Online-Betrug: Vom nigerianischen Prinzen zum Promi-Kryptoscam
Was haben Bundespräsident Alexander Van der Bellen, Miriam Weichselbraun, Armin Assinger gemein? Sie wissen, wo man am besten investieren sollte. Oder besser gesagt: ihre Deepfake-Klone behaupten, das zu wissen. Der Trick geht so: In einem Video erklärt ein vertrauenserweckender Prominenter, wie man mit wenig Aufwand das eigene Geld vermehrt. Der Promi ist KI-generiert, doch das ist nicht für jeden erkennbar. Manchmal sind diese Videos noch auf Seiten eingebaut, die bekannten Nachrichtenplattformen ähneln. Das soll noch einmal das Vertrauen erhöhen.
So werden Nutzerinnen und Nutzer dazu animiert, ihre eigenen Daten oder gleich ihr Geld herzugeben.
Phishing ist ein Betrugsversuch, bei dem potenziellen Opfern sensible Informationen entlockt werden. Es gibt tatsächlich gar nicht so wenige Menschen, die auf so etwas hereinfallen. Gerade durch Investmentbetrug lassen sich Menschen ganz schöne Summen abknöpfen. Da gab es schon einzelne Personen, die fünf Millionen Euro verloren haben.
Solche Betrügereien im Investmentbereich erklären auch, wie allein im Jahr 2024 insgesamt 20 Millionen Euro Schaden durch Phishing entstehen konnten. Die 8.600 Anzeigen kamen vor allem von Privatpersonen.
Wie viele Unternehmen unter den Phishing-Opfern sind, wird nicht erfasst. Auch Wirtschaftskammer oder Handelsverband haben keine Zahlen, wie viele ihrer Mitglieder betroffen sind und wie viel Geld sie jährlich an Phishing-Betrüger überweisen. Allerdings machen Phishing-Angriffe 63 Prozent aller Cybercrime-Fälle bei Handelsverband-Mitgliedern aus, wie die Sicherheitsstudie des Handelsverbandes zeigte. Beliebte Opfer von Phishing sind auch Gemeinden. Das niederösterreichische Hagenbrunn überwies heuer etwa 300.000 Euro an Betrüger, die angeblich offene Rechnungen von einem Schulbauprojekt einforderten.
Für manche täuschend echt wirkt ein Video das angeblich Alexander Van der Bellen im Interview mit Armin Wolf zeigt. Doch der Inhalt zeigt eindeutig: Es ist ein Fake.
Ein Deepfake von Alexander Van der Bellen
Für manche täuschend echt wirkt ein Video das angeblich Alexander Van der Bellen im Interview mit Armin Wolf zeigt. Doch der Inhalt zeigt eindeutig: Es ist ein Fake.
Kampagne klärt über verschiedene Taktiken auf
Das Geschäftsmodell der Phishing-Betrüger basiert meist auf Massen-Emails, -SMS und -Anrufen. Selbst wenn nur ein paar Prozent der Empfänger auf die Nachrichten eingehen, zahlt sich das schon aus für die Kriminellen. Deswegen sind auch eher Otto-Normalverbraucher betroffen als Firmen, erklärt Thorsten Behrens von der Watchlist Internet, eine unabhängige Informationsplattform zu Internet-Betrug.
Das Problem ist bekannt, die Lösung liegt neben der Ausforschung der Tätergruppen auch bei den Nutzerinnen und Nutzern selbst – und der oft beschworenen Medienkompetenz. Das Wissen über die Betrugsmaschen soll mit einer neuen Kampagne gestärkt werden, ihr Titel: „Phishen impossible“ . Die Liste der Unterstützer ist lang, neben dem Innenministerium und dem Bundeskriminalamt, zählen die Österreichische Post, A1, die Österreichischen Banken, Watchlist Internet sowie Payment Services Austria dazu. An „10 Tagen gegen Phishing“ soll bis 20. Oktober jeden Tag eine andere Taktik in den Vordergrund gestellt werden. Von Love Scams über die klassischen „Hallo Mama“-SMS bis zu falschen Nachrichten von Paketdiensten, werden die typischen Tricks gezeigt - und erklärt, wie man sie erkennen kann.
Dass sich die Unternehmen an der Awareness-Kampagne beteiligen, hat einen guten Grund: Viele Betrüger verschicken Nachrichten von als vertrauenswürdig geltenden Absendern: die Klassiker sind Post, Banken, Finanzamt oder die eigene Gemeinde. Heuer wurden etwa viele E-Mails mit angeblichen Parkstrafen im Namen einzelner Kommunen verschickt.
Welche Form des Phishings am häufigsten vorkommt, wird nicht erfasst, heißt es aus dem Bundeskriminalamt.
So lassen sich Fake-Investments erkennen
Was zum Beispiel tun bei den Deepfake-Prominenten? Grundsätzlich ist die Sache ganz einfach, schreibt Watchlist Internet auf ihrer Website: Kein Promi wirbt in einer Nachrichtensendung oder in einem Zeitungsinterview für Investment-Plattformen. Aber wer seine Daten unachtsam hergegeben hat, kann zum Beispiel auf dieses häufige Schema achten:
Nach der Registrierung melden sich die Kriminellen telefonisch und fordern eine Einzahlung, meist nur wenige hundert Euro. In den kommenden Monaten schaut es so aus, als würde man Gewinne erzielen. Die Opfer werden deswegen dazu aufgefordert, noch mehr einzuzahlen. Wer sich seine angeblichen Gewinne ausschütten lassen will, bei dem erfolgt das böse Erwachen: Die Auszahlung wird mit fadenscheinigen Argumenten verweigert, das Geld ist weg. Wer Pech hat, zahlt davor noch eine angebliche Auszahlungsgebühr.
