Betrug im Internet Neun Tipps gegen die Tricks der Datendiebe

Mit immer neuen Methoden versuchen Betrüger die privaten Daten von Netznutzern auszuspionieren. Der neueste Trend: Attacken in sozialen Netzwerken wie Facebook und Co.. Ein Überblick über die fiesesten Tricks - und wie man sich dagegen schützt.
Foto: A3250 Oliver Berg/ dpa

"Was ist denn das für eine E-Mail aus Russland? Na, mal sehen... Ich habe 1000 Euro gewonnen? Wie schön, her damit!"

Klick auf den Link - und schon ist der Rechner mit Schadsoftware infiziert.

Gut, um auf so eine einfache Masche hereinzufallen, muss man schon außergewöhnlich resistent gegen Warnhinweise sein - doch man täusche sich nicht: Laut den Berichten von Polizei und Datenschützern scheint der Trick mit Betrugs-E-Mails bei vielen Internet-Nutzern immer noch zu funktionieren.

Dabei sind solche Trick-E-Mails beileibe nicht die einzige Gefahr im Netz. Mit immer neuen Methoden versuchen Kriminelle, an die privaten Daten von Nutzern zu gelangen, um sie für ihre Zwecke zu missbrauchen - und immer wichtiger werden dabei soziale Netzwerke wie Facebook und Co.. In der Fachwelt hat das Phänomen einen eigenen Namen: Social Engineering. Die Betrüger nutzen dabei gezielt menschliche Eigenschaften und Schwächen aus: Gier, Neugier, Angst, Lust. Spammer, Trickbetrüger und Internet-Vandalen setzen die Tricks ebenso ein wie Geheimdienste und Industriespione.

Social Engineering bedeutet, Menschen und ihr Sozialgefüge derart zu manipulieren, dass diese bereitwillig Geld, Informationen oder Privatfotos herausrücken. Die Betrüger versprechen häufig hohe Gewinne oder gesteigertes soziales Ansehen, täuschen Freundschaften vor, geben mit vermeintlichem Intimwissen an oder bringen ihre Opfer in soziale Bredouille - und bieten dann einen Ausweg an. Für jedes Bedürfnis erfinden die Gauner eine Falle - und im Internet fällt den Tricksern der Fallenbau besonders leicht.

Wirtschaftsspionage

Vor ihnen gefeit ist niemand - das zeigen beispielsweise die hohen Fallzahlen aus dem Bereich der : Laut einer Umfrage des Sicherheitsforums Baden-Württemberg  wurden etwa 13 Prozent aller Betrugsfälle in betroffenen Firmen mithilfe von Social Engineering ausgeführt.

Phishing

Jeder Surfer erlebt täglich Social-Engineering-Angriffe: als -Mail, Nigeria-Scam, als Kettenbrief im sozialen Netzwerk oder als Telefonanruf, der einen Lotteriegewinn verspricht - und dann will doch nur jemand an Privatdaten herankommen. Was Social Engineering genau ist, welche Spielarten es gibt, darüber informiert ein immer noch interessantes Paper der Europäischen IT-Sicherheitsbehörde Enisa  aus dem Jahr 2008.

Sensible Daten, arglose Mitarbeiter

Wer sich schützen will, ob Firma oder Privatmensch, muss die Maschen der Manipulatoren kennen - und seine eigenen Schwächen. Die größte Sicherheitslücke, spotten Sicherheitsexperten und Netzwerk-Administratoren in Firmen gerne, ist der Mensch. Das komplexeste Passwort, das ausgeklügeltste Sicherheitskonzept verpuffen, wenn Mitarbeiter Firmendaten auf Privatrechner kopieren, wenn Rechner übers Wochenende angeschaltet bleiben, geheime Informationen über unsichere Kanäle verschickt werden.

Hacker

Oft sind Mitarbeiter erstaunlich arglos, wenn es um Firmengeheimnisse geht: In einer Studie verrieten mehr als 70 Prozent der Probanden unbekannten Personen für ein Stückchen Schokolade ihr geheimes Firmenpasswort . Kevin Mitnick, ein berühmter der achtziger und neunziger Jahre, sagte einmal, dass er sich selten die Mühe machen müsse, Passwörter zu knacken - denn seine Opfer rückten selbst damit heraus.

Besonders leicht lassen sich Menschen von folgenden Personen beeinflussen:

  • von angeblichen Autoritäten,

Soziale Netzwerke

  • von Menschen, die ihnen sympathisch sind, oder denen sie etwas zu schulden glauben,
  • von Menschen, die unter Zeitdruck ein scheinbar wertvolles Angebot machen,
  • von Menschen, die das Plazet Dritter bekommen haben. wie Facebook sind deswegen besonders beliebt bei Betrügern - in ihnen können sie leicht eine Schar angeblicher Verbündeter um sich sammeln, die ihre betrügerischen Absichten legitim erscheinen lassen. Im schlimmsten Fall helfen die Opfer sogar dabei, neue Opfer zu finden: Indem sie fragwürdige Empfehlungen bei Facebook verbreiten oder private E-Mail-Adressen über das CC-Feld enthüllen.

Wie kann man den Datenschnüfflern entkommen? Lesen Sie hier über einige gefährliche Methoden von Internet-Tricksern - und Empfehlungen, wie man sich davor schützt:

DDos-Angriff auf den Traumpartner

Wer sich im Internet auf die Partnersuche macht, muss mit großer Konkurrenz rechnen: Rund fünf Millionen Deutsche, sagt eine Online-Studie von ARD und ZDF , suchen auf Flirt-Portalen und Singlebörsen nach einem Partner. In sozialen Netzwerken wie Facebook wird rund um die Uhr geflirtet. Jeder zweite deutsche Surfer zwischen 35 und 60 Jahren hat schon einmal im Internet sein Liebesglück gesucht . Viele geben für professionelle Suchdienste sogar Geld aus .

Ein Nutzer des Netzwerks Reddit namens "Cliffor" wollte sich mit all dieser Konkurrenz nicht abgeben und startete eine miese Flirt-Kampagne . Zusammen mit Freunden erstellte er 50 falsche Frauen-Profile beim amerikanischen Dating-Netzwerk Ok Cupid. Sein Ziel: Die männliche Konkurrenz in seinem ziemlich kleinen Heimatort sollte sich auf die Neuankömmlinge stürzen - und Cliffor den Weg frei machen zu seiner Traumfrau.

Cliffors Freunde steuerten die Fake-Profile wie Marionetten, flirteten mit all den heterosexuellen, top-aussehenden Männern - Cliffor stürzte sich derweil im Aufmerksamkeitsschatten auf sein Opfer.

"Es hat funktioniert," behauptet Cliffor. "Während alle, vor allem die Traumtypen, mit Fake-Frauen zu tun hatten, habe ich ein Date mit einer Frau ausmachen können, die ansonsten eine Nummer zu groß für mich gewesen wäre." Nach zwei Verabredungen landeten sie im Bett, sie sehen sich noch immer. "Aber ich will nicht, dass sie oder irgendjemand anderes herausfindet, wie ich sie bekommen habe." In der Liebe und im Krieg, fügt Cliffor entschuldigend an, sei eben alles erlaubt…

Schutzmaßnahme: Keine. Dieser Trick trifft gleich zwei Opfer: die gierigen Abgelenkten und das um Alternativen ärmere Ziel.

Die Betreiber von Singlebörsen untersagen ihren Mitgliedern die Erstellung falscher Profile - wer ertappt wird, dem droht aber nur die Profillöschung.

Plumpe Masche mit Zwangsouting

Zugegeben, die Masche ist platt, die Geschichte alt: Aber was Störenfried Jason Fortuny im Sommer 2007 auf der US-Kleinanzeigenseite Craigslist anrichtete, sollte noch heute ein mahnendes Zeichen für alle sein, die im Schutz vermeintlicher Privatsphäre allzu leicht ihr Vertrauen ausnutzen lassen. Unter dem Namen "Fortuny" stellte er eine reichlich derbe Sex-Kontaktanzeige als angeblich nymphoman-devote Frau bei Craigslist online und sammelte innerhalb von 24 Stunden knapp 200 Antworten - die er dann mit allen Details, Fotos, E-Mail-Adressen und Telefonnummern in einem Wiki veröffentlichte, also der Welt zum Fraß vorwarf.

Schutzmaßnahme: Misstrauen. Offenbaren Sie Internet-Fremden keine Details, die nicht auch öffentlich sein dürften. Telefon-Check, Kennenlernen, anonymisierte Bilder. Professionelle Dating-Seiten fordern einen Identitäts-Check für ihre Mitglieder, um so etwas zu verhindern.

Blogger gibt sich als Google-Chef aus

Tech-Blogger Michael Arrington machte sich einen Spaß daraus, eine Sicherheitslücke sozialer Netzwerke am Beispiel des Google-Chefs zu demonstrieren. Er gab sich als Google-Geschäftsführer Eric Schmidt aus - und bekam Kontakt zu anderen Silicon-Valley-Berühmtheiten. Der falsche Schmidt war auf diese Weise schnell mit YouTube-Gründer Chad Hurley und dem Facebook-Manager Elliot Schrage verbunden. Durch diese glaubwürdigen Fürsprecher erschien das falsche Profil noch echter - und "die Einladungen strömten nur so herein", schreibt Arrington. Dem Tech-Blogger spielte bei der Aktion in die Hände, dass Schmidt kein offizielles Facebook-Profil hat und er selbst die echte E-Mail-Adresse Schmidts kannte.

Mit ähnlichen Methoden kann sich jeder das Vertrauen von Menschen im Internet erschleichen: Letztlich kann niemand überprüfen, welcher Mensch wirklich hinter einem Facebook-, Flirt- oder Twitter-Profil steckt.

Gegenmaßnahme: Hier sind die Netzwerkbetreiber gefragt, die Sicherheitsmechanismen installieren müssen, die einen Identitätsdiebstahl verhindern. Hundertprozentige Sicherheit wird es nie geben - im Zweifelsfall müssen die neuen Freunde eben per Telefoncheck überprüft werden. Grundsätzlich gilt auch hier: Niemandem im Internet etwas anvertrauen, das nicht genauso gut öffentlich sein könnte.

Der Fall Stuxnet - Sicherheitslücke USB-Stick?

Stuxnet

Wie gelangt ein Sabotage-Wurm vom Kaliber eines in eine Industrie-Anlage? Ein wahrscheinlicher Einfallsweg ist ein herrenloser USB-Stick, der von den Hackern vor dem Firmengebäude oder der Wohnung eines Mitarbeiters liegengelassen wird. Jeder normale Mensch würde den Stick aus Neugier an seinen (Büro-)Rechner anschließen - eine Schadsoftware gelangt so an allen Internet-Firewalls vorbei auf die Firmenrechner und kann sich von dort aus weiterverbreiten. So ein Angriff wurde bereits erfolgreich von Sicherheitsexperten an einer US-Bank ausprobiert.

Gegenmaßnahme: Gezügelte Neugier. Probieren Sie niemals gefundene USB-Sticks am eigenen Rechner aus, deaktivieren Sie die Autorun-Funktion für USB-Sticks (in neuen Windows-Versionen standardmäßig deaktiviert) und halten Sie Ihren Virenschutz auf neuestem Stand.

Sicheres Online-Banking? Social Engineering knackt jede TAN

Diese Angriffsmasche muss man längst als Klassiker bezeichnen: Um an die (wirklich geheimen) TAN-Nummern zu gelangen, nehmen potentielle Kontodiebe Kontakt mit ihren Opfern auf, geben sich als Bank-Mitarbeiter aus, als Service-Stelle oder sogar Polizei-Kommissariat. Aus Sicherheitsgründen, sagen sie am Telefon, per Web-Chat oder einfach nur in einer gefälschten E-Mail, müsse der Kunde seine aktuellen TANs abgleichen. Mit traditionellen Hack-Tricks überweisen die Betrüger daraufhin Geld auf das eigene Geldwäsche-Konto.

Gegenmaßnahme: Niemals wird irgendwer Ihre TAN-Nummern erfragen. Kaum eine Bank verschickt Kunden-E-Mails fürs Online-Banking. Setzen Sie einen aktuellen Browser mit Phishing- und Cross-Site-Scripting-Schutz ein. Überprüfen Sie das Sicherheitszertifikat in ihrer Browser-Adresszeile.

Ich weiß, wer du bist - also vertrau mir, bitteschön!

Die Zeit der anonymen Netzreisen ist vorbei! Heute muss man davon ausgehen, dass eine Website weiß, wer sie gerade besucht - sei es wegen unlöschbarer Cookies, wegen digitaler Fingerabdrücke, die Browser hinterlassen oder weil Websites in die Surf-Vergangenheit ihrer Besucher schauen können.

Mit diesem Wissen können sich Angreifer einen Vertrauensbonus erschleichen, indem sie Bekanntschaft vorgaukeln. Etwa indem sich ein Chat-Fenster öffnet: "Hallo Peter, kommst du morgen zur Frühschicht? Petra meinte, ich soll mich bei Dir melden."

Diesen Trick nutzen heute schon Sex-Seiten aus, die dem Surfer etwa "Heiße Boys aus Buxtehude" anbieten - oder Kaufartikel, die Facebook-Freunde gut finden.

Gegenmaßnahme: Seien Sie sich bewusst, dass sie nicht anonym surfen. Überprüfen Sie überraschende Anfragen von Freunden per Telefoncheck oder durch eine E-Mail an eine (hoffentlich) vertrauenswürdige Adresse.

