Anti-Phishing-Tipps

Erkennen Sie Internetbetrug?

13.12.2017 von Roger Grimes und Florian Maier
Wenn Sie denken, dass Phishing etwas ist, worauf nur alle anderen hereinfallen, täuschen Sie sich vielleicht. Finden Sie heraus, wie zuverlässig Sie die verschiedenen Formen des Online-Betrugs durchschauen.

Der Internet-User wird zunehmend smarter (beziehungsweise vorsichtiger) und Anti-Phishing-Tools arbeiten immer akkurater. Dem Erfolg von Scammern, also Internetbetrügern, tut das bislang allerdings keinen Abbruch. Immer noch erschleichen sich (cyber)kriminelle Subjekte zehntausende Dollars mit leeren Versprechungen. Einmal lockt ein nicht unerhebliches Barvermögen, ein anderes Mal ist es die Angst vor finanziellem oder gar physischem Schaden, der Menschen dazu bewegt, auf die Taktiken der Scammer hereinzufallen. Trifft es nicht Einzelpersonen, sondern Unternehmen, kann der finanzielle Schaden in die Millionen gehen.

Ein Klick und alles ist zu spät. Dieses Schicksal kann jeden ereilen. Auch Sie.
Foto: Kim Christensen - shutterstock.com

Dass der Internetbetrug immer noch derart florieren kann, liegt in erster Linie daran, dass kriminelle Hacker ihre Taktiken weiterentwickelt haben, um ihren Verfolgern (und Opfern) stets einen Schritt voraus zu sein. Ansonsten würden die Phishing-Versuche der Scammer ins Leere laufen. Mit unabsehbaren Folgen: der ein oder andere müsste sich dann nach einem echten Job umsehen.

Wir zeigen Ihnen 15 fiese Phishing-Taktiken, die selbst den smartesten User überlisten können - wenn der nicht weiß, wie man sich zur Wehr setzt.

Deaktivierungs-Angstmacherei

Diese Masche funktioniert vor allem deswegen, weil es (in "Netz-Dingen") kaum etwas gibt, was den Menschen mehr Angst einjagt, als eine Account-Deaktivierung. Wahrscheinlich haben auch Sie heute so eine E-Mail bekommen. Es vergeht kaum ein Tag ohne eine solche Fake-Benachrichtigung von vermeintlichen Unternehmen im Postfach. Der Message selbst ist in der Regel zu entnehmen, dass Ihr Konto deaktiviert wird, wenn Sie nicht auf einen bestimmten Link klicken, sich einloggen und möglichst schnell tätig werden. Zum Beispiel, indem Sie Ihre Kreditkarteninformationen nochmals bestätigen.

Es gab eine Zeit, da waren solche Phishing-Mails relativ einfach zu erkennen. Damit ist es längst vorbei. Heutzutage sehen die Nachrichten täuschend echt aus und beinhalten unter Umständen sogar Links zur offiziellen Seite des Unternehmens, in dessen Namen hier betrogen werden soll. Auch integrierte Warnungen vor Scammern und Internetbetrug sind keine Seltenheit mehr.

Wenn man gar kein Konto beim betreffenden Unternehmen besitzt, sind solche Betrugsversuche natürlich schnell entlarvt. Aber stellen Sie sich einfach vor, bei der nächsten Mail stimmt der Absender und Sie haben zufällig gerade eine neue Kreditkarte bekommen. Dann könnten auch Sie durchaus zu der Überzeugung gelangen, dass Sie besser schnell Ihre Daten aktualisieren um der Deaktivierung zu entgehen.

Wie Sie Phishing-E-Mails erkennen
Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)!
Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen!
Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)!
Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig.
Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.

Die Lösung: Sehen Sie sich die URL des Links in einer E-Mail ganz genau an. Würden Sie diese genauso eintippen? Noch besser wäre es, Sie gewöhnen sich einfach an, gar keine Links in E-Mails mehr anzuklicken. Stattdessen schließen Sie die Mail und geben händisch die URL des Anbieters an, der Ihnen mit Deaktivierung droht.

