Konto plötzlich leergeräumt? Dann bist Du vielleicht Opfer einer Social Engineering-Betrugsmasche geworden.
Konto plötzlich leergeräumt? Dann bist Du vielleicht Opfer einer Social Engineering-Betrugsmasche geworden. Bild: iStockphoto / AntonioGuillem
watson antwortet

Betrugsmasche Social Engineering: Was dahintersteckt und wie du dich schützen kannst

31.08.2022, 13:55

Die Europol-Masche, der Enkel-Trick oder das vermeintlich abgeschlossene Lotterieabo: Alle diese Betrügereien haben eines gemeinsam: Die Betrüger:innen haben für jede und jeden eine passende Geschichte parat, auf die die Opfer hereinfallen.

Die Methode nennt sich Social Engineering und ist im Grunde nichts Neues: Mit einem finanziellen Anliegen melden sich vermeintliche Angehörige wie Kinder oder Enkel:innen, offizielle Beauftragte wie die Polizei (Europol oder Interpol) oder Mitarbeiter:innen von Unternehmen wie Microsoft oder einer Lotteriezentrale, um dem potenziellen Opfer telefonisch oder per Messenger etwas abzupressen – mal sind es sensible Firmendaten, mal die privaten Passwörter oder Kontodaten, oder die Einwilligung, sich aus einem vermeintlich bestehenden Lotterievertrag "frei zu kaufen".

Watson hat sich von Experten erklären lassen, wie man Social Engineering erkennt und sich davor schützen kann.

"Eine favorisierte Methode ist nicht zu bestimmen. Vielmehr dürfte sich diese aus dem jeweiligen Modus Operandi und der geeigneten Opfergruppe ergeben", meint Udo Rechenbach, Pressesprecher des Landeskriminalamts Nordrhein-Westfalen auf Nachfrage von watson. Der Fantasie der Betrüger:innen sind dabei keine Grenzen gesetzt.

Hacker nutzen gezielt die Ängste der Menschen

So passiert ist das zum Beispiel kürzlich einer ausländischen Studentin, wie das Magazin "Spiegel" berichtete. Sie erhielt zunächst einen automatischen Anruf mit der Aufforderung, für weitere Informationen die "Eins" auf der Tastatur zu drücken. Daraufhin wurde sie zu einer angeblichen Mitarbeiterin der europäischen Ermittlungsbehörde durchgestellt und im weiteren Verlauf Opfer der sogenannten Europol-Masche.

Der Trick besteht aus Druckaufbau und dem Spiel mit persönlichen Ängsten – im Fall der Studentin Angst vor staatlicher Autorität und dem Verlust des Visums: Sie müsse nun kooperieren, da ihre persönlichen Daten im Zusammenhang mit einem schweren Delikt aufgetaucht seien. Zudem müsse sie mittels sogenannter Kryptobanken ihr gesamtes Bankguthaben auf ein "nationales Sicherungskonto" überweisen, um es vor Missbrauch zu schützen. Auf diese Weise erleichterten sie die Betrüger um 20.000 Euro.

"Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein großer Zeitdruck bei den Opfern aufgebaut wird."
Joachim Wagner, Pressesprecher beim BSI

Der Versuch, den Menschen zu "hacken"

Sie wollte nur das Richtige tun, sagte die betrogene Studentin. Das besonders perfide am Social Engineering ist der psychologische Mechanismus: Gegen eine perfekt zugeschnittene Lügengeschichte ist niemand immun.

Betrug übers Telefon: Nicht immer sind die Methoden leicht zu erkennen. Die Maschen werden immer ausgefeilter.
Betrug übers Telefon: Nicht immer sind die Methoden leicht zu erkennen. Die Maschen werden immer ausgefeilter.bild: imago images

Je nach Opfer zielen die Täter auf unterschiedliche emotionale Reaktionen ab – Angst, Empathie oder Gier, um an persönliche oder sensible Daten zu gelangen. Im Grunde ist das nichts anderes, als Menschen zu "hacken". Auf der Hackerkonferenz Defcon in Las Vegas gibt es dafür seit über zehn Jahren sogar einen eigenen Wettbewerb.

Grundsätzlich ist es aber beruhigend, dass die allermeisten Betrugsversuche scheitern: "Nur zu einem geringen Teil haben die Täter Erfolg. Dabei überwiegt ein Schaden von 2000 Euro oder weniger, höhere Beutesummen sind die Ausnahme", resümiert der Kriminalbeamte Rechenbach.

Wie erkenne ich Scam-Anrufe?

Joachim Wagner, stellvertretender Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), erläutert auf Nachfrage von watson: "Ein wesentliches Merkmal dieser Maschen ist in der Regel, dass ein großer Zeitdruck bei den Opfern aufgebaut wird. Bestimmte Aktionen, wie etwa das Überweisen von Geld, werden binnen kürzester Zeit eingefordert. Oft verbunden mit einer Prognose, die etwas Schlechtes befürchten lässt."

Zeitdruck aufbauen ist ein Merkmal beim Social Engineering.
Zeitdruck aufbauen ist ein Merkmal beim Social Engineering.bild: IMAGO / Westend61

So werde im Rahmen des Enkeltricks eine schnelle Überweisung gefordert, um eine Notlage zu überwinden. Auch bei den aktuellen Europol-Anrufen werde unter anderem damit geködert, nur mit rascher Kooperation weitere Ermittlungen abwenden zu können.