Was Hütchenspiel und Casino-Betrug gemeinsam haben

Die wahren Gauner, das sind die Komplizen. Wieder und wieder gewinnen sie augenscheinlich gegen den Hütchenspieler - so lange, bis das Opfer über die eigene Gier stolpert und alle Vorsicht fahren lässt. Aufgabe des Hütchenspielers ist es am Ende nur, die Kugel verschwinden und an der richtigen Stelle wieder auftauchen zu lassen. Den Gewinn streicht die Bande ein.

Im Internet funktioniert diese Masche nicht anders: Etwa beim Roulettebetrug wird den potentiellen Opfern weißgemacht, sie könnten mit einem einfachen Spielsystem das Online-Roulette austricksen. Via YouTube werden Anleitungsvideos verteilt - die über Mittelsleute vom Casino-Betreiber lanciert wurden. Roulette-Systeme funktionieren nie ( wie ein Mathematiker bei YouTube erklärt ) - am Ende gewinnt das Casino, und alle Mittelsleute werden mit Link-Provisionen beteiligt. Der Trick ist: Die angeblich Unbeteiligten schaffen Vertrauen in die Spielstärke des Opfers, das dermaßen (selbst-)getäuscht viel verlieren wird. Je größer das Selbstvertrauen, desto mehr Schaden entsteht dem Opfer. Ein perfider Trick.

Gegenmaßnahme: Nichts ist umsonst, schon gar nicht der schnelle Gewinn. Vertrauen Sie keinen "Funktioniert schon"-Aussagen von Unbekannten.

Der überforderte Admin - Deine Domain gehört jetzt mir

Wie erbeuten Internet-Gauner eigentlich die Web-Adressen großer Firmen, sogar Banken? Ein (mittlerweile veralteter) Trick setzt auf Social Engineering: Mit massenhaften Mail-Anfragen, die scheinbar vom Domain-Registrator stammen, wird der Seitenverwalter überfordert - und in die versehentliche Annahme einer Domain-Änderung getrieben. Das funktioniert so: Der Betrüger beantragt eine Domain-Umleitung beim Domain-Registrator, der daraufhin eine E-Mail an den Seitenbesitzer schickt: Wollen Sie das wirklich? Zeitgleich schickt der Betrüger Dutzende ähnliche Mails, die der offiziellen E-Mail zum Verwechseln ähnlich sehen. Im Postfach des Opfers erscheinen nun 20, 30 identische E-Mails - offensichtlich Spam … Das Opfer löscht aus Faulheit und Misstrauen alle E-Mails und ignoriert damit auch die legitime Warnung. Mit etwas Glück gehört die Banken-Domain nun dem Betrüger, der etwas Online-Banking-Kunden auf seine eigene Betrugsseite umleiten und ihre TAN-Nummern stehlen kann.

Gegenmaßnahme: Seien Sie besonders sorgfältig mit wichtigen E-Mails, rufen Sie bei ihrer Bank, ihrem Internet-Dienstleister an und überprüfen die Legitimität von deren Nachrichten - so wie man sich auch immer den Dienstausweis eines Polizeibeamten zeigen lassen sollte, wenn der an der Tür klopft. Achten Sie auf die Bearbeitungs- oder Registrierungsnummer, korrekte Rechtschreibung, ungewöhnliche Absendezeiten.

So clever missbrauchen Online-Gangster Facebook

Diese clevere Betrugsmasche überraschte die Sicherheitsexperten von Panda Labs : Per Massenmail warnten die Betrüger Millionen von E-Mail-Empfängern vor einer gefährlichen Facebook-Anwendung, die sich jedoch leicht deaktivieren lasse - einfach, indem man in seinen Facebook-Einstellungen nach einem bestimmten Eintrag sucht. Das Problem: Diese Einstellung gab es nicht. Die Angesprochenen verbreiteten die Warnung über ihre Status-Meldungen (und legitimierten damit die Betrüger-Warnung), suchten via Google nach einer Lösung - und stießen ganz oben in den Suchergebnissen auf eine Website, die eine Software bewirbt, die genau das in der Spam-Mail angesprochene "Unnamed App"-Problem löst. Diese Software ist freilich nur eine Scareware - ein angebliches Sicherheitsprodukt, das für viel Geld einen Phantom-Schaden behebt.

Gegenmaßnahme: Misstrauen Sie Warnungen, die sich schnell in sozialen Netzwerken verbreiten, die sie über ungewöhnlichem Weg erreichen (ja, dazu gehört auch E-Mail) und halten sie ihre Antivirus-Software immer auf dem neuesten Stand. Letztlich gilt: Installieren Sie so wenige Facebook-Anwendungen wie nur irgendwie möglich. Betrügerische Apps verbreiten sich wie ein Lauffeuer und täuschen Legitimität vor.

Die Wiedergabe wurde unterbrochen.