Gefälschte Websites

Wenn Sie doch auf den Link in einer Phishing-Mail geklickt haben, gelangen Sie in der Regel auf eine Fake-Website, die der echten zum Verwechseln ähnlich sieht. Diese Fakes sind inzwischen oft 1:1-Kopien der Originale und nutzen auch die echte URL als Teil ihrer eigenen. Nur wer ganz genau hinsieht, kommt dem Betrug auf die Schliche. Allerdings achten darauf nur noch wenige User, wenn die Seite selbst bereits den Eindruck von Authentizität vermittelt.

Wie gut Phishing-Webseiten heute gemacht sind, musste der Hack-gebeutelte US-Finanzdienstleister Equifax am eigenen Leib erfahren. Nach dem bekannt geworden war, dass die Datensätze von 143 Millionen Kunden kompromittiert worden waren, hatte das Unternehmen eine eigene Website für Betroffene eingerichtet. Die wurde von einem findigen Researcher nachgebaut. Und zwar so gut, dass Equifax selbst mehrfach auf die Phishing-Seite verlinkte.

Die Lösung: Inspizieren Sie Links - beziehungsweise URLs - in E-Mails äußerst genau, um sicherzustellen, dass Sie keinem Scam zum Opfer fallen. Gar nicht mehr auf Links in Mails zu klicken ist auch hier die beste Methode.

"Nigeria"-Scams

Diese Phishing-Methode gibt es schon seit etlichen Jahren. Dabei scheinen nigerianische Scammer mit besonders viel Eifer am Werk zu sein - daher auch der Name. Und auch wenn Sie sich über die schlechte Grammatik und die haarsträubenden Stories, die in diesen Phishing-Mails aufgetischt werden, schlapp lachen: Diese Elemente sind absichtlich eingebaute Filter.

Die 20 lustigsten Phishing-Mails
Klik hier
Bis zu dieser Stelle könnte man das tatsächlich noch für eine echte Nachricht der Postbank halten. Doch die Beschriftung des Links verdirbt dann alles.
John2quest
Das gleiche Spiel bei der Sparkasse. Auch dieser Text klingt zunächst mal gar nicht so schlecht, bis dann das versehentlich eingestreute john2quest den guten Eindruck zerstört. Blöd gelaufen.
Stümperhaft
Hier liegt nicht nur ein Fehler in der Lieferanschrift vor, auch der ganze Vorgang mit dem Postetikett, das man erst ausdrucken muss, um eine Postsendung abholen zu können, gibt Rätsel auf.
Hallo Gast Visa Europe
Nach dieser fröhlichen Begrüßung geht wirklich alles schief. „Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen“ – das lässt Lynchjustiz vermuten.
Zugriff beschaffen
Man kann bloß hoffen, dass der Absender nicht so redet wie er schreibt.
Konto braucht Hilfe
Eine ziemlich gute Fälschung, wären da nicht die verdächtigen „Unregelmäßigkeiten“ bei Kommasetzung und Rechtschreibung.
Arbeitsort Europa
Rentner, Schwangere und Arbeitslose aufgepasst – in Europa wird eine Stelle frei.
Kein auf und ab
So seriös und überzeugend wurde wohl noch nie für ein börsennotiertes Unternehmen geworben.
Der kleine Prinz
Vor einigen Jahren kamen die Spam-Versender auf den Trichter, dass die E-Mail-Filter literarische Texte nicht beanstanden. In diesem Beispiel hat der Absender Hermann Hesses „Siddharta“ und „Der kleine Prinz“ von Antoine de Saint-Exupéry verwendet, was in der Kombination mit der Werbung für eine obskure Aktie im Anhang einigermaßen bizarr anmutet.
Hallo, wie gehst du
Eine Frau sucht die Liebe im Internet und kommt praktischerweise schon in naher Zukunft, „möglich in einem oder zwei Wochen“, nach Deutschland. Ein Wink mit dem Zaunpfahl.
Endlich reich!
Mehr als 900000 Euro zu gewinnen bei einer spanischen Lotterie, an der man nie teilgenommen hat – das ist echtes Glück. Und notarisch ist ja wohl alles in Ordnung.
Nochmal gewonnen
Diesmal geht es um eine knappe Million, das Schreiben ist diesmal sogar notariell beglaubigt. Doch das notorische „Notarisch“ in der Mitte verrät den Absender.
Lotteriegewinn zum Dritten
Und wieder ein Volltreffer, zum Schluss gibt’s nochmal 825000 Euro.
Ist die Wahrheit
Die Nigeria Connection scheint sich nach London abgesetzt zu haben und schlägt nun einen unseriösen Handel vor.
Schlechte Werbung
Wenn man nicht wissen würde, wie solche Betrügereien funktionieren, wäre Herrn Lenkas Schreiben komplett unverständlich.
Grässlicher Bewegungsunfall
Diese Mail enthält mehr Handlung als so mancher Roman, und er hat mit Abstand die lustigste Wortwahl unter den hier vorgestellten Spams.
Anerkennen
Mr. Peter Wong von der Hang Seng Bank in Hongkong ist einer der bekanntesten Spam-Versender weltweit. Und er findet wunderbare Formulierungen: „Ihre früheste Reaktion auf dieses Schreiben wird geschätzt.“
Lieber Freund
Auch Herr Poocharit, der bei den Vereinten Nationen mit einem seltsamen Jobtitel eingestellt wurde, hat eine Menge Geld, das irgendwo zwischengelagert werden muss.
Insider-Informationen
„Es ist möglich, das System mit der richtigen Methode zu schlagen“ Das hört sich nach Klassenkampf an, ist aber nur Emily Lopez, alleinerziehende Mutter.
Abnehmen
Der schönste Satz in dieser Nachricht von Dr. Sabrina Kaub, die in der Mail-Adresse Dr. Sabrina Scholler heißt, ist natürlich „ohne dass sie halb verhungern oder staendig Sport treiben muessen.“

