freundlich
DE | FR
47
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Digital
Leben

Betrugsmasche «Social Engineering»: So schützt man sich

Angry young woman looking at smartphone frustrated by no signal or scam message, mad female disappointed by bad news reading on phone, upset girl get negative or rejection response on mobile
Konto plötzlich leergeräumt? Dann bist du vielleicht Opfer einer Social-Engineering-Betrugsmasche geworden.Bild: Shutterstock

Betrugsmasche «Social Engineering»: Was dahintersteckt und wie du dich schützen kannst

04.09.2022, 18:1405.09.2022, 08:06
Evelyn Pohl / watson.de

Die Europol-Masche, der Enkel-Trick oder das vermeintlich abgeschlossene Lotterieabo: Alle diese Betrügereien haben eines gemeinsam: Die Kriminellen haben für jede und jeden eine passende Geschichte parat, auf die die Opfer hereinfallen.

Die Methode nennt sich Social Engineering und ist im Grunde nichts Neues: Mit einem finanziellen Anliegen melden sich vermeintliche Angehörige wie Kinder oder Enkelkinder, offizielle Beauftragte wie die Polizei (Europol oder Interpol) oder Mitarbeiterinnen von Unternehmen wie Microsoft oder einer Lotteriezentrale, um dem potenziellen Opfer telefonisch oder per Messenger etwas abzupressen – mal sind es sensible Firmendaten, mal die privaten Passwörter oder Kontodaten, oder die Einwilligung, sich aus einem vermeintlich bestehenden Lotterievertrag «frei zu kaufen».

watson hat sich von Experten erklären lassen, wie man Social Engineering erkennt und sich davor schützen kann.

Warum ist es so gefährlich?

«Eine favorisierte Methode ist nicht zu bestimmen. Vielmehr dürfte sich diese aus dem jeweiligen Modus Operandi und der geeigneten Opfergruppe ergeben», sagt Udo Rechenbach, Pressesprecher des Landeskriminalamts Nordrhein-Westfalen auf Nachfrage von watson. Der Fantasie der Betrügerinnen und Betrüger sind dabei keine Grenzen gesetzt.

Hacker nutzen gezielt die Ängste der Menschen

So passiert ist das zum Beispiel kürzlich einer ausländischen Studentin, wie das Magazin «Spiegel» berichtete. Sie erhielt zunächst einen automatischen Anruf mit der Aufforderung, für weitere Informationen die «Eins» auf der Tastatur zu drücken. Daraufhin wurde sie zu einer angeblichen Mitarbeiterin der europäischen Ermittlungsbehörde durchgestellt und im weiteren Verlauf Opfer der sogenannten Europol-Masche.

Der Trick besteht aus Druckaufbau und dem Spiel mit persönlichen Ängsten – im Fall der Studentin Angst vor staatlicher Autorität und dem Verlust des Visums: Sie müsse nun kooperieren, da ihre persönlichen Daten im Zusammenhang mit einem schweren Delikt aufgetaucht seien. Zudem müsse sie mittels sogenannter Kryptobanken ihr gesamtes Bankguthaben auf ein «nationales Sicherungskonto» überweisen, um es vor Missbrauch zu schützen. Auf diese Weise erleichterten sie die Betrüger um 20'000 Euro.

«Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein grosser Zeitdruck bei den Opfern aufgebaut wird.»
Joachim Wagner, Pressesprecher beim BSI

Der Versuch, den Menschen zu «hacken»

Sie wollte nur das Richtige tun, sagte die betrogene Studentin. Das besonders perfide am Social Engineering ist der psychologische Mechanismus: Gegen eine perfekt zugeschnittene Lügengeschichte ist niemand immun.

Je nach Opfer zielen die Täter auf unterschiedliche emotionale Reaktionen ab – Angst, Empathie oder Gier, um an persönliche oder sensible Daten zu gelangen. Im Grunde ist das nichts anderes, als Menschen zu «hacken». Auf der Hackerkonferenz Defcon in Las Vegas gibt es dafür seit über zehn Jahren sogar einen eigenen Wettbewerb.