"Generell sollte man immer aufmerksam werden, wenn eine ungewohnte Kontaktaufnahme stattfindet und man die kontaktaufnehmende Person nicht persönlich kennt", meint Udo Rechenberg vom Landeskriminalamt NRW. Bei Europol-Anrufen erfolge die Gesprächsführung in der Regel auf Englisch und durch eine automatisierte Bandansage mit der Aufforderung zum Drücken einer Telefontaste, um weitere Informationen zu erhalten.

Wie erkenne ich Phishing Mails?

Mit einem sogenannten Drei-Sekunden-Sicherheits-Check können die Risiken laut Landeskriminalamt NRW für Phising-Mails bereits gemindert werden: Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet?

In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails sei der Betreff bewusst vage formuliert, wie "Ihre Rechnung", "Mahnung" oder "Dringende Nachricht".

Diese angebliche Mail vom Paketdienstleister dpd zielt auf private Adressdaten ab.
Diese angebliche Mail vom Paketdienstleister dpd zielt auf private Adressdaten ab. Bild: imago images /Roland Hartig

Wie reagiere ich auf Betrugsmaschen?

Erster Grundsatz bei Verdacht auf einen Scam-Anruf: "Am besten auflegen, beziehungsweise die Kommunikation abbrechen", meint BSI-Sprecher Wagner. "Wichtig ist immer, Ruhe zu bewahren und sich nicht unter Druck setzen zu lassen. Dann können fundierte Entscheidungen getroffen und solche Maschen auch erkannt werden."

Das bestätigt auch Kriminalhauptkommissar Udo Rechenbach: "Generell sollte man keine Daten preisgeben und keine Reaktion auf die Kontaktaufnahme, wie zum Beispiel durch das Drücken einer Zifferntaste, zeigen." Als Erste-Hilfe-Maßnahme bei Online-Betrugsversuchen rät er dazu, seine Passwörter regelmäßig zu ändern und eine Anti-Viren-Software über seine digitalen Endgeräte laufen zu lassen.

Was sollte ich unbedingt vermeiden?

"Auf keinen Fall sollte auf Links geklickt werden", rät Joachim Wagner vom BSI. Auch vermeintlich harmlose persönliche Informationen in sozialen Netzwerken könnten "von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden", warnt Polizeisprecher Rechenbach.

Wichtig ist auch, nicht auf Aufforderung etwas herunterzuladen: Teilweise fordern die Täter dazu auf, Remote-Apps wie "AnyDesk" oder "Teamwire" zu installieren, damit sie darüber selbst Zugriff auf den Computer bekommen und finanzielle Transaktionen über den Online-Banking-Account des Opfers durchführen können.

Wohin können Opfer sich wenden?

In Betrugsfällen sollte Strafanzeige erstattet werden, rät das BSI. "Sie sollten sich immer an Ihre örtliche Polizeibehörde wenden", sagt Udo Rechenbach vom Landeskriminalamt NRW. Das gelte insbesondere dann, wenn mehr als die bloße Kontaktaufnahme erfolgt ist oder bei Kommunikationsversuche durch angebliche Polizeibehörden.

Bei Verdacht auf einen Betrug lieber gleich die Polizei anrufen.
Bei Verdacht auf einen Betrug lieber gleich die Polizei anrufen.bild: imago / Niehoff

Wo kann ich Betrugsversuche melden?

Eine erste Anlaufstelle ist die Bundesnetzagentur, etwa um Telefonnummern zu melden oder sperren zu lassen.

Diese Informationen von Betroffenen seien äußerst wichtig, sagt BSI-Sprecher Wagner zu watson. Denn nur "wenn diese Maschen öffentlich bekannt sind, können sie von den Betroffenen auch erkannt und abgewehrt werden."

Wie werde ich untergejubelte Verträge wieder los?

Ob Zeitschriftenabo, Telefonvertrag oder ein anderes Dauerschuldverhältnis: Will man einen am Telefon abgeschlossenen Vertrag nicht haben, kann man ihn innerhalb von 14 Tagen widerrufen, so steht es auf der Webseite der Verbraucherzentrale Nordrhein-Westfalen.

Grundsätzlich gilt seit dem 1. Dezember 2021 für Telekommunikationsverträge von Internet-, Handy- und Telefonanbietern, dass Verbraucher:innen den Vertrag schriftlich genehmigen müssen. Auch telefonisch angebahnte Verträge bei Gewinnspielen werden erst nach schriftlicher Bestätigung wirksam.

0 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Leiche im Fluss gefunden: Junge Frau nach Clubbesuch getötet – Polizei sucht nach Zeugen

Nahe des Chiemsees hat ein Passant am Montagnachmittag einen schockierenden Fund gemacht. Im bayerischen Ort Kaltenbach entdeckte er gegen 14.30 Uhr die im Fluss Prien treibende Leiche einer jungen Frau. Nach einer Obduktion, die die herbeigerufenen Beamt:innen veranlasst hatten, steht jetzt fest: Die Frau wurde offenbar getötet.

Zur Story