Wie man sich vor Betrug im Internet schützt. Praktische Ratschläge
28.12.2010
Darja Gudkova
Wie man sich vor Betrug im Internet schützt. Praktische Ratschläge
Seit es das Internet gibt, sind dort auch Betrüger unterwegs. Von Jahr zu Jahr ersinnen die Gauner immer neue technische Tricks und Verfahren, um ihre potentiellen Opfer zu betrügen.
In diesem Artikel stellen wir verschiedene Arten des Betrugs vor und zeigen, wie man sich davor schützen kann.
Im Unterschied zu anderen Bedrohungen aus dem Internet wie Viren, Trojaner, Spionage-Programme, SMS-Blocker oder Spam weist der Betrug eine bemerkenswerte Besonderheit auf: Der Angreifer hat es nicht auf den Computer abgesehen, um dessen Schutz zu umgehen, sondern auf den Menschen, der bekanntlich seine Schwächen hat. Deshalb bietet einerseits kein Programm dem User vollständigen Schutz, andererseits kann dieser selbst sehr viel für seine Sicherheit tun.
Über die technischen Aspekte und Schemata des Betruges haben wir schon berichtet (zum Beispiel im Übersichts-Artikel http://www.securelist.com/en/analysis/204792012/Fraudulent_spam). Die bloße Kenntnis der Methoden, derer sich die Angreifer bedienen, schützt jedoch nicht immer. In diesem Artikel formulieren wir deshalb einfache Regeln, mit deren Hilfe man vielen Fallen im Netz ausweichen kann.
Arten des Betrugs
Phishing
Zu Phishing-Mails gehören gefälschte Nachrichten von Bank- und Bezahlsystemen, E-Mail-Providern, sozialen Netzwerken oder Online-Spielen. Sie haben es auf vertrauliche Daten des Users zu abgesehen, zum Beispiel auf Login und Passwort. Zum traditionellen Phishing zählt das Bank-Phishing, das auf Ihr Online-Bankkonto oder Ihre Zugangsdaten für ein elektronisches Bezahlsystem zielt. Sobald die Angreifer Ihr Login und Passwort herausgefunden haben, erhalten sie Zugang zu Ihrem Konto.
Die Phisher fälschen ihre Mails geschickt, indem sie diese wie offizielle Mails verschiedener Unternehmen aussehen lassen. Sie verwenden insbesondere die Logos dieser Unternehmen und ahmen den allgemeinen Stil ihrer Korrespondenz nach. In der Regel schlagen die Phisher dem User vor, einen Link aufzurufen und seine persönlichen Daten einzutragen. Als Vorwand werden gewöhnlich erhöhte Sicherheitsmaßnahmen angegeben, die es erforderlich machen, dass sich der User erneut einloggt.
Folgt der dem Link, landet er auf der betrügerischen Webseite, die wie die Echte aussieht und in deren Felder er sein Login und Passwort einträgt. Anschließend werden diese Daten den Betrügern gesandt und der User wird auf die echte Site umgeleitet. Oft enthalten die betrügerischen Webseiten Exploits, die auf dem Computer des Users Spionage-Programme installieren. Selbst wenn Sie dem Link nur aus reiner Neugier gefolgt sind Ihr Login und Passwort gar nicht eingeben wollen, kann auf Ihrem Computer ein Schadprogramm installiert werden, das in der Folgezeit diverse persönliche Informationen stehlen kann.
Woran erkennt man eine Phishing-Mail?
Fall 1: Sie haben von der Bank/dem Bezahlsystem/vom E-Mail-Provider eine Mail erhalten. Sie sind nicht Kunde der Bank/des Bezahlsystems/des E-Mail-Providers, also ist dies eindeutig eine Betrugs-Mail – löschen Sie sie einfach.
