LUXEMBURG
DO/PW

Im Internet lauern Diebe, Betrüger und Heiratsschwindler - wie im echten Leben - Warum sind wir da nicht vorsichtiger?

Foto: Shutterstock - Lëtzebuerger Journal
Foto: Shutterstock

Die rasante Vernetzung und Digitalisierung ist ein zweischneidiges Schwert. In einer modernen Welt, in der das Internet der Dinge (IoT) immer mehr die Überhand gewinnt, smarte Lautsprecher samt künstlicher Intelligenz uns per Sprachbefehl Dinge kaufen lassen und quasi jeder mit seinem Smartphone ein portables Mikrofon samt GPS-Tracker mit sich herumschleppt, steigt neben der alltäglichen Bequemlichkeit auch das Risiko, Opfer einer der vielen Bedrohungen zu werden, die im Netz lauern. Von Betrugsmaschen über Infektionen bis hin zu Datenklau und Nachahmung reicht die Spannbreite - und oft hilft da nur, selbst vorsichtig zu sein.

Der Experte Dr. Matthieu Farcot von BEE Secure erklärt, warum: „Der normale Nutzer ist heutzutage ein Akteur in einer globalen, vernetzten Welt. Jede mögliche Schwachstelle betrifft deshalb nicht nur einzelne Menschen, sondern direkt größere Gruppen.“ Das beste Beispiel sei das große Netzwerk an geknackten und infizierten IoT-Sicherheitskameras, die in Amerika bei Millionen Nutzern unter anderem für Abbrüche in der Internetverbindung sorgten.

„Solche Massenphänomene haben wir in Luxemburg zwar nicht“, erklärt Farcot. „Trotzdem ist die Gefahr, Opfer von (Spear-)Phishing, also gezielten Angriffen auf Nutzerkonten zu werden, auch hier enorm groß.“ Neben traditionellen Methoden wie Vireninfektionen und der Weiterleitung auf gefährliche Webseiten seien deshalb vor allem Accountdiebstahl und Datenlecks die größte Sorge. „Dabei müssen einfach nur die Kontodaten eines Anbieters wie ,Dropbox’ verloren gehen, schon fällt die ganze Reihe an Dominosteinen um“, meint der Experte.

Daneben seien im Großherzogtum hauptsächlich die „Microsoft Scams“ und „Cryptolocker“ ein Problem. Während Letzteres hauptsächlich eine normale Malware-Infektion ist, basiert der „Microsoft Scam“ darauf, Menschen über Telefonate in eine Drucksituation zu versetzen, in der sie bereit sind, zu zahlen. „Je mehr der Anrufer dabei über sein Opfer weiß, desto mehr hat er gegen Sie in der Hand“, erklärt Farcot. Deshalb sei es besonders wichtig aufzupassen, was man über sich online preisgibt. Auch Fälle von Erpressung mit Nacktbildern (sogenannte „Sextortion“) tauchen regelmäßig auf. Dabei geht es nicht immer nur um Geld: „Immer öfter bekommen wir Fälle, in denen die Opfer selbst straffällig werden müssen“, meint er. „Zum Beispiel, indem sie ein Konto eröffnen sollen oder selbst das Virus verbreiten müssen, um ihre eigenen Daten zurückzubekommen.“

Deshalb rät er zu mehreren Handgriffen, auf die jeder Nutzer achten sollte: „Passwörter sollten mindestens acht Zeichen lang sein, damit sie nicht von normalen Computermethoden geknackt werden können“, sagt er. „Außerdem ist es besonders wichtig, niemals persönliche Informationen wie das Geburtsdatum im Passwort zu verwenden.“ Diese Informationen seien zu leicht aus anderen Quellen - etwa einem öffentlichen Facebook-Konto - auszulesen.

„Dasselbe gilt für Mail-Adressen, die bestenfalls immer anonym sein sollten“, meint Farcot. „Auf die Weise lässt sich keine Verbindung zwischen Klarnamen und Internet-Präsenz feststellen. Damit kappen wir die Verbindung.“ Generell gelte: Stets nur das allernötigste an Daten preisgeben.

