#10TageGegenPhishing – Internetbetrug gemeinsam eindämmen

Hand aufs Herz: Hast du auch schon einmal auf einen Link in einer Mail oder einer Nachricht geklickt und dir anschließend gedacht: „Das hätte ich lieber nicht tun sollen?“ Im stressigen Alltag kann so eine Unachtsamkeit schnell passieren – leider kann ein unbedachter Klick auch weitreichende Folgen haben, wenn es sich um einen Phishing-Betrugsversuch handelt. Dieser Beitrag klärt im Rahmen der Kampagne #10TagegegenPhishing zu den gängigsten Betrugsmaschen auf und sammelt die wichtigsten Informationen sowie Anlaufstellen.

Phishing (von „fishing“, Englisch für „Angeln“ in Verbindung mit dem „P“ von „Passwort“) ist eine Form der Cyberkriminalität und bedeutet in den meisten Fällen „Passwort-Fishing“. Es geht um das Herauslocken von Bank- und Kreditkarten-Daten, indem man sich als vertrauenswürdige Quelle ausgibt. Zum Beispiel erhalten die Nutzer:innen gefälschte E-Mails oder SMS, die sie auffordern, auf einen Link zu klicken oder persönliche Informationen einzugeben. Diese Daten werden dann missbraucht, um sich Zugang zu den Online-Banking-Konten oder anderen Diensten zu verschaffen.

Cyberkriminalität stellt seit Jahren der am stärksten wachsenden Bereich in der polizeilichen Anzeigenstatistik[1] dar. Im Jahr 2022 wurden 60.195 Cybercrime-Delikte in Österreich angezeigt, im Jahr 2023 waren es 65.864 Fälle, was einer Zunahme von 9,4 Prozent entspricht. Eine noch deutlichere Zunahme der gemeldeten Fälle ist im Bereich Internetbetrug zu verzeichnen: Im Jahr 2023 wurden insgesamt 34.069 Delikte gemeldet, was einem Anstieg von 23,3 Prozent gegenüber dem Vorjahr entspricht. Gleichzeitig sinkt die Aufklärungsquote, was auf raffinierte Verschleierungsmethoden im Internet und die Professionalisierung der Tätergruppen zurückzuführen ist.

Diese Zahlen machen den dringenden Handlungsbedarf besonders deutlich.

Daten-Phishing ist im gesamten Bankensektor leider ein weitverbreitetes Phänomen. Für Kundinnen und Kunden wird es zunehmend schwieriger, die komplexen Angriffe zu erkennen und entsprechend zu handeln.

Aus diesem Grund haben österreichische Geldinstitute gemeinsam mit dem Innenministerium, dem Bundeskriminalamt sowie der PSA Payment Services Austria GmbH und Telekommunikationsunternehmen die „Plattform gegen Daten-Phishing“ gegründet.

Die Plattform ermöglicht Expert:innen aus unterschiedlichen Bereichen, ihr Wissen und ihre Erfahrungen auszutauschen und gemeinsam Maßnahmen zu entwickeln.

Bei der Auftaktveranstaltung waren CFO/CRO der Wüstenrot Gruppe Mag. Gregor Hofstätter-Pobst sowie Christoph Nissl, Head of Compliance bei Wüstenrot, dabei: 

Christoph Nissl ist Head of Compliance bei Wüstenrot und Mitglied der Plattform gegen Daten-Phishing. Mit ihm haben wir über die Herausforderungen der Phishing-Thematik gesprochen und welche Maßnahmen es bei Wüstenrot gibt, um sowohl Mitarbeiter:innen als auch Kund:innen zu schützen.

Um Internetbetrug effektiv zu begegnen, braucht es sowohl technische Lösungen, als auch Prävention und Aufklärungsarbeit. „Wir sind technisch gut gerüstet und setzen verschiedene Maßnahmen ein, um Phishing vorzubeugen. Dazu gehört beispielsweise die Bereitstellung von Informationsmaterial für Mitarbeiter:innen“, erklärt er. 

