Computer mit Binärcode
APA/dpa/Oliver Berg
APA/dpa/Oliver Berg

Phishing-Mail-Attacken in Österreich: Wie man sich schützen kann

Mit Phishing-Mails und Scam-Anrufen versuchen Kriminelle an Bank- und Kreditkartendaten zu kommen. Wer den Anweisungen der Gauner folgt, tappt in die Falle, das Konto wird geplündert. Erst am Mittwoch warnte die auf Internetbetrug spezialisierte Plattform Watchlist Internet vor einer entsprechenden Welle in Österreich.

23. April 2022, 8.00 Uhr
Dieser Artikel ist älter als ein Jahr.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.

Phishing-Attacken erfolgen meist über E-Mails, die aussehen, als wären sie von einer Bank verschickt worden. Es gebe ein Problem mit dem Konto, heißt es da, es wird mit kostenpflichtigen Kontoschließungen gedroht. Dann werden die Opfer aufgefordert, auf einen Link zu klicken, sagt Declan Hiscox von der Watchlist Internet: „Tatsächlich kommt man aber nicht auf die Website der Bank, sondern auf einer gefälschten Seite, die nur so aussieht.“ Die eigenen Login-Daten landen dann direkt bei den Kriminellen, so Hiscox.

Aktuelles Betriebssystem und regelmäßige Updates

Die E-Mail selbst sei in der Regel noch nicht gefährlich, solange sie sich im Posteingang befindet, sagt Hiscox. Auch wenn man auf den Link geklickt hat und auf der Fake-Seite der Kriminellen landet, müsse man noch nicht in Panik geraten. Zumindest dann nicht, wenn ein aktuelles Betriebssystem installiert ist und man alle sicherheitsrelevanten Updates eingespielt hat. Das gilt auf dem PC übrigens ebenso wie auf dem Smartphone und anderen Mobilgeräten.

Wenn man hingegen veraltete Betriebssysteme nutzt oder keine Updates durchführt, wäre es theoretisch möglich, dass die Angreifer Sicherheitslücken ausnutzen. In so einem Fall könnte bereits das Aufrufen der betrügerischen Website dazu führen, dass unbemerkt Schadsoftware auf den Computer geladen wird. Das sei in der Praxis aber nur selten der Fall, allzu große Sorgen müsse man sich nicht machen, so Hiscox.

Phishing-E-Mail
Screenshot
Mit Hilfe einer „trojanischen App“ wollen die Onlinekriminellen das Smartphone ihrer Opfer kapern

Banken fordern nicht zur Bekanntgabe von Login-Daten auf

Grundsätzlich könne man festhalten, dass eine Bank niemals E-Mails an ihre Kundinnen und Kunden verschickt, in der diese aufgefordert werden, Kontodaten über einen direkten Link bekanntzugeben. Bestenfalls würde man benachrichtigt, wenn etwa eine wichtige Information im Postfach des Onlinekontos zu finden ist. Die Website der Bank müsse man in so einem Fall aber selbstständig anwählen. Ein direkter Link sei ein eindeutiger Hinweis darauf, dass hier Betrüger am Werk sind, so Hiscox. Sollte man einem solchen Link folgen und Sicherheitscodes, Passwörter oder TAN-Nummern auf der Fake-Seite der Kriminellen eingeben, schnappt die Falle zu. Die Angreifer erhalten mit diesen Informationen den Zugriff auf das Konto.

Auf die Absenderadresse achten

Häufig wird in einer Phishing-Mail auch verlangt, dass man eine App auf dem Smartphone installiert, angeblich aus Sicherheitsgründen. Bei dieser Applikation handle es sich in Wahrheit aber um gefährliche Schadsoftware, die es den Angreifern ermöglicht, TAN-Nummern abzufangen oder sogar Zugriff auf die echte Banking-App zu erlangen, so Hiscox.

Wer eine verdächtige E-Mail im Posteingang findet, sollte zuallererst auf die Absenderadresse achten. Heißt diese wie in einem aktuellen Fall beispielsweise „lovax@lyse.net“, dann dürfte klar sein, dass dahinter kein seriöses Unternehmen steckt. Manche Fake-Adressen sind aber auch geschickter gewählt, etwa so, dass im ersten Teil der Name einer Bank aufscheint. Man sollte daher vor allem auf den Teil der E-Mail-Adresse achten, der nach dem @-Zeichen zu finden ist. Dieser Abschnitt verrät die Domain, von der das Schreiben versendet wird, so Hiscox. Der vordere Bereich sei von den Betrügern frei definierbar.

Phishing-E-Mail
Screenshot
Verräterischer Absender: „lovax@lyse.nat“ hat mit Magenta logischerweise nichts zu tun

Telefonbetrüger tarnen sich als Microsoft-Service

Vorsicht ist jedenfalls angeraten, erst am Mittwoch hat die Watchlist Internet vor einer Häufung derartiger Phishing-Attacken in Österreich gewarnt. Die Cyberkriminellen agieren hier im Namen bekannter Unternehmen wie der Easybank, der BAWAG, der Volksbank und des Telekomanbieters Magenta.

Eine andere Angriffsfläche, um an das Geld von Bürgerinnen und Bürgern zu kommen, bietet das Telefon. Nicht selten haben die Betrüger, die umgangssprachlich Scammer genannt werden, auch alte Festnetzanschlüsse im Visier. Die Scammer geben sich beispielsweise als Servicemitarbeiter von Microsoft aus. Sie gaukeln ihren Opfern vor, dass Schadsoftware auf dem Rechner gefunden wurde und fordern per Fernzugriff Zugang zum Computer, um den vermeintlichen Virenbefall zu beseitigen.

Scam-Hunters jagen Cyberkriminelle

Solche Anrufe sollte man sofort beenden und einfach auflegen, rät der Watchlist-Internet-Experte. Die Scammer sind geübt darin, sich das Vertrauen ihrer Opfer zu erschleichen. Beispielsweise indem sie die Betroffenen bewusst in einen Bereich der Computereinstellungen führen, in dem standardmäßig Fehlermeldungen wie etwa Programmabstürze registriert werden. Diese Meldungen können angsteinflößend wirken, sind aber nicht für Anwenderinnen und Anwender gedacht und weisen dementsprechend auch auf keine konkreten Gefahren hin, sagt Hiscox.

Phishing E-Mail
Screenshot
Eigenwillige Orthografie: Auf diese „wishtige Nashhisht“ kann man getrost verzichten

Mittlerweile gibt es YouTube-Blogger und Gruppierungen wie die „Scam-Hunters“, die es sich zur Aufgabe gemacht haben, Scammer zu jagen. Sie hacken sich ihrerseits auf die Computer der Kriminellen und drehen den Spieß um. Zur Freude des Publikums und zum Ärger der Scammer. Diese reagieren meist unwirsch, wenn sie merken, dass beispielsweise das mühsam ergaunerte Geld vom Konto verschwindet. Bei solchen Scam-Jägern handelt es sich allerdings um hochspezialisierte Hacker, ihre Erfolge erzielen sie wohl meist durch Zufallstreffer.

Mangelhafte Kooperation der Polizeibehörden

Bei der gezielten Strafverfolgung tun sich die offiziellen Behörden schwerer. Die Onlinewelt ist groß, die Kriminellen sind ausgezeichnet vernetzt. Die Polizeibehörden eher weniger. Grundsätzlich wird empfohlen, solche Vorfälle von Onlinebetrug zur Anzeige zu bringen. Die Behörden benötigen aber eine große Anzahl konkreter Verdachtsfälle, um entsprechende Ermittlungen einzuleiten und effizient führen zu können. Meist sitzen die Täter im Ausland, beispielsweise in Indien.

Österreichische Ermittler sind also auf die Mitarbeit der indischen Polizei angewiesen, es müssen Amtshilfeansuchen gestellt werden. Ein mühsamer und nicht immer erfolgreicher Vorgang, da eine internationale Kooperation häufig nicht gegeben ist. Hiscox von der Watchlist Internet geht zwar davon aus, dass die Strafverfolgung in diesem Bereich irgendwann effizienter werden könnte, derzeit können sich die Kriminellen aber noch relativ sicher fühlen. Den Anwenderinnen und Anwendern bleibe derzeit kaum eine andere Wahl, als im Internet vorsichtig zu sein, sagt Hiscox.

Paul Urban Blaha, help.ORF.at

Link:

Nicht alle Bilder konnten vollständig geladen werden. Bitte schließen Sie die Druckvorschau bis alle Bilder geladen wurden und versuchen Sie es noch einmal.