Nähere Details und konkrete Tipps gibt BEE Secure zudem auf ihrem kommenden „Crypto Apéro“ in den Rotondes, der am 

8. November stattfindet und sich speziell mit Fragen rund um das Internet der Dinge befassen wird. 

Als der große Finanzdienstleister „Equifax“ im Juli 2017 bekanntgeben musste, dass ein Datenleck nach einem Hackangriff den Angreifern Zugriff auf Sozialversicherungsnummern, Geburtsdaten, Adressen, Führerscheinnummern, 290.000 Kreditkartennummern und vollständige Kontodaten von knapp 143 Millionen Kunden ermöglicht hatte, war schnell klar, dass sich dahinter der wohl bis dato größte Diebstahl von persönlichen, sensiblen Daten verbergen könnte. Das besonders Peinliche daran war, dass „Equifax“ sein Geschäft damit machte, als vertrauenswürdiger Mittelsmann zwischen Kunden und (zum Beispiel) Banken die Kreditwürdigkeit von Menschen zu bestimmen - indem sie Zugriff auf praktisch alle möglichen persönlichen Informationen besaß. Darunter dementsprechend auch Sozialversicherungsnummern, Führerscheine, Geburtsdaten oder Passnummern. 143 Millionen Kunden, rund die Hälfte der US-Bevölkerung, standen im Handumdrehen mit heruntergelassenen Hosen da.

Solche Datenpakete machen es Kriminellen nämlich dementsprechend leicht, unter falschem Namen Kredite aufzunehmen, Autos zu mieten, Häuser zu pfänden oder Flugtickets für Terroristen zu erwerben. In einzelnen Fällen wurden Identitäten beispielsweise bis zu 15 Mal dazu verwendet, neue Kreditkarten anzufordern oder unter falschen Namen Konten zu eröffnen und damit kriminellen Vereinigungen Tür und Tor zu öffnen. Datenlecks wie der „Equifax“-Fall zeigen eindrucksvoll, welchen Einfluss solche Zwischenfälle haben können.  