Fall 2: Sie haben von der Bank/dem Bezahlsystem/vom E-Mail-Provider eine Mail erhalten. Sie besitzen ein Konto bei diesem System. Lesen Sie in diesem Fall aufmerksam die Mail durch: Bittet man Sie unter einem beliebigen Vorwand, einem Link zu folgen und Ihr Login und Passwort einzugeben, dann ist die Mail eine betrügerische Mail. In ihren offiziellen Mails bitten Unternehmen ihre Kunden niemals, sich auf solche Weise einzuloggen.
Es gibt ein einfaches Verfahren, um eine gefälschte von einer echten Mail zu unterscheiden – bewegen Sie Mauspfeil auf den Link. Dann sehen Sie in einem neuen Fenster oder in der unteren linken Ecke des Mail-Client die wahre Adresse der Webseite, auf die Sie geraten werden, wenn Sie dem Link folgen. Schauen Sie die Adresse aufmerksam an: Die Domain der zweiten Ebene (sie steht unmittelbar vor dem ersten Slash) muss der Organisation gehören, die die Mail versendet.
So ist in der Mail des Bezahlsystems PayPal der folgende Link richtig: http://anything.paypal.com/anything
Betrügerisch sind dagegen alle Links, die nicht unmittelbar vor dem ersten Slash die Domain paypal.com enthalten, zum Beispiel
Hüten Sie sich auch vor gefälschten Mails mit Anhängen. Solche Mails können sowohl Phishing-Mails sein, die Ihre vertraulichen Daten stehlen wollen, als auch Schad-Anhänge enthalten.
Wenn Sie immer noch zweifeln, ignorieren Sie den Link in der Mail und geben Sie die Adresse der offiziellen Webseite selbst in Ihren Browser ein. So vermeiden Sie es garantiert, auf einer betrügerischen Webseite zu landen. Zudem können Sie der offiziellen Webseite alle Informationen entnehmen, die Sie interessieren.
Die Betrüger interessiert jedoch nicht nur Ihr Online-Bankkonto oder der Account bei einem elektronischen Bezahlsystem. Für sie ist jede persönliche Information relevant, deshalb zielt Phishing auch auf Mail-Systeme, soziale Netzwerke, Online-Spiele und insgesamt auf jedes System, bei dem sich User mit Login und Passwort anmelden.
Phishing: soziale Netzwerke
Haben Sie einen Account bei Facebook, Twitter, Orkut, LinkedIn oder einem beliebigen anderen heute populären sozialen Netzwerk? Dann wissen Sie bereits, wie eine offizielle Mail aussieht.
Eine gefälschte Mail, die Ihre persönlichen Daten stehlen und Phishern den Zugang zu Ihrem Account im sozialen Netzwerk verschaffen soll, kann jedoch ebenso aussehen. Das Schema ist ähnlich dem oben beschriebenen Bank-Phishing: Sie erhalten eine Nachricht, die angeblich von einem sozialen Netzwerk stammt und Sie darüber informiert, dass Sie die Anmeldung erneuern müssen, Ihnen jemand eine Nachricht hinterlassen hat oder Sie jemand zu seinen Freunden hinzufügen will. Sie folgen dem Link, aber statt der offiziellen Webseite befinden Sie sich auf einer gefälschten, die eine exakte Kopie der legalen Webseite darstellt. Sie geben also Ihr Login und Ihr Passwort ein. Beides wird anschließend den Betrügern gesandt und dann leitet man Sie auf die offizielle Webseite weiter.
Gefälschte Nachrichten von sozialen Netzwerken müssen nicht unbedingt nach Login und Passwort verlangen. Die Mail kann wie eine echte aussehen – mit Ausnahme des Links. Schauen Sie aufmerksam, auf welche Webseite Sie kommen.
Häufig geben die Betrüger ihren Webseiten Namen, die ähnlich lauten wie die Namen der legalen Webseiten, zum Beispiel:
http://fasebook.com/http://facebook.com/
Phishing: Online-Spiele
Selbst in kostenlosen Online-Spielen gibt es oft bestimmte Gegenstände, die der User kaufen kann: zusätzliche Rüstungen, Artefakte, ein originelles Aussehen der Figur oder beliebige zusätzliche Boni. Und wo Geld ist, ist auch Betrug. Das Schema ist standardisiert: den User auf eine gefälschte Webseite locken. Wie auch bei anderen Formen des Phishings kann die Adresse der gefälschten Webseite der Adresse der offiziellen sehr ähnlich sein.
Nur der sehr aufmerksame User wird feststellen, dass die Domain, auf die er wechselt, den zusätzlichen Buchstaben „i“ enthält: worlidofwarcraft.com. Der User, der jedoch mit Phishing vertraut ist, erkennt Betrüger sofort: In echten Mails wird niemals vorgeschlagen, einem Link in der Mail zu folgen, um das Passwort einzugeben!
Um die Aufmerksamkeit des Users zu gewinnen, können die Betrüger auch ausgeklügeltere Vorwände ersinnen. Man kann Ihnen zum Beispiel vorschlagen, am Beta-Test eines neuen Spiels teilzunehmen oder Ihnen etwas Kostenloses anbieten – sofern Sie den Link verfolgen. Wenn Sie dies jedoch tun, können Sie auf einer gefälschte Webseite landen, über die die Angreifer versuchen, Ihre persönlichen Daten zu stehlen. Sie können auch auf eine infizierte Webseite geraten, von der diverse Schadprogramme auf Ihren Computer heruntergeladen werden.
Wie auch bei anderen Formen des Phishings schützt man sich dadurch, dass man sich nicht von Weblinks auf anderen Webseiten locken lässt und keine persönlichen Daten eingibt. Auf eine offizielle Webseite kann man immer gelangen, ohne dabei betrügerischen Links zu folgen.
Andere Formen des Phishings
Die Formen des Phishings können sehr unterschiedlich sein. Betrüger fälschen zum Beispiel Mails oderahmen beliebige Webdienste nach, die ein Authentifizierungsschema verwenden. Ihre Ziele können zum Beispiel Webhosts oder Online-Magazine sein. Hauptsache, es handelt sich um einen bekannten Dienst, dem die User vertrauen.
Die oben gezeigte Mail ist zu einem gewissen Grad sogar amüsant. Unter Verwendung der Schablone einer echten Skype-Mail rechnen die Betrüger damit, dass der User den kleingedruckten grauen Text nicht liest. Allerdings steht dort: „Skype fragt in Mails NIEMALS nach Ihrem Passwort.“
Andere traditionelle Formen des Betrugs
„Wer gewarnt ist, ist gewappnet“ lautet das Sprichwort. Dies gilt auch für den Schutz vor Betrug. Manchmal genügt es, zu wissen, welche Methoden die Angreifer einsetzen, um einen Betrugsversuch sofort zu erkennen, nachdem man seine Mails durchgesehen hat. Deshalb nennen wir hier die populärsten Formen des Betrugs:
Gefälschte Nachrichten über einen Lotteriegewinn (http://www.securelist.com/en/threats/spam?chapter=92)
Mails, die Ihnen mitteilen, Sie hätten angeblich in der Lotterie gewonnen. Das Ziel der Betrüger ist es, Ihnen einen bestimmten Geldbetrag für die „Überweisung“ des Geldgewinns abzuverlangen.
„Nigerianische“ Mails (http://www.securelist.com/en/threats/spam?chapter=93)
Mails, in denen Sie gebeten werden, Ihr Konto für eine Finanztransaktion aus einem fernen afrikanischen (oder anderem) Land zur Verfügung zu stellen. Dafür verspricht man Ihnen einen prozentualen Anteil des Geldes. Zunächst werden die Betrüger Sie bitten, ihnen Ihre Kontonummer für die angebliche Überweisung des Geldes mitzuteilen. Statt Ihnen jedoch Geld zu überweisen, räumen sie Ihr Konto ab. In einer anderen Variante bitten die Betrüger Sie im Verlauf der Korrespondenz, ihnen Geld für angebliche Anwalts- oder Transportkosten zu überweisen. Nach der Überweisung des Geldes brechen sie einfach die Korrespondenz ab und lassen den User vergeblich darauf hoffen, bald Millionen zu erhalten.
Eine weitere, noch gefährlichere Variante besteht darin, dass die Betrüger Ihr Konto so missbrauchen, dass Sie als der Verantwortliche für deren Geldwäsche-Machenschaften dastehen und Sie statt der Betrüger im Gefängnis landen.
Finanzpyramiden und leichter Verdienst
Bei dieser Methode wird dem potenziellen Opfer angeboten, etwas Geld einzuzahlen, um dann umso mehr Geld zurück zu erhalten. In Wirklichkeit beruht dieses Betrugs-Schema auf dem Prinzip „zahle etwas ein – bekommen wirst Du nichts“.
„Zaubergeldbörsen“
Betrug, der angeblich „Löcher“ und „Insider-Informationen“ verschiedener Webseiten ausnutzt, zum Beispiel von Casinos oder Bezahlsystemen.
Internet-Bettelei
Angeblich von karitativen Einrichtungen oder Bedürftigen verschickte Mails. In Wirklichkeit sind diese Mails entweder reine Erfindungen oder in ihnen wird auf reale Einrichtungen und Fonds verwiesen. Die für die Überweisung des Geldes angegebenen Konten gehören jedoch den Betrügern.
Beachten Sie, dass karitative Einrichtungen keinen Spam versenden. Sie haben andere Methoden, um an Geld zu kommen. Wenn Sie dennoch die Information überprüfen wollen, um die es in der Mail geht, beschaffen Sie sich die Adresse der entsprechenden Einrichtung, rufen Sie dort an und fragen Sie, wie man Geld überweisen kann.
SMS-Betrug im Spam
Dabei geht es um Mails, in denen Sie unter verschiedenen Vorwänden gebeten werden, eine SMS an eine Kurzwahlnummer zu senden. Dazu zählen auch Mails mit Links auf Webseiten, auf denen als Bezahlung für eine angeblich erbrachte Leistung ebenfalls vorgeschlagen wird, eine SMS an eine kurze Kurzwahlnummer zu senden. Was Ihnen die Betrüger in solchen Mitteilungen auch immer versprechen mögen – es läuft darauf hinaus, dass Sie zehn Euro und mehr für eine nicht erbrachte Leistung zahlen werden.
Es ist also sinnvoll, Mails sofort zu löschen, wenn sie von Ihnen unbekannten Menschen kommen und beliebige Angebote enthalten, die mit Geld verbunden sind, darunter:
Angebote, Geld zu verdienen (leichter Verdienst, Hilfe mit Überweisung von Geld, Einzahlungen, die märchenhafte Reichtümer bescheren sollen)
Vorschläge, jemandem mit Geld auszuhelfen (für medizinische Behandlung, einer armen nigerianischen Schönheit usw.)
jegliche „Gewinne“
Angebot kostenloser Programme, Filme usw.
Betrug: formale Kennzeichen
Dieser Artikel kann offensichtlich nicht auf alle Formen des Betrugs eingehen. Manchmal lässt sich Betrug nicht am Inhalt der Mail erkennen, sondern daran, wie sie geschrieben und verfasst ist. Deshalb gehen wir nun auf die formalen Kennzeichen des Betrugs ein. Kennen Sie diese, können Sie leicht eine betrügerische Mail von legaler Post unterscheiden.
Folgende Kennzeichen bestätigen indirekt, dass Ihnen Angreifer eine Mail gesandt haben:
Im Feld „An“ ist nicht Ihr Name angegeben:
Das bedeutet, dass es sich um einen unpersönlichen Massenversand handelt, bei dem die Namen im Feld „An“ durch Probieren eingetragen werden.
Im Feld „Von“ steht eine Ihnen nicht bekannte Adresse:
Das bedeutet, die Mail stammt ganz und gar nicht von dem Absender, den die Betrüger vorgeben. Beachten Sie, dass Ihnen kein einziges seriöses Unternehmen eine Mail senden wird, die von einem kostenlosen E-Mail-Provider stammt.