Seit einem Jahr gibt es nun die Plattform gegen Daten-Phishing. Christoph Nissl berichtet von den Zielen und Maßnahmen der Initiative: „Die Plattform ermöglicht den intensiven Austausch und eine stärkere Vernetzung zwischen den Banken und letztlich konkrete Lösungsansätze im Kampf gegen das Daten-Phishing. Als Leiter des Betrugsmanagementsbei Wüstenrot bin ich ein aktives Mitglied der Plattform und vertrete die Interessen unserer Gruppe. Da wir eine vergleichsweise junge Bank sind, sehen wir außerdem die Gelegenheit, von den Erfahrungen und Lösungsansätzen anderer Institute zu lernen, um die Sicherheit unserer Kundinnen und Kunden zu gewährleisten.“

Es konnten auch bereits erste Erfolge verzeichnet werden, wie er berichtet: „Es geht zum Beispiel um die Einrichtung einer zentralen Meldestelle für Phishing-Vorfälle, die Durchführung von Aufklärungskampagnen und Schulungen, die Entwicklung von technischen Lösungen zur Erkennung und Blockierung von Phishing-Seiten und die Unterstützung der polizeilichen Ermittlungen.“

Bei der Phishing-Prävention geht es einerseits um technische Maßnahmen und andererseits um Wissensvermittlung.

Die Implementierung und Aktualisierung von technischen Sicherheitsmaßnahmen sind unerlässlich. Dies umfasst den Einsatz von Anti-Phishing-Software, regelmäßige Sicherheitsupdates und das Einrichten von Filtersystemen, die verdächtige E-Mails, SMS und sonstige Nachrichten erkennen und blockieren können.

Darüber hinaus ist das Wissen um Phishing-Techniken der größte Faktor, um diese Form der Cyberkriminalität einzudämmen. Wenn Personen informiert und dadurch achtsamer sind, führen Betrugsfälle viel seltener zum Ziel.

Phishing stellt nicht nur ein technisches, sondern auch ein soziales Problem dar, da es auf die Manipulation und Ausnutzung menschlicher Schwächen abzielt. Der Fachbegriff dazu lautet „Social Engineering“ und meint dabei die Taktik, ein Opfer zu manipulieren, zu beeinflussen oder zu täuschen, um die Kontrolle über ein Computersystem zu erlangen oder persönliche und finanzielle Informationen zu stehlen. Zeitdruck, Dringlichkeit und Angstmacherei sind dabei beliebte psychologische Strategien.

Die Modi der Tätergruppen wechseln sehr rasch und werden situationselastisch angepasst, etwa beim Black Friday oder im Weihnachtsgeschäft. Oft suchen sich die Tätergruppen einen Zeitpunkt, an dem die Menschen häufiger Onlinebestellungen tätigen und damit den Überblick verlieren.

Wenn ein Betrugsversuch den Erwartungshaltungen und Gewohnheiten eines potenziellen Opfers entspricht, hat er umso höhere Erfolgschancen.

Das Motto sollte daher immer lauten: Erst lesen, dann klicken!

Besonders gefährdet sind nicht nur Menschen, die zu Gutgläubigkeit neigen, sondern auch wenig internet- oder handyaffine Menschen. Wichtig ist dabei, mit potenziell gefährdeten Menschen wie älteren Verwandten, Bekannten oder nicht-affinen Personen zu sprechen und sie zu sensibilisieren.

KI kann dazu beitragen, Phishing-Angriffe noch realistischer zu gestalten und damit schwieriger erkennbar zu machen. Mit fortschrittlichen Technologien und Algorithmen können die Tätergruppen ihre Taktiken immer mehr ausweiten. Zum Beispiel gab es bereits betrügerische Telefonanrufe mit KI-generierten Stimmen, die verwandten oder bekannten Personen ähnelten.

Es gibt einige einfache Maßnahmen, um sich effektiv vor Phishing zu schützen:

• Achte darauf, dass die Website, auf der du dich befindest, die richtige Adresse hat und ein gültiges Sicherheitszertifikat besitzt.
• Öffne niemals Links oder Anhänge in verdächtigen E-Mails oder SMS.
•  Antworte nicht auf verdächtige oder unerwartete Nachrichten.
• Ändere regelmäßig deine Passwörter.
• Nutze starke Passwörter mit einer Kombination von Buchstaben, Zahlen und Sonderzeichen. Hier findest du Tipps für sichere Passwörter.
• Passwort-Manager sind ein nützliches Werkzeug, damit man sich nicht viele komplizierte Passwörter merken muss.
•  Installiere immer die neuesten Sicherheitsupdates für deine Geräte und Programme.

