Digital
Leben

Betrugsmasche «Social Engineering»: So schützt man sich

Angry young woman looking at smartphone frustrated by no signal or scam message, mad female disappointed by bad news reading on phone, upset girl get negative or rejection response on mobile
Konto plötzlich leergeräumt? Dann bist du vielleicht Opfer einer Social-Engineering-Betrugsmasche geworden.Bild: Shutterstock

Betrugsmasche «Social Engineering»: Was dahintersteckt und wie du dich schützen kannst

04.09.2022, 18:1405.09.2022, 08:06
Evelyn Pohl / watson.de
Mehr «Digital»

Die Europol-Masche, der Enkel-Trick oder das vermeintlich abgeschlossene Lotterieabo: Alle diese Betrügereien haben eines gemeinsam: Die Kriminellen haben für jede und jeden eine passende Geschichte parat, auf die die Opfer hereinfallen.

Die Methode nennt sich Social Engineering und ist im Grunde nichts Neues: Mit einem finanziellen Anliegen melden sich vermeintliche Angehörige wie Kinder oder Enkelkinder, offizielle Beauftragte wie die Polizei (Europol oder Interpol) oder Mitarbeiterinnen von Unternehmen wie Microsoft oder einer Lotteriezentrale, um dem potenziellen Opfer telefonisch oder per Messenger etwas abzupressen – mal sind es sensible Firmendaten, mal die privaten Passwörter oder Kontodaten, oder die Einwilligung, sich aus einem vermeintlich bestehenden Lotterievertrag «frei zu kaufen».

watson hat sich von Experten erklären lassen, wie man Social Engineering erkennt und sich davor schützen kann.

Warum ist es so gefährlich?

«Eine favorisierte Methode ist nicht zu bestimmen. Vielmehr dürfte sich diese aus dem jeweiligen Modus Operandi und der geeigneten Opfergruppe ergeben», sagt Udo Rechenbach, Pressesprecher des Landeskriminalamts Nordrhein-Westfalen auf Nachfrage von watson. Der Fantasie der Betrügerinnen und Betrüger sind dabei keine Grenzen gesetzt.

Hacker nutzen gezielt die Ängste der Menschen

So passiert ist das zum Beispiel kürzlich einer ausländischen Studentin, wie das Magazin «Spiegel» berichtete. Sie erhielt zunächst einen automatischen Anruf mit der Aufforderung, für weitere Informationen die «Eins» auf der Tastatur zu drücken. Daraufhin wurde sie zu einer angeblichen Mitarbeiterin der europäischen Ermittlungsbehörde durchgestellt und im weiteren Verlauf Opfer der sogenannten Europol-Masche.

Der Trick besteht aus Druckaufbau und dem Spiel mit persönlichen Ängsten – im Fall der Studentin Angst vor staatlicher Autorität und dem Verlust des Visums: Sie müsse nun kooperieren, da ihre persönlichen Daten im Zusammenhang mit einem schweren Delikt aufgetaucht seien. Zudem müsse sie mittels sogenannter Kryptobanken ihr gesamtes Bankguthaben auf ein «nationales Sicherungskonto» überweisen, um es vor Missbrauch zu schützen. Auf diese Weise erleichterten sie die Betrüger um 20'000 Euro.

«Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein grosser Zeitdruck bei den Opfern aufgebaut wird.»
Joachim Wagner, Pressesprecher beim BSI

Der Versuch, den Menschen zu «hacken»

Sie wollte nur das Richtige tun, sagte die betrogene Studentin. Das besonders perfide am Social Engineering ist der psychologische Mechanismus: Gegen eine perfekt zugeschnittene Lügengeschichte ist niemand immun.

Je nach Opfer zielen die Täter auf unterschiedliche emotionale Reaktionen ab – Angst, Empathie oder Gier, um an persönliche oder sensible Daten zu gelangen. Im Grunde ist das nichts anderes, als Menschen zu «hacken». Auf der Hackerkonferenz Defcon in Las Vegas gibt es dafür seit über zehn Jahren sogar einen eigenen Wettbewerb.

Grundsätzlich ist es aber beruhigend, dass die allermeisten Betrugsversuche scheitern: «Nur zu einem geringen Teil haben die Täter Erfolg. Dabei überwiegt ein Schaden von 2000 Euro oder weniger, höhere Beutesummen sind die Ausnahme», resümiert der Kriminalbeamte Rechenbach.

Wie erkenne ich Scam-Anrufe?

Joachim Wagner, stellvertretender Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), erläutert auf Nachfrage von watson: «Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein grosser Zeitdruck bei den Opfern aufgebaut wird. Bestimmte Aktionen, wie etwa das Überweisen von Geld, werden binnen kürzester Zeit eingefordert. Oft verbunden mit einer Prognose, die etwas Schlechtes befürchten lässt.»

So werde im Rahmen des Enkeltricks eine schnelle Überweisung gefordert, um eine Notlage zu überwinden. Auch bei den aktuellen Europol-Anrufen werde unter anderem damit geködert, nur mit rascher Kooperation weitere Ermittlungen abwenden zu können.

«Generell sollte man immer aufmerksam werden, wenn eine ungewohnte Kontaktaufnahme stattfindet und man die kontaktaufnehmende Person nicht persönlich kennt», meint Udo Rechenberg vom Landeskriminalamt NRW. Bei Europol-Anrufen erfolge die Gesprächsführung in der Regel auf Englisch und durch eine automatisierte Bandansage mit der Aufforderung zum Drücken einer Telefontaste, um weitere Informationen zu erhalten.

Wie erkenne ich Phishing Mails?

Mit einem sogenannten Drei-Sekunden-Sicherheits-Check können die Risiken laut Landeskriminalamt NRW für Phising-Mails bereits gemindert werden: Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet?

In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails sei der Betreff bewusst vage formuliert, wie «Ihre Rechnung», «Mahnung» oder «Dringende Nachricht».

Wie reagiere ich auf Betrugsmaschen?

Erster Grundsatz bei Verdacht auf einen Scam-Anruf: «Am besten auflegen, beziehungsweise die Kommunikation abbrechen», meint BSI-Sprecher Wagner. «Wichtig ist immer, Ruhe zu bewahren und sich nicht unter Druck setzen zu lassen. Dann können fundierte Entscheidungen getroffen und solche Maschen auch erkannt werden.»

Das bestätigt auch Kriminalhauptkommissar Udo Rechenbach: «Generell sollte man keine Daten preisgeben und keine Reaktion auf die Kontaktaufnahme, wie zum Beispiel durch das Drücken einer Zifferntaste, zeigen.» Als Erste-Hilfe-Massnahme bei Online-Betrugsversuchen rät er dazu, seine Passwörter regelmässig zu ändern und eine Anti-Viren-Software über seine digitalen Endgeräte laufen zu lassen.

Was sollte ich unbedingt vermeiden?

«Auf keinen Fall sollte auf Links geklickt werden», rät Joachim Wagner vom BSI. Auch vermeintlich harmlose persönliche Informationen in sozialen Netzwerken könnten «von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden», warnt Polizeisprecher Rechenbach.

Wichtig ist auch, nicht auf Aufforderung etwas herunterzuladen: Teilweise fordern die Täter dazu auf, Remote-Apps wie «AnyDesk» oder «Teamwire» zu installieren, damit sie darüber selbst Zugriff auf den Computer bekommen und finanzielle Transaktionen über den Online-Banking-Account des Opfers durchführen können.

Wohin können Opfer sich wenden?

In Betrugsfällen sollte Strafanzeige erstattet werden, rät das BSI. «Sie sollten sich immer an Ihre örtliche Polizeibehörde wenden», sagt Udo Rechenbach vom Landeskriminalamt NRW. Das gelte insbesondere dann, wenn mehr als die blosse Kontaktaufnahme erfolgt ist oder bei Kommunikationsversuchen durch angebliche Polizeibehörden.

Die Schweizerische Kriminalprävention (SKPPSC) schreibt auf ihrer Website: «Wer auf Betrügerinnen und Betrüger hereingefallen ist, sollte sich nicht schämen, die Polizei zu informieren. Betrügerinnen und Betrüger gehen teilweise sehr raffiniert vor, und jede und jeder kann unter Umständen zum Opfer werden. Obwohl es in vielen (vor allem Online-)Betrugsfällen unwahrscheinlich ist, verlorenes Geld zurückzuerhalten, sollte man trotzdem bei der Polizei Anzeige erstatten. Auch diejenigen, die im letzten Moment das Täuschungsmanöver einer Betrügerin oder eines Betrügers erkannt haben, sollten sich umgehend bei der Polizei melden, auch ein Betrugsversuch ist strafbar!»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Verblüffend scharfe Bilder zeigen die Titanic wie nie zuvor
Video: watson
Das könnte dich auch noch interessieren:
48 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Overton Window
04.09.2022 18:49registriert August 2022
Am lustigsten finde ich diejenigen, die mich beim Wixen vor dem Bildschirm gefilmt haben und Lösegeld von mir verlangen, weil sie mich sonst bei meiner Frau verpetzen. Echt ätzend die Kerle. Denen fehlt eine Weitwinkel-Kamera, sonst hätten sie gesehen, dass meine Frau in besagter Situation unter dem Tisch war...
12114
Melden
Zum Kommentar
avatar
ch.vogel
04.09.2022 19:39registriert Mai 2014
Das Allerwichtigste beim Prüfen des Absenders: Wie lautet die effektive E-Mail-Adresse des Absenders, nicht nur der Name.

Versenden von E-Mails mit falscher Absender-Adresse ist heutzutage fast nicht mehr möglich. Aber als Absendername kann man hinschreiben was man will.

Leider zeigen viele Mailprogramme standardmässig nur den Namen an und man muss erst die Details aufklappen, um die Adresse zu sehen.
601
Melden
Zum Kommentar
avatar
Macca_the_Alpacca
04.09.2022 18:26registriert Oktober 2021
Merke: Deine Bank scheibt dir nie und wenn wenn ich sage nie, dann meine ich NIE eine Mail. Wenn du Kontakt zur Bank hast, dann nur zu der Person, die du persönlich aus einem 4 Augen Gesprächen kennst. Diese Person wird dir nie und wenn wenn ich sage nie, dann meine ich NIE eine solche Story auftischen.

Merke ferner. Unterschriebe nie und wenn wenn ich sage nie, dann meine ich NIE, etwas zu dem man dich drängen will. Nie, auch wenn es noch so gut und seriös begründet ist. Eine Unterschrift gibt es nur freiwillig und alles andere ist von Grund auf verdächtig.
7017
Melden
Zum Kommentar
48
Wenn ein «Philosoph» zum Kriegs-Verharmloser mutiert – der tiefe Fall des Richard David P.
Ein aktuelles Interview, in dem sich Richard David Precht zum verbrecherischen Angriffskrieg Russlands gegen die Ukraine äussert, hat sehr viel Kritik ausgelöst. Eine Einordnung.

Richard David Precht ist vieles, aber nicht dumm.

Zur Story