Seriöse Plattformen würden niemals Geschäfte übers Telefon machen. Neben Promibetrug klärt die Kampagne „10 Tage gegen Phishing“ noch auf über:
- Account Takeover
- Paketdienst-Masche
- Love-Scam
- Treuepunkte-Betrug
- Identitätsdiebstahl per E-Mail
- "Hallo Mama/Papa…"
- Abofalle als Gewinnspiel
- Telefon-Betrug
- Recovery Scam
Immer mehr, immer besser, immer schwieriger zu erkennen
Das Problem ist real und es wächst, denn die Täter werden immer professioneller: „Vor ein paar Jahren war es noch der nigerianische Prinz, der angeblich sein Erbe verteilen wollte. Aber Phishing-Nachrichten werden immer besser und sind immer schwieriger zu erkennen“, sagt Behrens.
Phishing, also der Datendiebstahl, ist an sich meist nur die Vorbereitung für andere Delikte. Das habe sich in den vergangenen Jahren stark verändert: Waren es früher noch Fakeshops, in denen Menschen direkt ihr Geld verloren, werden solche Fakeshops jetzt genutzt, um Daten abzusaugen. Behrens erklärt das Modell: „Zuerst holen sie sich meine persönlichen Daten, dann rufen sie an, geben sich als Bankmitarbeiter aus, wissen meinen IBAN, meinen Geburtsort, etc. Das stiftet Vertrauen.“ Hier kommt das sogenannte Social Engineering zum Einsatz, also die emotionale Manipulation der potenziellen Opfer. Wenn die Betrüger dann darum bitten, eine Zwei-Faktor-Authentifizierung freizugeben, lässt man sich eher darauf ein. So können schnell mehrere tausend Euro verloren gehen.
„Es gibt für jeden die passende Falle und den passenden Moment”, sagt Behrens. Das Perfide an Phishing-Attacken: Sie sind auf verschiedene Zielgruppen zugeschnitten. Jüngere werden über Social Media angegriffen, Ältere am Telefon. Der Generaldirektor für öffentliche Sicherheit, Franz Ruf, sagt: „Phishing betrifft, unabhängig von Alter, Bildungsgrad oder digitaler Erfahrung, die gesamte Bevölkerung.“
Selbst IT-affine Mitarbeitende, die vielleicht sonst jede Fake-E-Mail entlarven, klicken im Stress auch einmal auf einen gefährlichen Link. Und was gibt es Schlimmeres, als wenn man hört, dass das eigene Kind einen Unfall hatte? Selbst wenn die Stimme eigentlich gar nicht so sehr dem eigenen Kind ähnelt, oder die Wortwahl nicht ganz typisch ist: In so einer Stresssituation und bei so einer Aufregung bekomme man das gar nicht mit, meint Behrens von Watchlist Internet.
Experte hofft auf mehr KI-Skepsis
Durch KI wird Phishing noch professioneller. E-Mails, Nachrichten und Bilder werden immer überzeugender, Rechtschreibfehler und Übersetzungsprobleme gehören der Vergangenheit an. Wobei gerade bei den Anrufen, die auf den ersten Kontakt folgen, schon noch echte Menschen stecken. Behrens glaubt: In den nächsten Jahren wird zwar die KI immer besser, aber auch die Skepsis der Menschen größer. Ein kleiner Lichtblick.
Ebenfalls positiv: Die erste Vorgänger-Kampagne von „Phishing Impossible” hat Wirkung gezeigt. Bei der Präsentation verwies der Direktor des Bundeskriminalamts, Andreas Holzer, auf einen Rückgang von 6,8 Prozent im Cybercrime-Bereich im Vergleich von 2023 auf 2024. Das lasse sich nicht ausschließlich auf die Kampagne zurückführen, räumt er ein, aber sie hätte sicher ihren Teil geleistet. Aufmerksamkeit hat sie auf jeden Fall generiert. Über 60 Prozent mehr Personen als im Vormonat riefen die Website von Watchlist Internet während dem Durchlauf 2024 auf.
Was übrigens wenig bringt, sind Phishing-Schulungen in Unternehmen, wie eine neue Studie zeigt. Acht Monate lang schickten Forschende der Universität California San Diego zehn verschiedene Phishing-E-Mail-Kampagnen an über 19.500 Mitarbeitende. Von den Angestellten, die eine Schulung durchlaufen hatten, fielen genauso viele auf den Betrug herein, wie aus der Gruppe, die keine Schulung absolvierten.
Experte Behrens sei übrigens noch nie auf einen Phishing-Angriff hereingefallen. Wie er das geschafft hat? „Keine Links in E-Mails öffnen, keine Anhänge herunterladen. Bei der Post oder bei der Bank direkt einloggen und schauen, ob die Nachricht auch dort zu sehen ist. Ein kleiner Umweg bringt einfach mehr Sicherheit.”
