Die Europol-Masche, der Enkel-Trick oder das vermeintlich abgeschlossene Lotterieabo: Alle diese Betrügereien haben eines gemeinsam: Die Kriminellen haben für jede und jeden eine passende Geschichte parat, auf die die Opfer hereinfallen.
Digitaler #Enkeltrick jetzt auch per WhatsApp. Zum Glück hat mein Vater kein Geld überwiesen, sondern mich erstmal angerufen - und daraufhin Strafantrag gegen unbekannt gestellt. Die Masche ist leider kreativ und der Smalltalk authentisch. Verdachtsfälle bitte der Polizei melden! pic.twitter.com/f8WtJHjoBu
— Danyal Bayaz (@DerDanyal) July 12, 2022
Die Methode nennt sich Social Engineering und ist im Grunde nichts Neues: Mit einem finanziellen Anliegen melden sich vermeintliche Angehörige wie Kinder oder Enkelkinder, offizielle Beauftragte wie die Polizei (Europol oder Interpol) oder Mitarbeiterinnen von Unternehmen wie Microsoft oder einer Lotteriezentrale, um dem potenziellen Opfer telefonisch oder per Messenger etwas abzupressen – mal sind es sensible Firmendaten, mal die privaten Passwörter oder Kontodaten, oder die Einwilligung, sich aus einem vermeintlich bestehenden Lotterievertrag «frei zu kaufen».
watson hat sich von Experten erklären lassen, wie man Social Engineering erkennt und sich davor schützen kann.
«Eine favorisierte Methode ist nicht zu bestimmen. Vielmehr dürfte sich diese aus dem jeweiligen Modus Operandi und der geeigneten Opfergruppe ergeben», sagt Udo Rechenbach, Pressesprecher des Landeskriminalamts Nordrhein-Westfalen auf Nachfrage von watson. Der Fantasie der Betrügerinnen und Betrüger sind dabei keine Grenzen gesetzt.
#Enkeltrick
— Bettina Frank (@FrankBettina) July 11, 2022
Vorhin Anruf aus einer Salzburger Bank erhalten. Mein Vater dort ganz aufgelöst, ich hätte einen Autounfall gehabt und dabei eine 30-jährige mit Kleinkind durch meine Schuld getötet. Wenn er nicht sofort 80.000 € bezahlt, müsse ich augenblicklich ins Gefängnis.
So passiert ist das zum Beispiel kürzlich einer ausländischen Studentin, wie das Magazin «Spiegel» berichtete. Sie erhielt zunächst einen automatischen Anruf mit der Aufforderung, für weitere Informationen die «Eins» auf der Tastatur zu drücken. Daraufhin wurde sie zu einer angeblichen Mitarbeiterin der europäischen Ermittlungsbehörde durchgestellt und im weiteren Verlauf Opfer der sogenannten Europol-Masche.
Der Trick besteht aus Druckaufbau und dem Spiel mit persönlichen Ängsten – im Fall der Studentin Angst vor staatlicher Autorität und dem Verlust des Visums: Sie müsse nun kooperieren, da ihre persönlichen Daten im Zusammenhang mit einem schweren Delikt aufgetaucht seien. Zudem müsse sie mittels sogenannter Kryptobanken ihr gesamtes Bankguthaben auf ein «nationales Sicherungskonto» überweisen, um es vor Missbrauch zu schützen. Auf diese Weise erleichterten sie die Betrüger um 20'000 Euro.
Sie wollte nur das Richtige tun, sagte die betrogene Studentin. Das besonders perfide am Social Engineering ist der psychologische Mechanismus: Gegen eine perfekt zugeschnittene Lügengeschichte ist niemand immun.
Je nach Opfer zielen die Täter auf unterschiedliche emotionale Reaktionen ab – Angst, Empathie oder Gier, um an persönliche oder sensible Daten zu gelangen. Im Grunde ist das nichts anderes, als Menschen zu «hacken». Auf der Hackerkonferenz Defcon in Las Vegas gibt es dafür seit über zehn Jahren sogar einen eigenen Wettbewerb.