Der durchschnittliche Nigeria-Scammer versendet jeden Tag Millionen betrügerischer E-Mails. Und die meisten werden von E-Mail-Nutzern (oder deren Antimalware-Lösung) als Spam aussortiert. Diese User sind aber auch gar nicht das Ziel. Stattdessen nehmen solche Mails gezielt einfach beeinflussbare oder manipulierbare Persönlichkeiten ins Visier. Manche Menschen empfinden die Fehler und merkwürdigen Geschichten auch gar nicht als abschreckend. Und genau die sind für die Phishing-Betrüger das ultimative Ziel.

Im Übrigen hat es nichts mit (mangelnder) Intelligenz zu tun, wenn man auf eine solche betrügerische E-Mail hereinfällt. Das ist schon Nobelpreis-Gewinnern, Finanz-Managern und Doktoren passiert.

Die Lösung: Wenn etwas zu gut klingt, um wahr zu sein (so wie unerwartet ein kleines Vermögen geschenkt zu bekommen), dann handelt es sich in aller Regel um einen Fake.

Sie gehen direkt ins Gefängnis

Hacker und Scammer wissen, dass Sie ein schlechtes Gewissen haben und nutzen das aus. Sogar wenn die Sache, wegen der Sie ein schlechtes Gewissen haben nicht illegal ist, könnten Sie trotzdem leicht dazu gebracht werden, sich Sorgen zu machen. Und die Androhung von Knast oder Geldstrafe per Mail ist wohl das beste Mittel, um direkte und ziemlich offenherzige Antworten zu provozieren. In Deutschland gab es solche Scams bereits im Namen von GEMA und GVU, ansonsten wird auch das FBI gerne für Fake-Mahnmails missbraucht. Inzwischen werden solche Kampagnen auch per Telefon gefahren, um die Dringlichkeit der Angelegenheit zu verdeutlichen.

Manche Menschen haben unter Umständen weder illegal Musik oder Filme heruntergeladen, noch Steuern hinterzogen und gehen trotzdem auf monetäre Forderungen von Betrügern ein - nur um die Warnung, Mahnung oder Bedrohung los zu werden. Oder sie verdächtigen ein anderes Mitglied des Haushalts, Urheber digitaler Missetaten zu sein. Was unter Umständen zu unschönen häuslichen oder familiären Konsequenzen führen könnte. Unglücklicherweise kommen manche dieser Fake-Strafandrohungen mit Ransomware im Gepäck im E-Mail-Postfach an und erhöhen so nochmals den Druck auf den User zu bezahlen.

Die Lösung: Ruhig bleiben. Die Mail genau lesen. Werden Details zu den angeblichen Vergehen geliefert? Wahrscheinlich nicht. Davon abgesehen: Wenn eine Regierungsbehörde von Ihnen Geld verlangt und zwar sofort, weil sonst drastische Konsequenzen drohen - dann werden Sie gerade aufs Glatteis geführt.

