Rheinische Post - Wesel/Dinslaken
Die vielen Gesichter beim „Phishing“
Wie eine Frau beim Online-banking Opfer eines perfiden Betrugs wurde und vor welchen Maschen die Polizei noch warnt.
(acf) Ein passender Kontext, eine fast identische Rufnummer – und ein Mann, der sie am Telefon darum bittet, ihre Daten zur Legitimation herauszugeben, um Sicherheitsvorkehrungen zu aktualisieren. Sie erhielt einen Link und tat wie geheißen. Dass diese Kreis Weselerin einmal auf eine Phishingmasche hereinfallen würde, hatte sie nicht für möglich gehalten „Die Betrüger haben so gut gespielt, mir kam nichts komisch vor“, sagt sie rückblickend. Doch kurz darauf erfuhr sie: Ihr Online-banking wurde gehacked und das Konto mit mehreren tausend Euro belastet.
„Call-id-spoofing“beschreibt die Masche, auf die sie hereingefallen ist. Die Opfer erhalten einen Anruf, die im Display angezeigte Nummer wurde aber manipuliert. Das sei über Plattformen im Internet möglich, weiß Sandra Epping, Kriminaloberkommissarin im Bereich Kriminalprävention und Opferschutz bei der Weseler Kreispolizei. Betrüger nutzten dafür beispielsweise die entsprechende lokale Vorwahl. Genauso werde auch mit dem Notruf „110“verfahren. „Man kann nur uns darüber anrufen“, die Polizei umgekehrt könne diese Nummer nicht nutzen. Die Betrüger verschleiern ihre tatsächliche Rufnummer, wollen Vertrauen erwecken.
Es ist eine Variante, um, wie in diesem Fall, sensible Daten „abzufischen“. Fälle von Phishing nehmen immer weiter zu, bestätigt Epping. Genaue Zahlen für die Region kann sie nicht nennen, sie verweist aber auf den „Cybercrimereport“des Bundeskriminalamts (BKA): Diesem zufolge sei im Jahr 2022 deutschlandweit ein Schaden in Höhe von 200 Milliarden Euro entstanden. „Daran sieht man das Ausmaß“, beschreibt es die Kriminaloberkommissarin.
Ob per Telefon, SMS, Whats-app, Mail, soziale Netzwerke oder gar per Post – Phishing hat viele Gesichter, weiß auch Ralf Scherfling von der Verbraucherzentrale NRW, wo er das sogenannte Phishing-radar betreut. Aktuelle Fälle werden dort beschrieben. Die Kriminellen bedienen sich variantenreich im Leben der Verbraucher: Namen von Bankinstituten wie der Postbank oder Sparkasse tauchen auf, ebenso Dienste wie DHL, Netflix oder Amazon, aber auch bei Behörden. Ein falscher Moment, etwa nach einer kürzlichen Bestellung – und schon tappt man in die Falle.
20 Mails seien anfangs täglich eingelaufen, inzwischen würden 600 bis 800 kommen, berichtet Scherfling. Der Großteil bei Phishing-aktionen werde blind verschickt, „wenn nur ein gewisser Promillesatz darauf reinfällt, lohnt es sich für die Kriminellen schon“, aber es gebe auch zielgerichtete Varianten, „besonders gefährlich“, sagt er. So nennt er etwa das Beispiel eines Kunden, der zunächst eine E-mail von einem Kreditinstitut erhielt, mit der Info, dass ein Anruf zum Anliegen folge, dazu eine Referenznummer. Ein paar Tage später rief tatsächlich jemand an. Die zum Teil persönliche Anrede, die Nennung des Grunds, eine Notwendigkeit zum Handeln oft unter Zeitdruck, mögliche Konsequenzen und in der Regel ein Link im Anhang,
so der typische Aufbau einer Phishing-mail, erläutert Scherfling.
Die Strafverfolgung ist schwierig: Die Täter agierten überregional, nutzten aktuelle Themen. „Cyberkriminalität ist vielschichtig, wo fängt man an und wo hört man auf?“, sagt Sandra Epping.
Die Experten geben Handlungsempfehlungen, Scherfling rät zu gesundem Misstrauen und nennt drei goldene Regeln: „Niemals auf einen Link klicken, niemals einen Datei-anhang öffnen, niemals auf eine Mail antworten.“Vor allem sollten keine Login- oder persönlichen Daten eingegeben werden, betont Sandra Epping. Für das Online-banking sei immer die bekannte Internetseite der Bank direkt anzusteuern, niemals weiterführende Links. Solange man nicht selbst tätig wird und etwas kaufen möchte, frage keine Bank, kein Unternehmen nach Login-daten, stellt sie heraus. Sie warnt auch davor, im öffentlichen W-lan Geschäfte abzuschließen. Und: Verbraucher sollten das Endgerät mit Firewall ausrüsten, Virenprogramm, Browser und Betriebssystem regelmäßig aktualisieren, so die Experten. Denn es geht auch um den Schutz von Viren oder trojanischen Pferden.
Das Thema bleibt uns erhalten, da ist sich Ralf Scherfling ziemlich sicher. Die Betrüger suchen immer neue Möglichkeiten, um ihre Opfer hereinzulegen, KI werde dabei ebenfalls an Gewicht gewinnen, ebenso kann er sich vorstellen, dass Qr-codes eine Rolle spielen könnten. „Es gibt viele potenzielle Gefahrenquellen.“