23.04.2024 - Das BACS erhält immer wieder Meldungen von Opfern, bei denen die Betrugsmails plausibel erscheinen, weil Sie per Zufall zu einer aktuellen Situation passen. Gerade in solchen Fällen ist es besonders schwierig, Betrugsmails zu erkennen, wie drei Beispiele zeigen, die dem BACS in den letzten Wochen gemeldet worden sind. Mit der Beachtung von ein paar Grundregeln lassen sich solche Mails aber dennoch erkennen.
Wenn mehrere Zufälle aufeinandertreffen
In einem Fall, der dem BACS letzte Woche gemeldet wurde, kamen gleich mehrere Zufälle zusammen. Es begann damit, dass das Opfer ein Paket erwartete. Genau zu diesem Zeitpunkt kam die betrügerische Phishing-Nachricht, dass ein Paket nicht zugestellt werden könne, da noch eine Gebühr zu entrichten sei. Das Opfer klickte auf den Link und gab auf der Seite seine Kreditkartendaten ein, um die Gebühr von 1,99 CHF zu begleichen. Das Zusammentreffen dieser beiden Ereignisse ist noch nicht sehr überraschend. Statistisch gesehen ist es gar nicht so selten, dass eine Person, die ein Paket erwartet, gleichzeitig eine Phishing-Mail zu einem Paketversand erhält. Das BACS hat zu diesem Thema bereits einen Wochenrückblick veröffentlicht und die statistischen Effekte beleuchtet (Wochenrückblick 23).
Im aktuellen Fall ging es aber noch weiter: Kurz nach der Eingabe der Kreditkartendaten klingelte das Telefon und ein angeblicher Sicherheitsbeauftragter einer Bank rief an, um auf eine verdächtige Transaktion aufmerksam zu machen. Da sich das Opfer daran erinnerte, dass es erst vor wenigen Minuten die Kreditkartendaten eingegeben hatte, nahm es das Gespräch ernst und gewährte dem Sicherheitsberater per Fernzugriffs-Tool Zugriff auf den Computer. Dieser forderte das Opfer auf, sich ins E-Banking einzuloggen. Dort gab der angebliche Berater vor, einige Tests durchzuführen, um das E-Banking wieder sicher zu machen. Tatsächlich wurden jedoch diverse Zahlungen vom Konto des Opfers getätigt.
Die Meldung ist korrekt, die E-Mail ist aber falsch
Phishing E-Mails zu Swisspass gehören ebenfalls zu den häufigsten gemeldeten Phänomenen, die das BACS derzeit erreichen. Aufgrund der Menge von Phishing-Mails, die im Umlauf ist, sind auch hier Zufälle vorprogrammiert. In einem dem BACS gemeldeten Fall wollte das Opfer seine Fairtiq-App nutzen. Bei der Aktivierung erhielt es jedoch die Meldung, dass die Kreditkartendaten abgelaufen seien. Die angegebene Kreditkarte hatte per Zufall tatsächlich das Ablaufdatum überschritten. Als das Opfer kurze Zeit später sein E-Mail-Konto überprüfte, fand es dort eine Nachricht, dass sein Swisspass-Konto gesperrt worden sei und es auf den angegebenen Link klicken müsse, um das Konto wieder zu aktivieren. Da kurz zuvor die Fairtiq-App eine Fehlermeldung ausgab, erschien dem Opfer die E-Mail plausibel und es gab auf der Phishing-Seite seine Kreditkartendaten ein. Was unter normalen Umständen als Betrug erkannt wird, kann bei so vielen zufälligen, aber passenden Gegebenheiten jedoch schwierig werden.
Angebliche Probleme nach dem Senden der Ausweiskopie an ein Hotel
Wie bereits im letzten Wochenrückblick geschrieben, werden dem BACS derzeit hunderte von Anrufen im Namen von Fake-Behörden gemeldet. Es ist daher nicht verwunderlich, dass es auch bei diesem Phänomen Zufälle gibt. So hatte eine Melderin zwei Tage vor dem Anruf eine Kopie ihres Identitätsausweises an ein Hotel gesendet. Als dann der Anruf einer angeblichen Polizeidienststelle kam, dass mit dem Ausweis etwas nicht stimme und er missbräuchlich verwendet werde, klang das auf den ersten Ton plausibel. Auch die Tatsache, dass der Anruf der Polizeibehörde in englischer Sprache erfolgte, löste zuerst keine Skepsis aus, da sich das Hotel im Ausland befand. Erst im weiteren Verlauf des Gesprächs kamen der Betroffenen Zweifel an der Echtheit des Gesprächs und sie beendete den Anruf und meldete den Vorfall dem BACS.
Gerade bei betrügerischen E-Mails und Anrufen, die in sehr grosser Zahl im Umlauf sind, sind Zufälle vorprogrammiert. Die grosse Masse ist sicher auch eine Taktik der Angreifer. Da die E-Mails und Anrufe mittlerweile von vielen als betrügerisch eingestuft werden, versuchen sie, mit dem Massenversand ihre Chancen zu erhöhen, dass eine Mail zufälligerweise zu einer tatsächlichen Situation passt.
Empfehlungen:
Mit ein paar Grundregeln lassen sich aber auch in solchen Situationen betrügerische E-Mails erkennen:
- Prinzipiell gilt: Seien Sie skeptisch, wenn sich jemand unaufgefordert meldet. Sei dies per Telefon, Textnachricht oder E-Mail.
- Geben Sie in solchen Fällen unter keinen Umständen Daten wie Passwörter, Codes oder Kreditkartendaten preis.
- Passwörter, Codes oder Kreditkartendaten werden niemals von Institutionen per Telefon oder E-Mail abgefragt.
- Gestatten Sie auch niemandem Fernzugriff auf den Computer, auch wenn dies noch so plausibel erscheint.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 23.04.2024