Beispielfälle des Online-Betrugs

Ransomware Ähnlich wie bei der „Sextortion“ geht es bei „Ransomware“ und Krypto-Trojanern nur um eines: Die Erpressung von Geldern oder anderen Gefallen. „Ransomware“ ist dabei nur eine spezielle Form von Schadsoftware, die sich, anders als andere Viren und Trojaner, nicht mit der Absicht einnistet, Informationen zu stehlen oder ein Gerät auf den Kopf zu stellen. Stattdessen wird die Festplatte mitsamt all ihrer persönlichen Daten verschlüsselt, sodass beispielsweise Fotos oder Dokumente nicht mehr geöffnet werden können. Dann wird das Opfer erpresst; erst nach Zahlung einer abgemachten Summe werden die Daten wieder entschlüsselt. Diese Masche greift immer stärker um sich, wie auch jüngste Infektionswellen wie „WannaCry“ oder „Petya“ zeigten. Vorschussbetrug Bei der besser unter dem umgangssprachlichen Begriff „Nigeria Connection“ bekannten Betrugsmasche wird das Opfer mit einer hanebüchenen Story kontaktiert und soll in der Folge mehrere Vorschusszahlungen leisten, um am Ende einen großen Erfolg zu verbuchen. Meist soll ein Millionenerbe eines verstorbenen Königs aus dem Land geschafft oder eine besonders seltene Ware vor der Beschlagnahmung gerettet werden - in jedem Fall ist die potenzielle Belohnung am Ende der Fahnenstange natürlich nicht echt. Trotzdem soll das Opfer immer einzelne, kleine Zahlungen für bestimmte Kosten durchführen, zum Beispiel für Anwalts- oder Verwaltungskosten für das Millionenerbe. Wer auf die Masche hereinfällt, wird einfach so lange an der Nase herumgeführt, bis es nichts mehr zu holen gibt. Diese Masche wird bevorzugt mit Spam-Mails verschickt und wird inzwischen von den meisten Filtern einfach geblockt. Manchmal schaffen es besonders kreative Varianten dann doch durch die Abwehrmechanismen. Trotzdem erkennt man sie meist an der eher unterirdischen Grammatik, die von der offensichtlichen Übersetzungssoftware herrührt. Sextortion Ein immer öfters auftretendes Szenario ist die als „Sextortion“ bekannte Masche: Nutzer lernen in ihren sozialen Netzwerken einen attraktiven Kontakt kennen, der praktisch im Handumdrehen per Video-Telefonie kommunizieren will und dabei fast sofort damit beginnt, sich zu entkleiden. Dabei wird das Opfer aufgefordert, dasselbe zu tun - und wird später dann mit Aufnahmen oder Nacktbildern erpresst. Dabei handelt es sich um eine einfache Erpressungsmasche, die auf der Annahme fußt, dass es dem Opfer zu peinlich wäre, dass derartige Informationen an die Öffentlichkeit gelangen. Experten raten deshalb: Polizei einschalten und einfach nicht zahlen - egal, wie peinlich die Bilder sein mögen. Datenleck Das größte Risiko für normale Nutzer, Opfer einer Cyberattacke zu werden besteht noch immer darin, dass die eigenen Informationen im Rahmen eines Datenlecks bei einem Dienstleister von Hackern ins Netz gespült werden. Dabei handelt es sich in den meisten Fällen um Mailadressen sowie (verschlüsselte) Passwörter, bei manchen Datenlecks sind aber auch andere persönliche Informationen wie Klarnamen oder Aufzeichnungen zum Nutzerverhalten unter den veröffentlichten Daten. In jedem Fall werden dadurch veröffentlichte Mailadressen plötzlich zur heiß begehrten Ware, weil Menschen oft ein und dieselbe Adresse für mehrere Dienste verwenden - zum Beispiel, um Onlinebanking zu nutzen, Rechnungen zu zahlen oder einzukaufen. Mircosoft Tech Scam „Hallo, hier ist Steve von Microsoft Technical Support - Sie haben einen PC Computer oder Apple Computer zuhause mit einem Virus.“ So, oder so ähnlich, versucht uns ein verdächtig orientalisch klingender „Steve“ (der übrigens nicht in Bangladesch sitzt, versprochen!) davon zu überzeugen, dass der eigene Rechner infiziert ist. Dafür müsse er nur kurz die Kontrolle über das System übernehmen, um den Fehler zu beheben. Bei dieser Masche wird der Computer erst in dem Moment wirklich infiziert, in dem „Steve“ sich (mit etwas Hilfe des Nutzers) einklinkt. Danach bietet er gnädigerweise seine Hilfe an, um die Infektion zu beseitigen - natürlich gegen Bezahlung, versteht sich. Ein Tipp: Einfach erklären, man habe überhaupt keinen Windows-Rechner zuhause. Dann macht Microsoft nämlich spontan sogar Apple-Support.
Foto: Privat - Lëtzebuerger Journal
Foto: Privat

Neulich in ihrem E-Mail-Postfach: „Hello, i hope you will glad to see my message? How was your day today? I hope that all is well?? I found your profile on a dating site and I saw a very attractive I think you are interested to know more about me. My name is Marry, Me 34 years old. I’m in Poland right now, but i’ll return to the US on December twenty eight. I am a single wonderful girl so desperately need a nice man from USA for serious love relationship, Who i can dedicate my whole life. I do not want feel myself so alone and spend my life meaningless. I am a modern girl and I believe it is very good, we by computer can get to know other people now, while remaining at the home. I am glad to have the modern technology. If you have read with interest my letter, Tell me please something interesting about you. What do you do in your life? What do you like? (…) Please do not let me be alone. With good and serious intentions, Marry“

Überraschung, da hat sie doch wirklich eine tolle Frau im Internet gefunden, die auch noch einsam ist. Auch wenn sie sich nicht erinnern können, auf welcher Dating-Seite Sie in letzter Zeit unterwegs waren, aber was sie schreibt ist doch klasse – oder etwa nicht?

