Die neuen Maschen der Cyberkriminellen

Binärcode mit dem Wort Cyberkriminalität
Bildagentur PantherMedia / Boris Zerwann
Cyberkriminelle verfeinern ihre Betrugs- und Angriffsmethoden immer stärker.

Datendiebstahl, Spionage oder Sabtage: Die Gefahr für Attacken aus dem Netz ist omnipräsent. Und die aktuellen Berichte über die Cyber-Aktivitäten russischer Geheimdienste bestätigen nur, dass auch Staaten Cyberattacken und Cybercrime konsequent als Waffe einsetzen. Und Cyberkriminelle finden immer neue Wege, um ihre Betrugsmethoden zu modifizieren.

Früher waren die Betrugsmuster begrenzt und zumeist bekannt, wie der sogenannte „Enkeltrick“, der „Nigerianische Prinz“, der Geld transferieren möchte oder der „Microsoft-Scam“, bei dem Kriminelle vorgeben, der Computer eines E-Mail-Empfängers sei infiziert. Diese Betrugsmuster gibt es noch immer in diversen Variationen. Inzwischen setzen Cyberkriminelle aber verstärkt auf neue Betrugsmuster.

Entsprechend groß ist der Frust bei Konsumenten über Online-Betrug und Präventionsmaßnahmen: 39 Prozent der im Experian Business & Consumer Report 2022 befragten Deutschen finden es lästig, alle Schritte zu beachten, die notwendig sind, um Betrug zu verhindern. Zugleich sorgen sich 55 Prozent der Deutschen bei Online-Interaktionen vor Betrug und lediglich 19 Prozent sind sehr zuversichtlich, dass sie in der Lage sind, ihre persönlichen Daten online adäquat zu schützen.

Die neuen Maschen der Cyberkriminellen

Konsumenten sollten vor allem vor einer Reihe relativ neuer Maschen auf der Hut sein:

  • „Lexikon“-Masche: Hierbei werden Käufer von gedruckten Enzyklopädien kontaktiert, um einen angeblichen Ergänzungsband zu erwerben. Für den eine Sammlung komplettierenden Band müssen die Betroffenen in Vorkasse gehen – dabei handelt es sich um Summen von mehreren tausend Euro. In den Verkaufsgesprächen werden zumeist ältere Betroffene von Vertretern massiv bedrängt und unter Druck gesetzt, Kaufverträge abzuschließen.

  • Massen-SMS mit dem Betreff „Paket kann abgeholt werden“. Diese Masche ist gerade in Zeiten boomenden Online-Versands besonders erfolgversprechend für Cyberkriminelle. Das sogenannte Smishing kann unterschiedliche Absichten verfolgen: In manchen Fällen werden schädliche Apps verbreitet, in anderen Daten ausgelesen oder Betroffene in eine Abo-Falle gelockt.

  • Autofinanzierungsangebote, die zu gut sind, um wahr zu sein: Hier werden Konsumenten auf vermeintliche Leasingportale geleitet, auf denen sie vertrauliche Daten unter anderem zu ihrem Bankkonto eingeben müssen.

  • Job-Fraud mit dem Betreff „Verdiene Geld von zuhause“ o.ä.: Diese Masche ist aktuell besonders erfolgreich, weil die klassische Büroarbeit gerade vielen jungen Menschen als antiquiert erscheint. Zudem ist es die Zielgruppe gewöhnt, insbesondere auf Social Media vermeintlich sichere Methodenangeboten zu bekommen, um schnell ans große Geld zu kommen. Neben Datendiebstahl werden Betroffene aufgefordert, für spezielle Trainings zu zahlen, deren Abschluss angeblich ein erfolgreiches Business garantiert.

Auch Unternehmen sind betroffen

Auch Unternehmen werden immer häufiger zur Zielscheibe von Cyberkriminellen. Beliebte Methode sind sogenannte Social-Engineering-Angriffe, bei denen die Täter versuchen, an vertrauliche Informationen zu gelangen, indem sie gezielt Mitarbeiter eines Unternehmens kontaktieren und manipulieren.

  • Dazu werden zum Beispiel gefälschte E-Mails oder Nachrichten verwendet, die den Anschein erwecken, von vertrauenswürdigen Quellen zu stammen. So kann es beispielsweise vorkommen, dass ein Mitarbeiter eine Nachricht mit dem Betreff „Bitte bestätigen Sie Ihre Kontaktdaten für den Notfall“ erhält, die angeblich von der IT-Abteilung des Unternehmens stammt. In der Nachricht wird der Mitarbeiter aufgefordert, seine Kontaktdaten zu überprüfen und gegebenenfalls zu aktualisieren. Tatsächlich handelt es sich jedoch um eine betrügerische Masche, mit der die Täter versuchen, an vertrauliche Daten zu gelangen.

  • Eine weitere verbreitete Methode ist das Versenden gefälschter Nachrichten im Namen bekannter Dienste oder Anwendungen. So kann beispielsweise eine Nachricht mit dem Betreff „Microsoft One Drive hat nur noch wenig Speicherplatz“ dazu führen, dass ein Mitarbeiter auf einen Link klickt, der zu einer gefälschten Login-Seite führt. Dort werden dann die Zugangsdaten des Mitarbeiters abgefangen und für betrügerische Zwecke missbraucht.

  • Auch das Versenden gefälschter Nachrichten im Namen des Unternehmens selbst kommt häufig vor. So kann eine Nachricht mit dem Betreff „Sie haben eine vertrauliche Nachricht unrechtmäßig versendet“ dazu führen, dass ein Mitarbeiter auf einen Link klickt, der zu einer gefälschten Login-Seite führt. Dort werden dann die Zugangsdaten des Mitarbeiters abgefangen.

Ziel solcher Angriffe ist es, an vertrauliche Informationen wie Namen, Positionen und Kontaktdaten zu gelangen, um beispielsweise einen CEO-Fraud zu begehen. Es ist wichtig, sich vor diesen und anderen Betrugsmustern im Rahmen von Social-Engineering-Angriffen zu schützen.

Dazu gehört vor allem Skepsis und Vorsicht im Umgang mit verdächtigen Nachrichten oder Anfragen, auch wenn sie auf den ersten Blick seriös oder vertrauenswürdig erscheinen. Auf Unternehmensseite sind die Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter wichtige Schritte, um das Risiko von Social-Engineering-Angriffen zu minimieren. Immerhin geben laut der Studie 62 Prozent der deutschen Unternehmen die Verbesserung ihrer Betrugsprävention als hohe oder gar kritische Priorität an.

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments