Thought Leadership
Die Hiobsbotschaften reißen nicht ab: Immer wieder wird vor Phishing-E-Mails und SMS im Namen verschiedener Banken gewarnt. Aktuell sind gefälschte Nachrichten unter anderem im Namen der Volksbanken Raiffeisenbank, der Targobank oder der comdirect im Umlauf.
Auch die KfW Bank warnt vor gefälschten Websiten und Phishing-Mails. Dass Phishing-Angriffe in Deutschland nach wie vor erfolgreich sind, belegen aktuelle Studien: Laut einer aktuellen Umfrage des Cybersicherheitsanbieters Kaspersky sind bereits 17 Prozent aller Deutschen auf entsprechende Attacken hereingefallen. Und auch aktuelle Ergebnisse von BioCatch belegen, dass Deutschland im Vergleich zu anderen europäischen Ländern nach wie vor ein größeres Problem mit Phishing hat. Im Folgenden klärt der Experte für digitale Betrugserkennung auf, was Phishing ist, wie die Betrüger vorgehen und wie sich Opfer eines Angriffs verhalten sollten.
Was ist Phishing?
Phishing ist eine Form von Social Engineering. Dabei werden schriftliche Nachrichten – meist E-Mails – verschickt, die scheinbar von seriösen Quellen stammen. Die Opfer erhalten beispielsweise eine Nachricht, die vorgibt, von ihrer Bank zu stammen. Diese enthält einen Text, der die Empfänger dazu verleiten soll, auf einen integrierten Link zu klicken, um bestimmte Aktionen mit ihrem Konto durchzuführen. So werden die Nutzer beispielsweise aufgefordert, ein Sicherheitsupdate einzuleiten, um weiterhin Online-Banking nutzen zu können, ihre Kontodaten zu aktualisieren, um den AML-Vorschriften zu entsprechen, oder sie werden darüber informiert, dass eine dringende Steuerzahlung erforderlich ist, um eine Geldstrafe zu vermeiden.
Wie gehen die Betrüger vor?
Wenn die Empfänger glauben, dass die E-Mail echt ist, klicken sie auf den Link und gelangen auf eine Phishing-Website, die der echten Website, die sie imitiert, sehr ähnlich sieht. Auf dieser Website werden persönliche Daten abgefragt, und sobald die Nutzer diese eingegeben haben, sind die Betrüger im Besitz ihrer Zugangsdaten und können online auf ihr Bankkonto zugreifen, um nach Belieben Transaktionen durchzuführen und Zahlungen zu veranlassen. In anderen Fällen nehmen Sie im Namen ihrer Opfer Kredite auf und erhalten so zusätzliche finanzielle Mittel, die sie sich auszahlen lassen können.
Manche Betrüger nutzen die erbeuteten Zugangsdaten sogar in Echtzeit. Dies geschieht vor allem dann, wenn eine Zwei-Faktor-Authentifizierung erforderlich ist. Die betrügerischen Akteure nutzen die Phishing-Website, um von den Opfern diese zusätzlichen Informationen wie Einmalpasswörter (OTPs) zu erhalten.
Wie sollten Opfer eines Phishing-Angriffs reagieren?
Vorsicht ist besser als Nachsicht. Auch wenn es unvermeidlich ist, irgendwann Phishing-E-Mails zu erhalten, können die Empfänger durch richtiges Verhalten verhindern, Opfer eines Betrugs zu werden. Bestimmte Merkmale der Nachricht sollten zumindest misstrauisch machen, beispielsweise wenn sie vorgibt, dringend handeln zu müssen und mit harten Konsequenzen droht, wenn sie zur Eingabe vertraulicher Daten wie PINs auffordert oder wenn das Anliegen des Absenders ungewöhnlich erscheint.
Viele Behörden und Organisationen sind sich bewusst, dass Aufklärung die beste Waffe ist, und arbeiten daran, das Bewusstsein für diese betrügerischen Kampagnen zu schärfen. So hat beispielsweise der deutsche Zoll einen Ratgeber für deutsche Bürger herausgegeben, der beschreibt, wie man sich schützen kann. Auch das Bundesamt für Sicherheit in der Informationstechnik informiert ausführlich über Phishing-Angriffe, unter anderem auf einer Website mit Beispielen für Phishing-E-Mails.
„Nicht zuletzt durch KI erreicht Betrug eine neue Dimension: Im vergangenen Jahr haben wir gesehen, wie Betrüger KI genutzt haben, um sehr gezielte und personalisierte Videos, Sprachnachrichten, E-Mails, WhatsApp-Nachrichten und SMS zu erstellen. Ihr Ziel ist es, die Sicherheitsvorkehrungen der Banken zu umgehen und noch mehr Menschen in die Falle zu locken“, warnt Tom Peacock, Director, Global Fraud Intelligence bei BioCatch. „Das ist keine Bedrohung, die erst in der Zukunft auf uns zukommt. Sie existiert bereits. Banken müssen nun handeln, um sich und ihre Kunden zu schützen. Aber auch die Kunden selbst müssen ihre Sinne schärfen und wachsam sein, um nicht auf Phishing-Angriffe hereinzufallen, und sich im Zweifelsfall lieber an die Bank wenden, bevor sie auf Handlungsaufforderungen reagieren und im schlimmsten Fall viel Geld verlieren.“
(pd/ BioCatch)