Einige Wörter sind in GROSSBUCHSTABEN geschrieben:
Dies ist ein Beispiel, dessen sich Spam-Versender bedienen, um die Aufmerksamkeit der User zu erregen.
Einige Worte sind entstellt („Lloan“ statt „Loan„, „Youwon“ statt „You won“):
Auf diese Weise versuchen Spam-Versender, Anti-Spam-Filter zu umgehen.
Der Link ist nicht identisch mit der Adresse der offiziellen Webseite der Einrichtung:
Wie oben beschrieben ist dies ein sicheres Zeichen dafür, dass man Sie auf eine Betrugs-Webseite locken will.
Eine solche Anrede bedeutet, dass der Absender Ihren Namen nicht kennt. Es handelt sich also um einen unpersönlichen Massenversand.
Etwas über Social Engineering
Der Mensch ist bekanntlich der schwächste Punkt im Schutz vor jedem Betrug, darunter auch vor dem elektronischen. Keine technischen Mittel werden uns schützen, wenn wir unvorsichtig sind. Deshalb zeigen wir hier die menschlichen Schwächen, die Betrüger am häufigsten ausnutzen:
Gier
Gier ist eine der Eigenschaften der menschlichen Natur, die Betrüger in erster Linie ausnutzen. Schnelles Geld, Lotteriegewinn, Betrug in einem Zahlungs- oder anderem System – all diese Betrugs-Schemata sind auf die gleiche Weise aufgebaut: „Geben Sie uns erst einmal ein wenig Geld, dann werden Sie Millionen erhalten“.
Es ist offensichtlich, dass es ein „dann“ nicht gibt. Es muss einfach darauf geachtet werden, sich nicht betrügen zu lassen.
Angst
Ein weiteres natürliches menschliches Gefühl, mit dem die Betrüger arbeiten, ist die Angst. Phrasen wie „klicken Sie den Link an, andernfalls wird Ihr Account blockiert“ oder „wenn Sie binnen 10 Minuten nach dem Lesen der Mail keine SMS an eine Kurzwahlnummer senden, wird Ihr Briefkasten gelöscht“ sind darauf gerichtet, mit diesem Gefühl zu spielen und sollen den User motivieren, unverzüglich und ohne Bedenken bestimmte Dinge zu tun.
Man muss bedenken, dass kein Provider Ihren Account auf diese Weise blockieren wird und Sie nicht wie schon gesagt bitten wird, einen Link in der Mail zum Eingeben persönlicher Daten anzuklicken. Überhaupt wird Sie im Normalfall niemand zur Eile drängen. Alle Schrecken einjagende und zur Eile drängenden Mails kann man sofort als Betrugsmails werten.
Naivität / der Wunsch, Hilfe zu leisten / Leichtgläubigkeit
Gutmütigkeit wird von Betrügern leider auch häufig missbraucht. Man muss sich darüber klar sein, dass alle Bitten um Hilfe, die über Spam eingehen, gelogen sind. Es gibt spezielle Fonds, um Menschen wirklich zu helfen. Und kein einziger versendet jemals Spam.
Neugier
Es ist verblüffend, aber manchmal überweisen wir aus Neugier Geld an Betrüger. Selbst wenn wir nicht ganz verstehen, was man uns in der Mail eigentlich vorschlägt und wir absolut nicht damit rechnen, hunderttausend Millionen zu erhalten, ist es manchmal einfach interessant, einen Link anzuklicken und zu sehen, was es dort eigentlich gibt, wie es funktioniert und was am Ende herauskommt.
Um die Neugier des Lesers gleich im Voraus zu stillen, antworte ich hier: nichts, Sie verlieren einfach Geld.
