So gut wie jeder hatte schon mindestens einmal das zweifelhafte Vergnügen, von einem potentiellen Telefonbetrüger angerufen worden zu sein. Ob es dabei um Strom, den Internetanschluss oder einen neuen Spitzenwein und den dazugehörigen Gläsern geht – die Masche verläuft meistens nach den gleichen Grundsätzen und endet im schlimmsten Falle damit, dass der Angerufene seine Bankdaten herausgibt und eine Menge Geld ohne Gegenleistung verliert.
Allerdings werden die Nutzer schlauer und fallen nicht mehr so leicht auf derartige Anrufe herein. Betrüger benötigen eine Menge Geduld und viele Ressourcen, um auf diese Weise noch zum Erfolg zu kommen. Einige ganz schlaue Betrüger satteln daher auf eine andere Art und Weise um, den Leuten das Geld aus der Tasche zu ziehen. Beim sogenannten “Vishing” geht es nicht mehr darum, selbst bei dem Opfer anzurufen, sondern sich anrufen zu lassen. Hierfür setzen die Verbrecher auf gefälschte E-Mails, um die Opfer zu einem Anruf beim Betrüger selbst zu bringen.
So funktioniert der Betrug
Die IT-Sicherheitsfirma Kaspersky, welche selbst bekannte und erfolgreiche Antiviren-Software-Pakete verkauft, hat vor einiger Zeit eine große Welle von Spam-E-Mails aufgedeckt. Es handelt sich hierbei nicht um harmlose Kettenbriefe oder Newsletter, sondern um gefälschte E-Mails von vorgeblich großen Unternehmen. Der Kunde wird darüber informiert, dass er jüngst einen Einkauf mit einem sehr hohen Wert getätigt hätte. Beispielsweise Gaming-Laptops, Smartphones oder dergleichen. Als vermeintlicher Absender ist entweder Amazon oder PayPal hinterlegt.
Die E-Mails selbst sehen dabei täuschend echt aus und wer nicht ganz genau hinsieht, gerät leicht in die Falle. Manchmal geht es um den Kauf der Geräten im Wert von über 1.000 Euro oder um Software-Lizenzen bekannter Marken wie Norton oder eben Kaspersky. Es gab sogar gefälschte E-Mails, die den Kauf von Kryptowährung im großen Stil bestätigten.
Das Verschicken von Spam-Mails mit Auftragsbestätigungen oder Rechnungen ist freilich nicht neu. In sogenannten “Phishing-Mails” werden Kunden nicht selten dazu aufgefordert, geheime Daten wie Passwörter oder ähnliches zu übermitteln. Doch beim “Vishing” ist die Herangehensweise perfider. Denn statt eines oder mehrerer Links ist in diesen Mails eine Telefonnummer angegeben. Manchmal ganz diskret, manchmal sehr offensiv und farblich markiert. Die Betrüger hoffen darauf, dass die Kunden angesichts des hohen Kaufpreises sich zu einem unüberlegten Telefonanruf verleiten lassen.
Was passiert bei einem Anruf?
Wenn ein Empfänger solch einer E-Mail die angegebene Telefonnummer anruft, kann vieles passieren. Höchstwahrscheinlich werden die Verbrecher versuchen, Daten wie Kreditkartennummern, Banking-Zugänge oder andere Zugangsdaten zu bekommen. Es kann ebenfalls passieren, dass die Kunden zu einer Überweisung überredet werden oder aber sich einen Trojaner installieren sollten – derartige Fälle sind laut Kaspersky bereits bekannt. Es hängt vom Einfallsreichtum der Betrüger ab, was genau bei einem solchen Telefonanruf passiert.
Wie schützt man sich vor solchen E-Mails?
Gerade bei E-Mails lässt sich der Empfang eines Betrugsversuchs kaum verhindern. Zwar gibt es leistungsstarke Spamfilter, doch deren Wirksamkeit hängt in erster Linie von den Einstellungen des Kunden selbst ab. Und wer die Regeln zu engmaschig macht, verpasst unter Umständen wirklich wichtige Post. Um sich vor Vishing zu schützen, sollten sich Internetnutzer an einige einfache Regeln halten:
- Auf keinen Fall die angegebene Rufnummer anrufen.
- Einloggen mit den eigenen Zugangsdaten direkt beim Anbieter, von dem die Mail angeblich stammen soll. Dort alle Bestellungen, Kontoauszüge und Transaktionslisten prüfen.
- Prüfen des eigenen Bankkontos und aller Aktivitäten der Kreditkarten.
- Ein zuverlässiges Antivirenprogramm installieren, welches effektiv vor Onlinebanking-Betrug, Phishing und anderen Betrugsmaschen schützt.
- Nicht auf E-Mails antworten, deren Absender man nicht kennt.
- Zwei-Faktor-Authentifizierung dort nutzen, wo sie angeboten wird.
Was ist die Zwei-Faktor-Authentifizierung?
Die Authentifizierung mit zwei Faktoren wird von so gut wie allen großen Internetkonzernen bereits angeboten. Ob soziale Netzwerke wie Facebook und Twitter, Online-Händler wie Amazon und Ebay, manche Anbieter vom Echtgeld Casino oder Bezahldienste wie PayPal – bei einigen ist diese Methode inzwischen sogar Pflicht.
Es geht darum, dass sich nicht jemand an einem anderen PC mit den Zugangsdaten des Betroffenen einloggen kann, ohne dass zuvor eine weitere Bestätigung erfolgt. Wer sein Betriebssystem neu installiert oder einen neuen Computer an seinen Internetanschluss anschließt, wird immer wieder über die Zwei-Faktor-Authentifizierung stolpern. Das Einloggen per E-Mail-Adresse und Passwort reicht in einem solchen Fall nicht aus. Stattdessen verlangt der Anbieter eine weitere Bestätigung. Dies kann per SMS an die eingetragene Mobilfunknummer des Kunden oder per E-Mail passieren. Diese Methode hat sich bewährt und schützt effektiv die Accounts vor dem Diebstahl selbst dann, wenn die Zugangsdaten mal in die falschen Hände gelangen.