Grundsätzlich ist es aber beruhigend, dass die allermeisten Betrugsversuche scheitern: «Nur zu einem geringen Teil haben die Täter Erfolg. Dabei überwiegt ein Schaden von 2000 Euro oder weniger, höhere Beutesummen sind die Ausnahme», resümiert der Kriminalbeamte Rechenbach.

Wie erkenne ich Scam-Anrufe?

Joachim Wagner, stellvertretender Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), erläutert auf Nachfrage von watson: «Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein grosser Zeitdruck bei den Opfern aufgebaut wird. Bestimmte Aktionen, wie etwa das Überweisen von Geld, werden binnen kürzester Zeit eingefordert. Oft verbunden mit einer Prognose, die etwas Schlechtes befürchten lässt.»

So werde im Rahmen des Enkeltricks eine schnelle Überweisung gefordert, um eine Notlage zu überwinden. Auch bei den aktuellen Europol-Anrufen werde unter anderem damit geködert, nur mit rascher Kooperation weitere Ermittlungen abwenden zu können.

«Generell sollte man immer aufmerksam werden, wenn eine ungewohnte Kontaktaufnahme stattfindet und man die kontaktaufnehmende Person nicht persönlich kennt», meint Udo Rechenberg vom Landeskriminalamt NRW. Bei Europol-Anrufen erfolge die Gesprächsführung in der Regel auf Englisch und durch eine automatisierte Bandansage mit der Aufforderung zum Drücken einer Telefontaste, um weitere Informationen zu erhalten.

Wie erkenne ich Phishing Mails?

Mit einem sogenannten Drei-Sekunden-Sicherheits-Check können die Risiken laut Landeskriminalamt NRW für Phising-Mails bereits gemindert werden: Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet?

In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails sei der Betreff bewusst vage formuliert, wie «Ihre Rechnung», «Mahnung» oder «Dringende Nachricht».

Wie reagiere ich auf Betrugsmaschen?

Erster Grundsatz bei Verdacht auf einen Scam-Anruf: «Am besten auflegen, beziehungsweise die Kommunikation abbrechen», meint BSI-Sprecher Wagner. «Wichtig ist immer, Ruhe zu bewahren und sich nicht unter Druck setzen zu lassen. Dann können fundierte Entscheidungen getroffen und solche Maschen auch erkannt werden.»

Das bestätigt auch Kriminalhauptkommissar Udo Rechenbach: «Generell sollte man keine Daten preisgeben und keine Reaktion auf die Kontaktaufnahme, wie zum Beispiel durch das Drücken einer Zifferntaste, zeigen.» Als Erste-Hilfe-Massnahme bei Online-Betrugsversuchen rät er dazu, seine Passwörter regelmässig zu ändern und eine Anti-Viren-Software über seine digitalen Endgeräte laufen zu lassen.

Was sollte ich unbedingt vermeiden?

«Auf keinen Fall sollte auf Links geklickt werden», rät Joachim Wagner vom BSI. Auch vermeintlich harmlose persönliche Informationen in sozialen Netzwerken könnten «von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden», warnt Polizeisprecher Rechenbach.

Wichtig ist auch, nicht auf Aufforderung etwas herunterzuladen: Teilweise fordern die Täter dazu auf, Remote-Apps wie «AnyDesk» oder «Teamwire» zu installieren, damit sie darüber selbst Zugriff auf den Computer bekommen und finanzielle Transaktionen über den Online-Banking-Account des Opfers durchführen können.

Wohin können Opfer sich wenden?

In Betrugsfällen sollte Strafanzeige erstattet werden, rät das BSI. «Sie sollten sich immer an Ihre örtliche Polizeibehörde wenden», sagt Udo Rechenbach vom Landeskriminalamt NRW. Das gelte insbesondere dann, wenn mehr als die blosse Kontaktaufnahme erfolgt ist oder bei Kommunikationsversuchen durch angebliche Polizeibehörden.

Die Schweizerische Kriminalprävention (SKPPSC) schreibt auf ihrer Website: «Wer auf Betrügerinnen und Betrüger hereingefallen ist, sollte sich nicht schämen, die Polizei zu informieren. Betrügerinnen und Betrüger gehen teilweise sehr raffiniert vor, und jede und jeder kann unter Umständen zum Opfer werden. Obwohl es in vielen (vor allem Online-)Betrugsfällen unwahrscheinlich ist, verlorenes Geld zurückzuerhalten, sollte man trotzdem bei der Polizei Anzeige erstatten. Auch diejenigen, die im letzten Moment das Täuschungsmanöver einer Betrügerin oder eines Betrügers erkannt haben, sollten sich umgehend bei der Polizei melden, auch ein Betrugsversuch ist strafbar!»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Verblüffend scharfe Bilder zeigen die Titanic wie nie zuvor

Video: watson

Das könnte dich auch noch interessieren:

47 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Overton Window
04.09.2022 18:49registriert August 2022
Am lustigsten finde ich diejenigen, die mich beim Wixen vor dem Bildschirm gefilmt haben und Lösegeld von mir verlangen, weil sie mich sonst bei meiner Frau verpetzen. Echt ätzend die Kerle. Denen fehlt eine Weitwinkel-Kamera, sonst hätten sie gesehen, dass meine Frau in besagter Situation unter dem Tisch war...
12114
Melden
Zum Kommentar
avatar
ch.vogel
04.09.2022 19:39registriert Mai 2014
Das Allerwichtigste beim Prüfen des Absenders: Wie lautet die effektive E-Mail-Adresse des Absenders, nicht nur der Name.

Versenden von E-Mails mit falscher Absender-Adresse ist heutzutage fast nicht mehr möglich. Aber als Absendername kann man hinschreiben was man will.

Leider zeigen viele Mailprogramme standardmässig nur den Namen an und man muss erst die Details aufklappen, um die Adresse zu sehen.
601
Melden
Zum Kommentar
avatar
Macca_the_Alpacca
04.09.2022 18:26registriert Oktober 2021
Merke: Deine Bank scheibt dir nie und wenn wenn ich sage nie, dann meine ich NIE eine Mail. Wenn du Kontakt zur Bank hast, dann nur zu der Person, die du persönlich aus einem 4 Augen Gesprächen kennst. Diese Person wird dir nie und wenn wenn ich sage nie, dann meine ich NIE eine solche Story auftischen.

Merke ferner. Unterschriebe nie und wenn wenn ich sage nie, dann meine ich NIE, etwas zu dem man dich drängen will. Nie, auch wenn es noch so gut und seriös begründet ist. Eine Unterschrift gibt es nur freiwillig und alles andere ist von Grund auf verdächtig.
7017
Melden
Zum Kommentar
47
Beim Waschen und Baden könnte ich viel sparen. Schaffe ich das?
Vor dem Thema Wasser und Energiesparen fürchte ich mich seit Beginn dieses Blogs. Und das nicht nur, weil wir ein Haushalt voller Warmduscher sind ...

Warmwasser sparen in einem Haus mit zwei Teenagern – eine ziemlich grosse Herausforderung. Denn mit Teenies läuft die Waschmaschine etwa in der gleichen Frequenz wie mit Babys und Kleinkindern: ständig. Nicht nur, weil es ihnen unmöglich ist, die gleichen Klamotten zweimal hintereinander zu tragen, ohne sie zu waschen, sondern auch, weil Vorausschauen so gar nicht ihr Ding ist. Selbstverständlich befindet sich die Hose, welche die 18-Jährige am nächsten Tag unbedingt zur Schule anziehen MUSS, gerade im Wäschekorb (als hätte sie keine anderen), und muss noch schnell gewaschen werden. Einzeln. Auf die Idee, andere Sachen mitzuwaschen, kommt man natürlich nicht. Zum Beispiel die Shirts des Bruders. Der hat auch nicht dran gedacht, dass es unklug ist, am Sonntag das letzte schwarze Shirt anzuziehen, wenn bei der Arbeit, die morgen wieder beginnt, Schwarzes-Shirt-Pflicht ist. Und wäscht seine Shirts dann auch noch separat. Inklusive tumblern natürlich.

Zur Story