Unachtsamkeit
In der Regel ist das Tempo des Internetlebens höher als das des gewöhnlichen Lebens. Hier machen wir wie Cäsar oft sieben Dinge zugleich: Wir arbeiten, sehen die Post durch, lesen Neuigkeiten, korrespondieren über Sofortnachrichten, hören Musik und so weiter. Unausweichlich führt dies zur Unaufmerksamkeit. Manchmal halten wir eben deshalb eine gefälschte Mail für eine echte, selbst wenn bei aufmerksamerem Lesen ihr Sinn offensichtlich gewesen wäre.
Überstürzen Sie nichts. Bevor Sie irgendetwas unternehmen, denken Sie nach, lesen Sie die Mail noch einmal.
Sicherheitsregeln im Internet
Bedenken Sie, dass es neben Betrug viele andere Bedrohungen gibt, insbesondere das große Spektrum der Schadprogramme, die auch ohne Interaktion der Betrüger mit den Usern diverse Logins und Passwörter, Informationen über Kreditkarten und vieles andere stehlen können.
Um sicher zu gehen, muss jeder Internet-Nutzer einige einfache Regeln beherzigen:
Verwenden Sie ein Antivirus-Programm:
Ein modernes, regelmäßig aktualisiertes Antivirus-Programm bietet sicheren Schutz vor diversen Internet-Bedrohungen.
Aktualisierungen regelmäßig herunterladen:
Die Aktualisierung der Programme schließt Sicherheitslücken, die Angreifer ausnutzen können.
Hinterlassen Sie Ihre persönlichen Daten nicht offen zugänglich:
Im Internet hinterlassene Daten werden von den Programmen der Angreifer gesammelt, die sie anschließend für ihre eigenen Ziele gebrauchen können. Zum Beispiel senden sie mehr Spam in Ihren Briefkasten.
Nichts von Zufalls-Webseiten herunterladen:
Die Wahrscheinlichkeit ist hoch, dass Sie mit dem heruntergeladenen Programm, Buch oder Film auch ein Schadprogramm erhalten.
Klicken Sie keine Links in Spam-Mails an:
Solche Links führen oft auf Webseiten, die mit Betrugs- oder Schadprogrammen infiziert sind.
Öffnen Sie keine Anhänge in Mails, wenn es auch nur den geringsten Zweifel an der Zuverlässigkeit des Absenders gibt:
Die Wahrscheinlichkeit ist hoch, dass der Anhang ein Schadprogramm enthält (selbst wenn dies ein Word-Dokument ist).
Versuchen Sie nicht, Spam abzubestellen (besonders, wenn die Spam-Mail einen entsprechenden Link enthält):
Dies hilft Ihnen nicht, sich gegen Spam zu wehren, eher das Gegenteil wird der Fall sein. Die zwei wahrscheinlichsten Varianten, wie sich die Ereignisse entwickeln: Der Versender nimmt Sie in die Adress-Datenbank jener Leute auf, die Spam wirklich lesen. Demzufolge werden Sie anschließend noch mehr Spam erhalten. Klicken Sie im anderen Fall den Link für das angebliche Abbestellen an, gelangen Sie auf eine infizierte Webseite, die ein Schadprogramm auf Ihrem Computer installiert.
Gehen Sie nicht auf verführerische Angebote ein, besonders wenn sie mit dem Erhalt schnellen Geldes verbunden sind:
Solche Angebote haben es nur auf Ihr Geld abgesehen oder darauf, dass Sie statt der Betrüger im Gefängnis landen.
Einige abschließende Worte
Betrug ist unausrottbar. In den Weiten des Internets lauert er überall auf uns: in der elektronischen Post, in sozialen Netzwerken, auf diversen Sites. Von Jahr zu Jahr lassen sich die Betrüger immer wieder neue Tricks einfallen, aber die Grund-Mechanismen des Betrugs ändern sich nicht. Nur der User selbst kann sein Leben im virtuellen Raum sicher gestalten. Wir hoffen, dass die in diesem Artikel vorgestellten Ratschläge und Informationen für Sie von Nutzen sind.
Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt