Wer keine Lust hat, sich mit schweren Einkaufstaschen durch überfüllte Shopping-Meilen zu drängeln, kauft Weihnachtsgeschenke online. Glaubt man dem Sicherheitsspezialisten G Data aus Bochum, nutzen das auch Cyber-Kriminelle. Sie versuchen, an persönliche Daten zu kommen oder Anwender-PCs mit Malware zu verseuchen.
Folgende fünf Tricks sind G Data aufgefallen
1. E-Mails mit Lockangeboten: Die Betrüger versprechen Markenprodukte wie Luxus-Uhren oder teure Designer-Schuhe zu sehr günstigen Preisen. Die eingebundenen Links locken Anwender entweder auf eine mit Schadcode verseuchte Website oder auf einen gefälschten Online-Shop, bei dem unter anderem die Bankdaten bei einem Bestellvorgang gestohlen werden. Solche Mails sind oft an Betreffzeilen wie "Weihnachtsverkauf, Tausende Luxus-Artikel für unter 100 Dollar" zu erkennen.
2. Online-Banking-Betrug: Online-Banking ist bei Käufern von Weihnachtsgeschenken im Internet sehr beliebt. Laut G Data setzen Kriminelle daher verstärkt Banking-Trojaner ein, um sich in Zahlungsvorgänge einzuschalten und das Geld auf ihre Konten umzuleiten. Dabei kann der Anwender-PC über verschiedene Wege infiziert werden: Der Nutzer erhält beispielsweise eine gefälschte Nachricht einer Bank, dass ein Online-Bezahlvorgang nicht funktioniert hat. Um die Transaktion zu wiederholen, soll der Bankkunde den eingebundenen Link anklicken - dieser führt ihn auf eine Webseite, die mit einem Banking-Trojaner infiziert ist.
3. Angebliche Mails vom Paketdienst: Üblicherweise lassen die Kunden ihre Bestellung vom Paketdienst liefern. Kriminelle nutzen dies aus und versenden gefälschte Mails mit Versandbestätigung und Rechnung. Die Nachrichten suggerieren beispielsweise, dass ein Päckchen nicht zugestellt werden konnte, oder, dass eine neue Rechnung für einen Versandauftrag im Rechnungs-Center zu finden sei. Die Mail enthält dann zusätzlich einen Dateianhang, in dem sich ein Keylogger verbirgt. Klickt ein Nutzer die angehängte Datei an, führt sich der Schädling aus und späht künftig alle Tastatureingaben, wie zum Beispiel Login-Daten zu Bezahldiensten oder Online-Banking, aus.
4. Angebliche Bezahldienstleister-Mails: Die Betrüger verschicken gefälschte Mails von Bezahldienstleistern mit der Nachricht, dass das Nutzerkonto aufgrund angeblicher Unregelmäßigkeiten gesperrt wurde oder ein Bezahlvorgang nicht funktioniert habe. Um die Zahlung zu wiederholen oder das Konto zu entsperren, soll der Empfänger den integrierten Link anklicken. Dieser führt, ähnlich wie bei den Mails mit den Lockangeboten, auf eine gefälschte Seite. Über diese stehlen die Cyber-Kriminellen Nutzerdaten oder schleusen Schadcode ein.
5. Gefälschte Online-Weihnachtsgrüße: Eine weitere beliebte Masche in der Weihnachtszeit ist laut G Data das Versenden gefälschter E-Weihnachtskarten. Diese können infizierte Dateianhänge mit beliebigen Schadprogrammen beinhalten oder mit einem Link auf eine infizierte Webseite verweisen.
Sieben Tipps für mehr Sicherheit
G Data gibt folgende Sicherheits-Tipps:
1. Den PC mit Virenscanner, Firewall, Spam- und Echtzeitschutz ausstatten. Das sollte regelmäßig durch Programm- und Virensignaturupdates aktualisiert werden. Auch das Betriebssystem und die eingesetzte Software sollten mit Hilfe von Updates immer auf den aktuellsten Stand gebracht werden.
2. Beim Online-Banking auf ein möglichst sicheres Verfahren mit einer Zwei-Wege-Authentifizierung achten. Wer einen Bezahldienstleister zur Rechnungsbegleichung nutzt, sollte sich für einen Anbieter mit Käuferschutz entscheiden.
3. Alle Spam-Mails ungelesen löschen. Nutzer sollten auf keinen Fall eingebundene Links oder Dateianhänge öffnen. Links zu Online-Banking-Seiten, Online-Shops oder Bezahldiensten immer manuell in den Browser eintippen. Dabei sollte insbesondere auf Vertipper geachtet werden -Kriminelle nutzen diese, um Käufer auf gefälschte Seiten zu locken.
4. Insbesondere für die Benutzerkonten bei Bezahldiensten, Online-Banking und Online-Shops starke Passwörter verwenden. Diese sind zufällig generiert und mindestens achtstellig. Dabei sollte das Kennwort aus Buchstaben in Groß- und Kleinschreibung und Sonderzeichen bestehen.
5. Käufe nicht von einem öffentlichen PC aus tätigen. Diese sind oft nur unzureichend abgesichert. Öffentliche WLAN-Netze sollten ebenfalls gemieden werden, hier könnten Cyber-Kriminelle den Datenverkehr mitlesen.
6. Beim Bezahlvorgang auf die Sicherheitshinweise des Browsers achten, um eine verschlüsselte Datenübertragung zu gewährleisten. Wichtig sind: Vorhängeschloss in der Status- beziehungsweise Adresszeile, die Abkürzung "https" vor der eingegebenen Adresse, die grün hinterlegte Adresszeile in den meisten modernen Browsern und die Anzeige der richtigen Top-Level-Domain.
7. Online-Shops überprüfen. Dazu gehören das Lesen der allgemeinen Geschäftsbedingungen, des Impressums und der Blick auf Versand- und eventuelle Zusatzkosten. Anwender können zusätzlich recherchieren, ob der betreffende Online-Shop oder Verkäufer anderen Nutzern bisher negativ aufgefallen ist.
Ratschläge vom BSI
Stichwort Überprüfung von Online-Shops: Hierzu gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Bonn Ratschläge. Käufer sollten folgende sieben Kriterien untersuchen:
1. Das Impressum: Ein vollständiges Impressum beinhaltet die kompletten Adressdaten inklusive einer Telefonnummer. Wenn auf der Website eines Shop-Betreibers kein Impressum steht, kann das ein Anzeichen für einen unseriösen Online-Shop sein.
2. Die Allgemeinen Geschäftsbedingungen (AGBs): Betreiber von Online-Shops sollten allgemeine Geschäftsbedingungen angeben und auch zum Download anbieten. Ist das nicht der Fall, kann das ebenfalls auf einen unseriösen Anbieter hinweisen.
3. Der Firmensitz: Auch die geographische Adresse des Anbieters sollte überprüft werden. Bei Unsicherheiten zeigt eine Internet-Recherche, ob die angegebene Adresse existiert und wo genau sich das Unternehmen befindet. Vorsicht ist geboten bei Adressangaben, die nicht eindeutig sind oder sich widersprechen.
Aus der Erfahrung anderer lernen
4. Die Reputation: Wer an der Seriosität eines Online-Händlers zweifelt, kann nach Nutzerkommentaren zu dem Anbieter suchen oder in Anbieterbewertungsportalen recherchieren. Dazu einfach den Firmennamen und das Wort "Problem" in eine Suchmaschine eingeben. Tauchen ausschließlich negative Beurteilungen des Shop-Betreibers auf, empfiehlt das BSI, die übrigen Kriterien der Checkliste genauestens zu prüfen.
5. Die Absicherung der Daten: Alle Daten, die an einen Online-Shop übermittelt werden, müssen verschlüsselt über eine gesicherte https-Verbindung laufen. Wenn die Daten nicht verschlüsselt übertragen werden, sollte der Nutzer das als Alarmsignal verstehen.
6. Die Zahlungsmethoden: Unterstützt der Anbieter nur einen Verkauf von Waren gegen Vorkasse, kann das ein weiteres Anzeichen für einen unseriösen Online-Shop sein.
Zusatzkosten überprüfen
7. Die Lieferbedingungen: Käufer sollten die angegebenen Lieferbedingungen vor allem im Hinblick auf potentiell drohende Zusatzkosten überprüfen. Erscheinen diese unverhältnismäßig hoch, ist Vorsicht geboten.