Wenn du auf einer gefälschten Website deine Bankdaten oder Kreditkartendaten eingegeben hast, haben Kriminelle Zugriff auf dein Konto. Du solltest anschließend folgende Schritte befolgen:

• Kontaktiere deine Bank bzw. das Kreditkarteninstitut und erkläre genau, was passiert ist. Die Mitarbeiter:innen wissen, was nun zu tun ist.
• Möglicherweise müssen Zugänge und Karten gesperrt werden.
• Behalte deine Abbuchungen genau im Blick und achte auf verdächtige Vorgänge.
• Vorsicht vor seltsamen Anrufen: Eventuell wirst du von den Täter:innen kontaktiert und unter kreativen Vorwänden zur Freigabe von Zahlungen gedrängt.

Zugangsdaten von Online-Diensten wie PayPal, Netflix oder E-Mail-Programmen

• Ändere sofort dein Passwort.
• Das neue Passwort sollte besonders stark sein.
• Überprüfe, ob Bestellungen getätigt wurden. Storniere die Bestellung und informiere die Plattform über den Betrugsfall.
• Behalte die Abbuchungen im Blick, falls Zahlungsdaten hinterlegt sind.

Zugangsdaten bei sozialen Netzwerken wie Facebook, Instagram, TikTok usw.

• Ändere sofort dein Passwort.
• Das neue Passwort sollte besonders stark sein.
• Wenn es nicht mehr möglich ist, das Passwort zu ändern, melde dein Konto bei der jeweiligen Plattform als gehackt.
• Unterstützung bekommst du bei der Internet Ombudsstelle. 
• Überprüfe, ob die Täter:innen etwas in deinem Namen veröffentlicht haben.
• Informiere deinen Bekanntenkreis über den Betrugsfall und bitte sie, das gehackte Konto ebenfalls zu melden.

Am 9.9.2024 startet die Kampagne #10TagegegenPhishing. Die gemeinsame Initiative der PSA Payment Services Austria GmbH, der Österreichischen Banken, des Bundeskriminalamts und der Watchlist Internet in Zusammenarbeit mit den Landespolizeidirektionen, Telekommunikationsbetreibern und Paketdienstleistern klärt 10 Tage lang über die 10 gängigsten Phishing-Betrugsversuche auf.

Wichtigstes Ziel dabei ist es, das Zweifeln und Hinterfragen bei den Nutzer:innen zu etablieren. Sie sollen darin geschult werden, verdächtige Muster zu erkennen und entsprechend zu handeln. Es geht nicht nur darum, Phishing-Fallen zu umgehen, sondern auch schnell zu erkennen, wenn man in die Falle getappt ist.“

Denn je schneller ein Betrugsversuch bei der Bank oder dem Kreditinstitut gemeldet wird, umso kleiner ist der Schaden. 

Nachfolgend werden die 10 gängigsten Betrugsmaschen beschrieben mit wichtigen Hinweisen und Tipps, solltest du solche Nachrichten erhalten.

1)      Wenn Microsoft, PayPal, die Bank oder Amazon plötzlich anrufen…

Betrugsmaschen und Phishing-Angriffe im Zusammenhang mit Bankkonten oder sensiblen Nutzungsprofilen wie jenen von Amazon, PayPal, Microsoft oder Apple kommen oft vor, da viele Personen solche Konten besitzen.

Beachte folgende Punkte:

• Ignoriere oder beende unerwartete Anrufe im Namen deiner Bank oder von Unternehmen wie Apple, Microsoft, PayPal oder Amazon spätestens, sobald persönliche Daten abgefragt werden.
• Gib niemals Testzahlungen in der Banking-App frei! Dabei ist es egal, wie häufig das Gegenüber am Telefon versichert, dass es sich nicht um echte Abbuchungen handeln würde oder das Geld umgehend zurückerstattet werden soll. Selbstständig freigegebene Zahlungen sind in aller Regel verloren!
• Für Rückerstattungen ist keine Freigabe durch dich selbst notwendig! Oft behaupten Kriminelle, dass bereits Abbuchungen vorgenommen worden wären. Erst durch die vermeintliche Freigabe der Rückerstattungen werden tatsächlich Geldbeträge gestohlen.
• Lasse keine fremden Zugriffe auf deine Systeme zu! Häufig fordern Kriminelle die Installation von Fernwartungssoftware wie AnyDesk oder TeamViewer. Dadurch erhalten sie Zugriff auf dein System, können leichter Geld stehlen und womöglich Schadsoftware installieren.
•  Ignoriere Anrufe von Tonbändern! In einigen Fällen erfolgt die erste Kontaktaufnahme per Tonbandaufnahme. Lege umgehend auf.

2)      Wenn du nach Service-Telefonnummern sucht, aber bei Kriminellen landest...

Kriminelle machen es sich zu Nutze, dass Telefonnummern oft verborgen bleiben und leiten über Werbeschaltungen in den Suchergebnissen an betrügerische Hotlines weiter.

• Suche möglichst direkt auf der Website des jeweiligen Unternehmens nach Kontaktnummern. Oft bietet man auch ein Rückrufservice an oder fragt über die Chatfunktionen nach Kontaktnummern.
• Achte bei der Suche auf Google darauf, ob du eine bezahlte Anzeige oder ein generisches Suchergebnis anklickst.
• Beende Gespräche sofort, wenn das angebliche Servicepersonal einen Fernzugriff auf dein System verlangt.
• Beende das Gespräch sofort, wenn du Testzahlungen freigeben sollst.
• Beende das Gespräch sofort, wenn du nach persönlichen Daten gefragt wirst.

3)      Wenn betrügerische Nachrichten von Finanzamt, ÖGK und Co im Posteingang landen…

Wir alle haben immer wieder mit der Österreichischen Gesundheitskasse ÖGK, anderen Versicherungsträgern, dem Finanzamt bzw. FinanzOnline zu tun. Dementsprechend werden massenhaft Nachrichten im Namen der Versicherungsträger, Behörden und Institutionen versandt.

Beachte folgende Punkte:

• Folge keinen Links aus E-Mails und SMS, wenn du dir nicht vollkommen sicher bist, dass die Nachrichten echt und seriös sind.
• Wenn du unsicher bist, kontaktiere die jeweilige Behörde oder Institution und erkundige dich nach der Echtheit der Nachrichten.
• Du hast auf den Link geklickt und bist plötzlich unsicher? Dann wirf einen Blick auf die Webadresse! Du erkennst dann sofort, ob du statt beispielsweise auf „oegk.at“ auf „lucineidepagano.com.br“ weitergeleitet wurdest.
• Im Phishing-Alarm der Watchlist Internet findest du viele aktuelle Beispiele für Phishing-SMS und -Mails.

4)      Wenn dein Kind dich per SMS bittet, die neue Nummer einzuspeichern…

Zwischen Eltern und ihren Kindern besteht eine emotionale Bindung. Kriminelle versuchen, diese Bindung auszunützen, indem sie massenhaft SMS verschicken, die den Anschein erwecken, als kämen sie vom eigenen Kind.

Beachte folgende Punkte:

• Sei skeptisch! Womöglich ist der Schreibstil „deines“ Kindes ungewöhnlich oder die Kommunikation läuft ganz anders als sonst?
• Überprüfe die alte Nummer des Kindes! Ruf die Nummer an oder schreib eine Nachricht. In aller Regel lässt sich so schnell klären, ob das Kind eine neue Nummer hat.
•  „Dein“ Kind verlangt plötzlich Geld? Achtung! Wenn auf die Bitte, eine neue Telefonnummer zu speichern, eine Geldforderung folgt, ist das sehr verdächtig.
• Handle nicht voreilig! Kläre insbesondere vor der Freigabe von Zahlungen ab, ob du es tatsächlich mit deinem Kind zu tun hast. Halte Rücksprache mit anderen Personen in der Familie. Je mehr Personen in derartige Situationen involviert sind, desto eher fallen Ungereimtheiten an der Geschichte auf.
• Stelle Fragen, die nur dein Kind beantworten kann! Fragen und Fangfragen können helfen, einen Betrugsversuch zu erkennen. Dein Kind hat keinen Hund? Dann frage dein angebliches Kind, wie es dem Hund denn geht.