Auch wenn es eine Enttäuschung sein mag. Wahrscheinlich ist „Marry“ ein fetter Sack, der umgeben von lauter leeren Pizzaschachteln und Bierdosen, in einem Büro in Lagos oder Nowosibirsk ein Dutzend Computer gleichzeitig als „Marry“ bedient. „Marry“ wird bald anfangen von Liebe zu schreiben und davon, dass sie gerne in die USA, Westeuropa, Luxemburg etc. käme. Dummerweise ist aber ihre Mutti krank und sie muss für eine teure Operation sparen. Alles ist ja so schrecklich. Irgendeiner der neuen Freunde von „Marry“ wird ihr dann finanzielle Hilfen anbieten. Unter größten Verrenkungen und Entschuldigungen wird sie das dann annehmen… Und weg ist die Kohle.

Der englische Text ist das leicht gekürzte Original eines „Romance-Scamming“-Anschreibens, veröffentlicht in einem Anti-Scamming-Forum.      

 

www.romancescambaiter.de

Wie erkennt man Romance-Scammer?

Kontaktaufnahme Über Netzwerke oder Dating-Seiten kommen Scammer an Mailadressen. Eine knappe Mail in englischer Sprache mit einer Einladung zum Chat dient als Lockmittel. Sprache Die Betrüger kommunizieren meistens in gutem Englisch. Insider gehen davon aus, dass rund 95 Prozent der englisch sprechenden Kontakte auf deutschen Dating-Seiten Romance- oder Love-Scammer sind. Fotos Die Fotos sind unscharf und nur in sehr kleiner Auflösung im Internet eingestellt, da sie gestohlen wurden. Andererseits locken „Scamm-Frauen“ ihre Opfer bevorzugt mit schönen Fotos. Inhalt Scammer überhäufen ihre Opfer schon nach dem ersten Kontakt mit ellenlangen Briefen voller schwülstiger Liebesschwüre. An den überbordenden Liebeserklärungen und Liebesbekundungen sind sie leicht zu erkennen. Aber es geht auch anders: Seriös wirkende Mails sollen das Interesse wecken. Oft wollen die Scammer alles über ihr Opfer wissen. Geografie Ob Geschäftsreise oder familiäre Probleme, es gibt vielfältige Gründe für eine Verbindung nach Nigeria, Ghana usw. Frauen hingegen leben oft in osteuropäischen/südostasiatischen/südamerikanischen Ländern. Bitten um Geld oder Dokumente Es gibt viele Gründe, das Opfer um Geld zu bitten. Weigert es sich, Geld zu schicken, finden Betrüger andere Wege. Gefälschte Schecks, die hier eingezahlt werden sollen, gehören dazu. Momentan sehr stark ausgeprägt ist der Wunsch nach einer Einladung. Oft geben die Betrüger vor, ein gemeinsames Konto mit dem Opfer eröffnen zu wollen und bitten um Kopien von Ausweisen. Die Daten werden für Fälschungen von Pässen genutzt. Bei Verdacht: Den Namen der Internetbekanntschaft mit dem Zusatz „Scammer“ in eine Suchmaschine eingeben, das reicht oft schon für eine Bestätigung. Blockieren Sofort jeglichen Kontakt abbrechen. Keine Mails, keine Anrufe des Scammers mehr entgegennehmen. Am besten ist es, sich eine neue Mailadresse und Telefonnummer zuzulegen. Gefahr besteht auch für Freunde im sozialen Netzwerk und für alle Kontakte im eigenen Mailadressbuch. Ignorieren Auf keinen Fall Geld überweisen, Schecks einlösen oder Briefe und Päckchen weiterleiten. Reaktion Unbedingt zur Polizei gehen. Die Strafverfolgung der Täter ist zwar enorm schwierig, weil sie aus dem Ausland agieren. Dennoch sollten man den Betrug oder den Betrugsversuch auf jeden Fall anzeigen.    LJ/Quelle: www.mimikama.at