Die Zahlen sind alarmierend. Rund 6,7 Millionen Phishing-Versuche starteten Cyberkriminelle letztes Jahr in der Schweiz. Das entspricht einem Anstieg von erschreckenden 1000 Prozent. Diese Welle schlägt sich auch in der Kriminalstatistik nieder. Dort stieg die Zahl der gemeldeten Angriffe um 56 Prozent.
Beim Phishing versuchen die Täter über gefälschte E-Mails, Webseiten, Nachrichten, aber auch durch Anrufe, Zugriff auf persönliche Kartendaten zu erlangen – und Geld abzuzweigen. Der Schaden ist immens. Weltweit greifen die Betrüger laut Schätzungen pro Minute 17'700 Dollar ab. In der Schweiz liegt der jährliche Verlust durch Kartenbetrug bei 90 Millionen Franken.
Eine repräsentative Befragung des Forschungsinstituts GFS Bern zeigt nun, wie viele Personen in der Schweiz bereits einmal Opfer von solchen Machenschaften wurden: Es sind 16 Prozent, also jeder Sechste. Gar 41 Prozent wurden bereits einmal von deiner Bank oder deinem Karteninstitut auf verdächtige Transaktionen aufmerksam gemacht. In den meisten Fällen handelte es sich um Phishing-Attacken. Den Auftrag für die Studie hat der Verein Card Security gegeben. Es handelt sich um eine Präventionsinitiative der Polizei und der Kartenherausgeber.
Die Umfrage-Ergebnisse zeigen, dass Aufklärungsarbeit dringend nötig ist. Denn ein Drittel der Opfer konnte im Nachhinein nicht sagen, wie der Datendiebstahl genau erfolgt war. «Das lässt vermuten, dass trotz grundlegendem Wissen über Risiken nicht immer konkrete Schutzmassnahmen getroffen werden – und bestehende Sicherheitslücken offenbleiben», folgern die Studienautoren.
Es klafft also eine Lücke zwischen theoretischem Wissen und dem Verhalten im Alltag. Denn eigentlich, auch das zeigt die Umfrage, kennen die allermeisten den Begriff des Phishing. Kommt es allerdings tatsächlich zu einem Angriff, erkennen die Kartennutzer diesen nicht immer als solchen.
Das hat auch damit zu tun, dass die Angreifer immer perfider vorgehen. Die Zeit der Massen-E-Mails mit unzähligen Schreibfehlern, angeblichen Lottogewinnen und obskurer Absenderadresse sind vorbei. Heute recherchieren die Betrüger gezielt im Netz nach persönlichen Informationen, um ihre Opfer massgeschneidert in die Falle zu locken.
Ein aktuelles Beispiel sind angebliche Rückerstattungen für Krankenkassenrechnungen. Die Versicherten erhalten eine gefälschte Mail und werden per Link auf ein nachgebautes Kundenportal geleitet. Dort sollen sie ihre Kartendaten angeben, um vom «Treuebonus zu profitieren». Sobald man dies tut, lösen die Kriminellen eine Belastung aus.
Immer öfter greifen die Betrüger auf Künstliche Intelligenz zurück, um ihre E-Mails, SMS, Anrufe – oder neuerdings auch QR-Codes – zu personalisieren. So erscheinen die Nachrichten vertrauenswürdiger. Einen besonders perfiden Fall machte der Bund kürzlich publik. Die Betrüger programmierten eine digitale Fake-Version eines Firmenchefs. Der angebliche CEO tauchte dann in einem Video-Call auf und drängte seinen – echten – Finanzchef dazu, rasch eine Zahlung auszulösen. Das Videomaterial für den Fake-Chef ergaunerten die Kriminellen vermutlich durch öffentlich zugängliche Quellen.
«Phishing-Betrüger funktionieren wie psychologisch geschickte Trickbetrüger – einfach digital», erklärt Pascal Simmen, Chef Prävention der Kantonspolizei Schwyz, gegenüber CH Media.
Sie bauen bewusst Emotionen auf, spielen gezielt mit Autorität, Dringlichkeit, Angst, Gier oder Vertrautheit, um das Gegenüber zur Herausgabe von Daten zu bewegen.
Für die Polizei ist die Aufklärung solcher Delikate schwierig bis unmöglich. Bei den Tätern handelt es sich meist um professionelle Banden aus dem Ausland, die den Ermittlern immer einen Schritt voraus sind. Sobald sie die Karten ihrer Opfer mit so viel Geld wie möglich belastet haben, verschieben sie das Raubgut und verschleiern die Spuren. Die Cyberermittler der Behörden versuchen zwar, die Spur aufzunehmen. Doch oft ist der Erfolg gering. Dafür gibt es verschiedene Gründe: Die Datenschutzbestimmungen erschweren den Zugang auf IP-Adressen oder Verbindungsdaten, es braucht langwierige Rechtshilfeersuchen im Ausland, und es fehlen hierzulande die Cyberpolizisten.
Den grössten Hebel haben deshalb die Konsumentinnen und Konsumenten in der Hand (siehe Tipps). Wenn sie Betrügereien rechtzeitig erkennen und abwehren, schont das nicht nur ihr Portemonnaie, sondern auch die Ermittlungsbehörden. Gleichzeitig rüstet die Kartenindustrie auf. Sie setzt nicht nur auf verschiedene Sicherheitsmerkmale wie eine Zwei-Faktor-Authentifizierung. Sie nutzt – wie die Kriminellen – auch künstliche Intelligenz. Damit will die Branche verdächtige Transaktionen erkennen und blockieren. Allerdings sind die Betrüger auch im Umgang mit der neuesten technologischen Errungenschaft vermutlich wieder einen Schritt voraus.
Weil falls da doch mal was echtes dabei war, dann melden die sich dann schon per Briefpost. Und die anderen, die fangen dann meist an zu spammen, was diese dann automatisch entlarvt, weil sie anfangen Variationen einzubauen.
Weil die beste Waffe gegen solche Betrüger ist sie einfach zu ignorieren und Zeit verstreichen zu lassen. Das mögen die gar nicht, da werden sie ungeduldig und dann fangen sie schnell an Fehler zu machen.