5)      Wenn du dir auf Kleinanzeigenplattformen etwas dazuverdienen willst…

Kleinanzeigenplattformen wie Willhaben, Vinted, Ebay, Shpock und Co. haben es längst in unseren Alltag geschafft. Kriminelle nutzen die Plattformen, um mobile TAN-Codes zu ermitteln oder angebliche Testzahlungen freizugeben.

Beachte folgende Punkte:

• Kommuniziere über die Chatfunktionen der Kleinanzeigenplattformen! Die Kriminellen versuchen, Telefonnummern und E-Mail-Adressen zu entlocken, um dort betrügerische Links zu schicken. Einige Plattformen verwenden Filter, die solche Links herausfiltern.
• Wenn die Übermittlung von TAN-Codes oder die Freigabe von Testzahlungen gefordert wird, handelt es sich immer um Betrug!
• Prüfe vor einer Bekanntgabe von Zahlungsdaten nochmals, ob du dich auf der korrekten Webadresse befindest.

6)      Wenn du auf Booking zu einer neuerlichen Zahlung aufgefordert wirst…

Booking.com ist eine der meistgenutzten Plattformen für die Buchung von Hotels und anderen Unterkünften. Über Phishing-Angriffe verschaffen sich die Kriminellen Zugang zu den Booking-Profilen einzelner Unterkünfte. So erhalten sie Zugriff zu sämtlichen Buchungsdaten und können anschließend perfekt personalisierte Nachrichten über den Chat verschicken und zu neuerlichen Zahlungen auffordern. 

Beachte folgende Punkte:

• Führe keine Zahlungen über Links im Booking.com-Chat aus. Wenn du unsicher bist, kontaktiere Booking.com direkt oder rufe bei der Unterkunft an. Lass dich nicht von den kurzen Zahlungsfristen unter Druck setzen.
• Achte vor einer Eingabe von Zahlungsdaten immer auf die Webadresse.
• Man fordert dich zu einer neuerlichen Zahlung auf? Dann kontrolliere zuerst dein Bank- oder Kreditkartenkonto und prüfe, ob eine Abbuchung oder Reservierung des Geldbetrages vorliegt. Ist das der Fall, leiste auf keinen Fall eine neuerliche Zahlung.

7)      Wenn das sicher geglaubte Investment zum Albtraum wird…

Wir alle haben schon von unglaublichen Investment-Storys gehört und gelesen. Kriminelle setzen darauf, dass auch du solche Geschichten im Kopf hast. Mit dem Versprechen kleiner und leistbarer Investments von etwa 250 Euro zu Beginn versucht man, die Opfer einzufangen. Durch vorgegaukelte Gewinne, persönliche Betreuung, erfundene Auszahlungsgebühren und Steuerzahlungen werden immer weitere Zahlungen erwirkt.

Beachte folgende Punkte:

• Gefälschte Nachrichtenartikel und bekannte Promis: Vertraue nie auf einzelne Meldungen und führe eine tiefergehende Recherche zu angeblichen Investment-Erfolgsgeschichten durch.
• Dating-Plattformen und Online-Bekanntschaften: Achtung vor schnellen Liebesbekundungen auf Dating-Plattformen. Insbesondere dann, wenn schon bald darauf Investitions-Tipps und Aufforderungen folgen.
• Unglaubliche Gewinnversprechen: Wenn Investitionsmöglichkeiten als völlig risikofrei beworben werden und zusätzlich unglaubliche Gewinne mit kleinem Investment versprochen werden, bitte Vorsicht! Frei nach dem Motto: Wenn es zu schön ist, um wahr zu sein, ist es meist nicht wahr.
• Erlaube keine Fernzugriffe auf deine Systeme: Wenn eine Investitionsplattform bzw. die persönliche Beratung Zugriffe auf deinen Computer fordert, um zu „helfen“, dann handelt es sich um Betrug.
• Keine Auszahlung möglich: Auf betrügerischen Investitionsplattformen sind Auszahlungen (außer zur Vertrauensbildung ganz zu Beginn) unmöglich. Stattdessen gehen die Gewinne plötzlich verloren und du sollst neues Geld investieren, du musst erfundene Wechselgebühren bezahlen oder es werden vorab sogenannte „Steuern“ verlangt. Die angeblichen Gewinne bekommst du nie.