Support-Scammer

Betrugsversuche im Namen des technischen Supports gehen in der Regel via E-Mail ein. Vielleicht stolpern Sie aber auch über eine Fake-Webseite oder werden angerufen. Wo Ihnen solche Scams auch begegnen - sie wirken meist sehr überzeugend.

Wenn Sie mit einem "Techniker" kommunizieren, wird der Sie bitten, ein Remote-Access-Tool und Support Software zu installieren. Wenig überraschend findet er daraufhin jede Menge Malware und fehlerhafte Einstellungen auf Ihrem Rechner. Dann wird er Ihnen eine Software verkaufen wollen, um das Problem aus der Welt zu schaffen. Und schon besitzen Internetbetrüger Ihre Kreditkarten-Daten.

Das Dumme daran ist: Das Vorgehen der Scammer unterscheidet sich nicht vom dem üblichen Ablauf eines Gesprächs mit einem echten Support-Techniker. Der Unterschied besteht lediglich darin, wie der Support Sie gefunden hat. Wie oft hat Sie bereits ein Techniker kontaktiert, um Ihnen Hilfe bei einem Problem anzubieten, bevor Sie überhaupt wussten, dass dieses existiert?

Die Lösung: Fragen Sie Freunde und Bekannte mit IT-Wissen um Hilfe. Oder recherchieren Sie die Nummer des Unternehmens, das Sie vermeintlich kontaktiert und bitten um eine Bestätigung.

SEO-Trojaner

Eine gängige Phishing-Methode besteht darin, Sie dazu zu bringen, bösartige Software herunterzuladen. Und zwar indem Sie gut rankende Suchergebnisse anklicken.

Und so funktioniert es: Sie haben ein technisches Problem (zum Beispiel eine Fehlermeldung) und beschließen, den Fehlercode per Suchmaschine zu recherchieren. Was im Grunde auch eine gute Strategie ist. Allerdings kann es dabei passieren, dass Sie auf einer Seite landen, die offiziell aussieht und eine schnelle Lösung verspricht, dabei aber nur Schadcode bereithält.

Die Lösung: Um vertrauenswürdige Hilfe für ein Problem zu erhalten, sollten Sie ausschließlich die offizielle Website des entsprechenden Händlers oder Herstellers aufsuchen.

Betrug mit Kleinanzeigen

Kleinanzeigen-Seiten und Auktions-Plattformen sind bei Online-Betrügern äußerst beliebt. Das liegt in erster Linie daran, dass viele User auf diesen Plattformen sehr bereitwillig auf Links klicken und persönliche Daten preisgeben.

Besondere Vorsicht sollten Sie walten lassen, wenn Käufer sofort bereit sind, sogar mehr als den verlangten Preis zu bezahlen. Einzige Voraussetzung: ein Mittelsmann soll für die Abwicklung der Bezahlung zum Einsatz kommen. Sie können sich denken, worauf das hinausläuft.

Betrug im Internet – die beliebtesten Maschen
Die 10 fiesesten Online-Fallen
Betrüger lassen sich immer neue Tricks einfallen, um andere Menschen im Internet übers Ohr zu hauen. Dies sind momentan die am häufigsten aufgestellten Online-Fallen.
1. Der Klassiker: Phishing-Mails
Momentan kursieren etliche Mails, in denen der Bezahldienst PayPal seine Kunden auffordert, ihre Kontodaten zu bestätigen oder eine neue Registrierung durchzuführen. Dazu sollen Sie auf einen Link in der E-Mail klicken und ein Formular mit Ihren Kontodaten ausfüllen. Diese Mails sind samt und sonders gefälscht. Es geht den Betrügern nur darum, an Ihre Kontodaten zu gelangen.
2. Die E-Mail vom Anwalt
Um Viren auf fremden Computern zu platzieren, verschicken Betrüger gerne Mails, in denen sie noch nicht beglichene Rechnungen anmahnen. Dabei geben sie sich als Anwaltsbüro oder als Inkassofirma aus. Meist geht es um dreistellige Beträge, die angeblich noch offen sind, näheres steht angeblich in einem Dokument in einer angehängten ZIP-Datei. Viele Empfänger bekommen daraufhin einen Schreck, sie vergessen sämtliche Vorsichtsmaßnahmen, öffnen das ZIP-File und klicken auf das darin enthaltene Dokument. Und die Falle schnappt zu: Denn es handelt sich tatsächlich nicht um ein Dokument, sondern um eine getarnte Programmdatei, die nun einen Virus ins System setzt.
3. Webshops mit Jahresabo
Mit einer besonders fiesen Methode arbeiten einige Webshops, die zum Anlocken von Besuchern sogar Anzeigen bei Suchmaschinen und bei Facebook schalten. Wenn ein Besucher nun seine Daten in das Formular einträgt und auf „Jetzt anmelden“ klickt, wird er mit 298,80 Euro pro Jahr zur Kasse gebeten, die Laufzeit des Vertrags beträgt zwei Jahre. Ein entsprechender Hinweis findet sich in einem kleinen Kasten auf der Seite, wird jedoch offensichtlich von vielen Anendern übersehen.
4. Webshop liefert nicht
Ein Klassiker unter den Betrugsfällen sind Webshops, die Vorkasse verlangen und die bestellte Ware anschließend nicht liefern. Da ein solches Verhalten natürlich Strafanzeigen nach sich zieht, sind solche Sites meist auch schnell wieder verschwunden.
5. Abzocke mit ESTA-Anträgen
Seit einigen Jahren verlangen die USA im Rahmen des Electronic System for Travel Authorization (ESTA) einen elektronischen Einreiseantrag. Einige Websites machen sich die Unwissenheit vieler USA-Reisender zunutze und bieten an, die Antragstellung für sie zu übernehmen. Das ist allerdings mit hohen Kosten verbunden, teilweise werden Preise von 70 bis 80 Dollar verlangt.
6. Branchenbuch-Betrüger
Eine weit verbreitete Form des Betrugs lockt mit Branchenbuch-Einträgen im Internet. Nur im Kleingedruckten oder in schlecht lesbarer Schrift auf Umweltschutzpapier steht, dass der Eintrag keineswegs kostenlos ist. Je nach Anbieter werden Rechnungen zwischen 600 und 1400 Euro im Jahr präsentiert. Die Vertragslaufzeit ist auf zwei Jahre festgelegt und verlängert sich automatisch.
7. Gratis-Angebote bei Facebook
Vor allem in Facebook, aber auch in vielen Banner-Anzeigen, werden Gratis-Geschenke angepriesen. Ziel ist es immer, den Anwender auf eine externe Website zu locken, wo er dann ein Formular ausfüllen oder auf ein weiteres Banner klicken soll. Damit verbunden ist dann häufig der Abschluss eines kostenpflichtigen Abos, oft geht es aber auch nur darum, an die persönlichen Daten der Person zu gelangen.
8. Scareware
Ein relativ alter Trick, aber er funktioniert offenbar immer noch: In Werbebannern auf Webseiten oder bei der Installation von Freeware-Programmen taucht die plötzlich Warnung auf, dass auf dem Rechner des Anwenders ein Virus entdeckt wurde. Sie können solche Banner und Einblendungen getrost ignorieren. Denn die angebliche Gefahr besteht nicht, die angebotenen Antiviren-Tools sind zumeist Fake.
9. Der Intelligenztest
Intelligenz- oder IQ-Tests im Internet sind beinahe so beliebt wie sich selbst zu googeln. Es gibt aber auch zwielichtige Angebote. Sie fordern den Benutzer nach Beantwortung der Testfragen auf, Name und Adresse anzugeben und den elektronischen Testbogen mit dem Klick auf einen Button an den Betreiber der Website zu schicken, damit man im Gegenzug eine ausführliche Auswertung zuschicken kann. Damit schnappt die Falle zu, denn mit dem Klick auf den Button stimmt der Benutzer dem Bezug eines kostenpflichtigen Services oder Abos zu.
10. Gewinnspiele
Jeden Tag werden neue Gewinnspiele ins Internet gestellt. Die überwiegende Zahl dieser Spiele stammt von vertrauenswürdigen Anbietern und dient dem gleichen Zweck wie ein Kreuzworträtsel in einer Illustrierten: Es geht darum, Adressen zu sammeln, an die anschließend Newsletter und andere Werbung verschickt wird oder die an die werbetreibende Wirtschaft weiterverkauft werden.

Die Lösung: Achten Sie auf die offiziellen Empfehlungen der Portalbetreiber bezüglich Sicherheit und Schutz vor Betrug. Auch hier gilt: Was zu schön ist um wahr zu sein, ist es wahrscheinlich auch nicht.

