und gehörte auch nicht zu der Bank.
Wie konnte das geschehen? Handelte es sich um einen Zufall oder wussten die Betrüger, dass mir eine neue Karte zugeschickt worden war? Ich habe dazu einen ehemaligen Kreditkartenbetrüger – einen sogenannten Carder – befragt, der von einer Sicherheitslücke in der Lieferkette ausgeht. Anders gesagt könnte ein Mitarbeiter bei einem der Anbieter der Bank (möglicherweise ein Postangestellter) den Cyberkriminellen mitgeteilt haben, dass eine Karte zu mir unterwegs ist. Zwar wussten diese nicht die vollständige Kartennummer, konnten aber dennoch die ersten drei Zahlen richtig angeben, da sie den Herausgeber herausfinden konnten, und diese ersten Stellen auch nicht einzigartig sind.
Durch den Zeitpunkt und die Verwendung der richtigen Nummern wirkte der Betrugsversuch recht überzeugend. Zwar bin ich selbst nicht darauf hereingefallen, aber sicher gibt es einige Opfer der Masche. Auch auf andere Betrugsversuche fallen viele herein, weil diese aufgrund ihres Zeitpunkts glaubwürdig wirken.
Im Februar erläuterte der Science-Fiction-Autor Cory Doctorow, wie er von einem Phisher per Telefonanruf dazu gebracht wurde, seine Kartennummer herauszugeben. Dieser konnte dann einen Betrug im Wert von über 8 000 USD begehen, bevor der Autor erkannte, was geschehen war. Lesen Sie sich den Artikel (auf Englisch) dazu gern selbst durch, aber (tl;dr) der Betrug war wahrscheinlich aufgrund eines zeitlichen Zufalls erfolgreich, da Doctorow im Urlaub war und vor dem Weg zum Flughafen noch schnell ein Sandwich besorgen wollte. Das Ironische daran – und möglicherweise auch beitragend – ist, dass Cory eigentlich über so etwas Bescheid weiß. Er besucht regelmäßig die Defcon, wo er an den Social-Engineering-Wettbewerben teilnimmt, und schreibt sogar eine Buchreihe über Betrug.
Wir gehen immer davon aus, dass nur dumme Leute auf Betrug hereinfallen. Doch das ist keineswegs der Fall. Um es in den Worten des Autors zu sagen:
… es ist auch wichtig, die Leute daran zu erinnern, dass jeder einmal anfällig sein kann und Betrüger bereit sind, ständig neue Maschen auszuprobieren, bis ein Angriff genau zur richtigen Zeit, am richtigen Ort und auf die richtige Art abläuft. Wenn du glaubst, nicht auf Betrug hereinzufallen, machst du dich besonders anfällig.
Wie kann man also vermeiden, Opfer eines Betrugs zu werden? Leider gar nicht. Aber was Sie tun können ist, die Wahrscheinlichkeit zu minimieren, dass der Betrugsversuch erfolgreich ist. Bleiben Sie bei allen erhaltenen Nachrichten oder Anrufen skeptisch, selbst wenn der Zeitpunkt darauf hindeutet, dass diese echt sein könnten. Bei allen Geldangelegenheiten ist es immer besser, sich ein paar Minuten Zeit zu nehmen und zu überprüfen, ob die Nachricht seriös ist. Suchen Sie die offizielle Telefonnummer des Unternehmens heraus und rufen Sie diese an oder besuchen Sie die offizielle Website und nutzen Sie den verfügbaren Chat.
Auch Tools, die betrügerische Websites blockieren (etwa der in unsere Produkte integrierte Betrugsschutz), können hilfreich sein. Doch selbst diese blockieren nicht jeden schlechten Link, sondern helfen nur, dass Risiko zu senken. Bleiben Sie also immer vorsichtig und kontrollieren Sie selbst.
Fazit: Wir sind alle anfällig und können ausgetrickst werden. Die gute Nachricht ist jedoch, dass wir die Wahrscheinlichkeit, tatsächlich überlistet zu werden, erheblich eindämmen können.
Übersetzung: Doreen Schäfer