8)      Wenn Banken zu App-Aktualisierungen drängen…

Geräte, Betriebssysteme und Apps schreien immer wieder nach Updates. Daran haben wir uns bereits gewöhnt – und so kann es auf den ersten Blick glaubhaft erscheinen, dass auch bei der App der eigenen Bank dringend und sofort ein Update installiert werden muss. Diesen Umstand versuchen die Kriminellen mit ihren Phishing-SMS und -Mails auszunützen.

Beachte folgende Punkte:

• Folge keinen Links aus E-Mails und SMS, wenn du dir nicht vollkommen sicher bist, dass die Nachrichten echt und seriös sind.
• Du bist unsicher? Dann kontaktiere deine Bank und frage nach der Echtheit derartiger Nachrichten.
• Du sollst die Installation einer App aus unbekannter Quelle durchführen? Achtung! Diese Nachricht stammt ziemlich sicher nicht von deiner Bank.
• App-Installationen und Updates sollten ausschließlich über die offiziellen App-Stores erfolgen.
• Du hast auf einen Link geklickt? Schau auf die Webadresse und gib ausschließlich dann Daten ein, wenn du dich auf der echten Online-Banking-Website befindest.

9)      Wenn sich Gewinnspiele und Geschenke auf Social Media als gefährlich entpuppen…

Unternehmen veranstalten zu Werbezwecken immer wieder Gewinnspiele, um auf sich als Marke aufmerksam zu machen. Dass wir uns an so einfache Gewinnspielteilnahmen gewöhnt haben, nutzen Kriminelle für sich aus und veröffentlichen im Namen großer Marken und Unternehmen Fake-Gewinnspiele.

Beachte folgende Punkte:

• Sei skeptisch bei Werbeschaltungen auf Social Media. Auch Fake-Profile können Werbung veröffentlichen.
• Überprüfe, ob es sich um ein echtes Unternehmensprofil handeln kann. Wenn das Profil erst seit Kurzem besteht oder nur sehr wenige Follower hat, bitte um Vorsicht.
• Suche nach anderen Profilen im Namen des Unternehmens, so findest du die echten Profile. Häufig warnen die echten Unternehmen dort bereits vor den gefälschten Profilen und Fake-Gewinnspielen.
• Gib keine Zahlungen für Gewinnspiele frei. Auch wenn es nur um 1 bis 2 Euro für angebliche Versandkosten geht, tu das auf keinen Fall! Es handelt sich um den Versuch, einen höheren Betrag abzubuchen.

10)  Wenn sich Kriminelle als Versanddienstleister ausgeben…

Kriminelle versenden SMS und E-Mails im Namen bekannter Versandunternehmen wie der Post, DHL, DPD, Hermes und Co. Sie hoffen dabei darauf, dass ein paar der Empfänger:innen tatsächlich gerade auf eine Lieferung warten und keinen Verdacht schöpfen. 

Beachte folgende Punkte:

• Folge keinen Links aus E-Mails und SMS, wenn du dir nicht vollkommen sicher bist, dass die Nachrichten echt und seriös sind.
• Du erwartest tatsächlich ein Paket? Dann hast du vermutlich Informationen zur Sendungsverfolgung in der Bestellbestätigung erhalten. Prüfe dort, ob wirklich Probleme mit der Sendung vorliegen.
• Wenn du kein Paket erwartest, ignoriere solche SMS und E-Mails.
• Du bist einem Link gefolgt? Dann prüfe ganz genau, ob du auf einer vertrauenswürdigen Website gelandet bist.
• Prüfe bei E-Mails die Absende-Adressen. So lässt sich häufig bereits feststellen, dass die Nachrichten nicht von den echten Versanddienstleistern stammen können.

Wer die Fallen kennt, fällt nicht hinein.

Also: Informieren, im Zweifel skeptisch bleiben und kritisch hinterfragen! So können wir gemeinsam die Fälle von erfolgreichem Internetbetrug eindämmen.