Ein Freund in Not

Diese Betrugsmasche gab es bereits im Prä-Internet-Zeitalter. Damals warteten die Betrüger, bis ihre Zielperson das Haus verlassen hat, rufen kurze Zeit später bei ihr zuhause an und erzählen der Person die rangeht, es habe einen Autounfall gegeben (oder Ähnliches) und Ihr Sohn/Tochter/Mann/Frau/Bruder etc. bräuchte nun dringend Geld.

Heutzutage arbeiten Scammer und kriminelle Hacker mit der gleichen Masche - nur nutzen sie dazu soziale Netzwerke und E-Mails. Alles was die Phishing-Betrüger dazu brauchen, ist beispielsweise ein gestohlener oder gefälschter Facebook-Account. Eine entsprechende Nachricht ist dann schnell in die Freundesrunde geschickt.

Dabei stellen die Scammer besonders gerne auf Negativszenarien ab: Naturkatastrophen, Unfälle oder Verhaftungen beispielsweise. Sollten Sie auf einen solchen Betrug hereinfallen, werden die Scammer noch mehr Geld verlangen. Und zwar solange, bis Sie merken, was Sache ist. Besonders fies: Die Zielgruppe solcher Betrügereien sind vor allem alte Menschen - Stichwort "Enkeltrick".

Die Lösung: Senden Sie niemals an Irgendjemanden Geld, ohne vorher mit ihm oder ihr persönlich gesprochen zu haben. Um sicherzugehen, dass es sich bei Ihrem Gegenüber tatsächlich um die betreffende Person handelt, stellen Sie am besten eine (Fang-)Frage mit persönlichem Bezug, auf die ein Betrüger gar keine korrekte Antwort wissen kann.

Überweisungsscams

Wenn Sie inzwischen immer noch denken, dass nur ungebildete Menschen mit mangelnder technischer Erfahrung zum Opfer von Phishing werden können: Fragen Sie sich doch mal, wie einige der smartesten Unternehmenslenker einer weiterentwickelten Version des Überweisungs-Betrugs zum Opfer fallen konnten.

Dabei ging es um Millionen: Google und Facebook wurden um einhundert davon erleichtert. Verantwortlich dafür waren Scammer, die Software in den Finanzabteilungen der Unternehmen installieren konnten, den typischen Ablauf von Transaktionen studierten und anschließend im Namen von Partnerunternehmen millionenschwere Rechnungen stellten. Die wurden zunächst auch bezahlt - das Geld konnte aber nach Auskunft von Google und Facebook mit Hilfe der Strafverfolgungsbehörden gerettet werden.

Einige der weltgrößten Unternehmen sind solchen Überweisungs-Betrügereien bereits zum Opfer gefallen. Alleine im Jahr 2016 wurden in den USA rund drei Milliarden Dollar auf diese Weise gestohlen. In den meisten Fällen ist das Geld unwiederbringlich verloren.

Die Lösung: Unternehmen sollten Kontrollinstanzen installieren, um sich vor betrügerischen Forderungen zu schützen. In jedem Fall sollte jede Forderung im Vorfeld gewissenhaft verifiziert werden. Als zusätzliche Schutzmaßnahme empfiehlt es sich, die Rechner die für die Überweisungen genutzt werden, zu isolieren und vom normalen Unternehmensnetzwerk getrennt zu halten.

Der Traumjob

Eine Zielgruppe, die Internetbetrüger besonders gerne ausbeuten, sind Jobsuchende. Die lassen sich nämlich ziemlich einfach via Social-Media- oder Job-Plattform abfischen. Dazu bieten die Betrüger zum Beispiel einfach gut bezahlte Jobs an. Und ihre Opfer merken oft gar nicht, was eigentlich vor sich geht. Denn es handelt sich dabei tatsächlich um Jobs mit echter Bezahlung. Nur legal ist die Tätigkeit nicht.

Denn wer hier "Mitarbeiter" wird, wird zum Teil eines Geldwäscherings. Die einzige Aufgabe in diesem Job besteht darin, Geld abzuheben und es weiterzuleiten - unter Einbehaltung eines kleinen Anteils versteht sich. Einige "Chefs" bitten ihre "Mitarbeiter" auch darum, das Geld zunächst in Bitcoins umzuwandeln. Besonders gerne zielen Kriminelle dabei auf Jugendliche ab, die die Zusammenhänge nicht verstehen und sich vom "Gehalt" für die vermeintlich leichte Aufgabe blenden lassen.

Die Lösung: Wenn Ihr Job darin besteht, den ganzen Tag in Unterwäsche herumzulungern und das Geld anderer Leute gegen Gebühr weiterzuleiten, besteht durchaus eine gesteigerte Chance, dass es sich um Betrug handelt. Für den Fall, dass es Ihnen jetzt gerade wie Schuppen von den Augen fällt: Brechen Sie jeglichen Kontakt ab und kontaktieren Sie einen Anwalt. Geldwäsche ist kein Kavaliersdelikt.

Telefon-Weiterleitungsbetrug

Lieferdienste, Hotels und andere Unternehmen, die Kreditkarten per Telefon akzeptieren, rücken bei dieser Masche ins Visier der Online-Betrüger. Das läuft dann folgendermaßen ab: Ihr Mitarbeiter geht ans Telefon und lässt sich von einem Betrüger davon überzeugen, eine Zahlenkombination über die Wähltastatur einzugeben. Natürlich geschieht das aus einem vermeintlich guten Grund - dient aber eigentlich nur dazu, Ihr Firmentelefon auf die Leitung der Betrüger umzuleiten. Eine mögliche Konsequenz: Ihre Kunden wählen Ihre Telefonnummer, landen aber bei Betrügern und geben diesen auch noch bereitwillig ihre Kreditkartendaten preis.

Die Lösung: Wenn Jemand versuchen sollte, Sie zur Eingabe eines Nummern- oder Zahlencodes zu bewegen, gehen Sie nicht darauf ein.

SMS-Phishing

Es gab eine (zugegebenermaßen kurze) Zeit, da waren Mobiltelefone sicher vor Spam und Phishing. Das ist vorbei. Inzwischen wird Phishing sowohl über Voice Mails, als auch über SMS betrieben. Insbesondere letztere Methode ist eigentlich eher primitiv und leicht zu durchschauen - sollte man meinen. Schließlich erhält man dabei einen Link, über den ein Trojaner installiert wird.

Etwas raffinierter wird es, wenn Sie eine SMS mit einer Telefonnummer erhalten. Wenn Sie diese anrufen, setzt das eine Social-Engineering-Kampagne in Gang. Eine der gängigsten Methoden besteht darin, dass Sie eine Textnachricht erhalten mit der Mitteilung, dass Ihre Kreditkarte kompromittiert wurde. Wenn Sie den Absender anrufen, verlangt der, dass Sie Ihre Kartennummer eintippen. Und die Falle schnappt zu.

Die Lösung: Erhalten Sie eine SMS, deren Inhalt unerwartet oder sinnfrei ist? Dann löschen Sie sie.

"Guten Tag, das SEK" …

Diese Phishing-Taktik hat das Potenzial Menschenleben zu gefährden. Denn beim sogenannten "SWATting" fälschen Betrüger Ihre Telefonnummer und alarmieren damit die Polizei. Dabei spielen sie ein Szenario vor, das einen massiven Einsatz zur Folge hat - etwa einen Amoklauf, eine Entführung oder einen Anschlag. Hat das Erfolg, wird das Opfer in Kürze von einem Sondereinsatzkommando besucht, das in manchen Ländern der Erde auch gerne einmal zuerst schießt und dann erst fragt.

Zum Opfer solcher "SWATting"-Attacken werden in der Regel Menschen, die übergeordnete Positionen einnehmen oder sich bei den falschen Individuenin die Nesseln setzen.Security-Koryphäe Brian Krebs etwa wurde bereits so oft Opfer von "SWATting", dass die Behörden inzwischen zuerst telefonisch bei ihm nachfragen, ob es sich tatsächlich um einen Notfall handelt, bevor sie ausrücken. Bei seiner "SWATting-Premiere" wurde das Haus von Krebs allerdings von einem schwer bewaffneten SWAT-Team umstellt.

Die Lösung: Die meisten Strafverfolgungsbehörden sind sich dieses gefährlichen Trends inzwischen bewusst und haben Methoden entwickelt, um solche Betrugsversuche zu erkennen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.