Grundsätzlich ist es aber beruhigend, dass die allermeisten Betrugsversuche scheitern: «Nur zu einem geringen Teil haben die Täter Erfolg. Dabei überwiegt ein Schaden von 2000 Euro oder weniger, höhere Beutesummen sind die Ausnahme», resümiert der Kriminalbeamte Rechenbach.
Joachim Wagner, stellvertretender Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), erläutert auf Nachfrage von watson: «Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein grosser Zeitdruck bei den Opfern aufgebaut wird. Bestimmte Aktionen, wie etwa das Überweisen von Geld, werden binnen kürzester Zeit eingefordert. Oft verbunden mit einer Prognose, die etwas Schlechtes befürchten lässt.»
So werde im Rahmen des Enkeltricks eine schnelle Überweisung gefordert, um eine Notlage zu überwinden. Auch bei den aktuellen Europol-Anrufen werde unter anderem damit geködert, nur mit rascher Kooperation weitere Ermittlungen abwenden zu können.
«Generell sollte man immer aufmerksam werden, wenn eine ungewohnte Kontaktaufnahme stattfindet und man die kontaktaufnehmende Person nicht persönlich kennt», meint Udo Rechenberg vom Landeskriminalamt NRW. Bei Europol-Anrufen erfolge die Gesprächsführung in der Regel auf Englisch und durch eine automatisierte Bandansage mit der Aufforderung zum Drücken einer Telefontaste, um weitere Informationen zu erhalten.
Mit einem sogenannten Drei-Sekunden-Sicherheits-Check können die Risiken laut Landeskriminalamt NRW für Phising-Mails bereits gemindert werden: Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet?
In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails sei der Betreff bewusst vage formuliert, wie «Ihre Rechnung», «Mahnung» oder «Dringende Nachricht».
Erster Grundsatz bei Verdacht auf einen Scam-Anruf: «Am besten auflegen, beziehungsweise die Kommunikation abbrechen», meint BSI-Sprecher Wagner. «Wichtig ist immer, Ruhe zu bewahren und sich nicht unter Druck setzen zu lassen. Dann können fundierte Entscheidungen getroffen und solche Maschen auch erkannt werden.»
Das bestätigt auch Kriminalhauptkommissar Udo Rechenbach: «Generell sollte man keine Daten preisgeben und keine Reaktion auf die Kontaktaufnahme, wie zum Beispiel durch das Drücken einer Zifferntaste, zeigen.» Als Erste-Hilfe-Massnahme bei Online-Betrugsversuchen rät er dazu, seine Passwörter regelmässig zu ändern und eine Anti-Viren-Software über seine digitalen Endgeräte laufen zu lassen.
«Auf keinen Fall sollte auf Links geklickt werden», rät Joachim Wagner vom BSI. Auch vermeintlich harmlose persönliche Informationen in sozialen Netzwerken könnten «von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden», warnt Polizeisprecher Rechenbach.
Wichtig ist auch, nicht auf Aufforderung etwas herunterzuladen: Teilweise fordern die Täter dazu auf, Remote-Apps wie «AnyDesk» oder «Teamwire» zu installieren, damit sie darüber selbst Zugriff auf den Computer bekommen und finanzielle Transaktionen über den Online-Banking-Account des Opfers durchführen können.
In Betrugsfällen sollte Strafanzeige erstattet werden, rät das BSI. «Sie sollten sich immer an Ihre örtliche Polizeibehörde wenden», sagt Udo Rechenbach vom Landeskriminalamt NRW. Das gelte insbesondere dann, wenn mehr als die blosse Kontaktaufnahme erfolgt ist oder bei Kommunikationsversuchen durch angebliche Polizeibehörden.
Versenden von E-Mails mit falscher Absender-Adresse ist heutzutage fast nicht mehr möglich. Aber als Absendername kann man hinschreiben was man will.
Leider zeigen viele Mailprogramme standardmässig nur den Namen an und man muss erst die Details aufklappen, um die Adresse zu sehen.
Merke ferner. Unterschriebe nie und wenn wenn ich sage nie, dann meine ich NIE, etwas zu dem man dich drängen will. Nie, auch wenn es noch so gut und seriös begründet ist. Eine Unterschrift gibt es nur freiwillig und alles andere ist von Grund auf verdächtig.