Betrug durch falsche Bankberater: Analyse dieser Vishing-Attacke
In einer zunehmend vernetzten Welt entwickeln Cyberkriminelle immer neue Methoden, um ihre Opfer zu täuschen, seien es Privatpersonen, Unternehmen, Behörden oder Vereine.
Phishing ist zwar nach wie vor der Hauptvektor für Cyberangriffe, doch Telefonbetrug wie Vishing nimmt in alarmierendem Tempo zu.
Unter diesen Betrugsdelikten nimmt der Betrug durch falsche Bankberater in Frankreich in besorgniserregendem Maße zu und betrifft jedes Jahr Tausende von Opfern.
Laut dem aktuellen Barometer von Cybermalveillance.gouv.fr sind die Fälle von Betrug durch falsche Bankberater um 78 % gestiegen, was das Ausmaß des Phänomens verdeutlicht.
Die zunehmende Gefährdung personenbezogener Daten, insbesondere durch die jüngsten Datenlecks, trägt zum Aufschwung dieses Betrugs bei.
In diesem Artikel möchten wir Ihnen diese Bedrohung näherbringen, ihre Mechanismen erläutern, ihre Folgen analysieren und vor allem bewährte Methoden vorstellen, mit denen Sie sich wirksam davor schützen können.
Was ist Betrug durch falsche Bankberater?
Definition
Der Betrug mit falschen Bankberatern ist eine Betrugsmasche, bei der sich Cyberkriminelle als Bankangestellte ausgeben, um an sensible Informationen zu gelangen oder Gelder zu veruntreuen.
Dieser Betrug fällt unter eine umfassendere Kategorie namens Vishing, ein Begriff, der sich aus den Wörtern „Voice“ und „Phishing“ zusammensetzt . Vishing lässt sich ins Deutsche mit „Sprach-Phishing“ übersetzen.
Vishing basiert auf der Verwendung betrügerischer Telefonanrufe, um die Opfer psychologisch zu manipulieren und sie zur Preisgabe vertraulicher Daten zu bewegen.
Diese Methode nutzt die Prinzipien des Social Engineering, einer Reihe von Techniken, die darauf abzielen, das Verhalten durch das Ausnutzen emotionaler Faktoren wie Angst, Dringlichkeit, Vertrauen oder Empathie zu beeinflussen.
Die Methoden, die beim Betrug mit falschen Bankberatern verwendet werden
Wie wir gesehen haben, basiert der Betrug mit falschen Bankberatern auf Vishing-Angriffen, die in verschiedenen Formen und mit unterschiedlichem Komplexitätsgrad auftreten können:
1. Direkte Telefonanrufe: Der Betrüger nimmt direkt per Telefon Kontakt mit einem Opfer auf. Dieser Anruf kann über das herkömmliche Telefonnetz oder über VoIP mit Anwendungen wie WhatsApp erfolgen (Voice over IP ist eine Technologie, mit der Sprachverbindungen über das Internet hergestellt werden können).
In beiden Fällen gibt sich der Anrufer als Bankberater aus und behauptet, ein Problem im Zusammenhang mit dem Konto des Opfers lösen zu wollen.
2. Hybride Attacke mit Phishing-E-Mails und/oder -SMS: In diesem Fall erhält das Opfer zunächst eine SMS oder E-Mail, in der es über ein Problem mit seinem Bankkonto oder eine bevorstehende betrügerische Zahlung informiert wird.
Die Nachricht fordert dann dazu auf, dringend eine Telefonnummer anzurufen, um mit einem angeblichen Bankberater verbunden zu werden. Diese Nachrichten ahmen natürlich die offiziellen Mitteilungen der Banken nach.
3. Übergabe einer Bankkarte an einen Kurier: Zu den raffiniertesten Betrugsmethoden gehört, dass manche Betrüger die Bankkarte ihres Opfers physisch entwenden.
Nachdem sie Vertrauen aufgebaut haben, behaupten sie, es läge ein Sicherheitsproblem mit dem Konto vor, und bestehen darauf, dass das Opfer seinen Geheimcode zur Überprüfung preisgibt.
Anschließend fordern sie das Opfer auf, die Karte einem Kurier zu übergeben, mit der Begründung, dass die Bank die Karte zur Sicherheit oder zur Vernichtung zurückholen müsse. Sobald sie im Besitz der Karte und des Codes sind, nutzen die Betrüger diese sofort, um Bargeld abzuheben oder Einkäufe zu tätigen.
4. Verwendung von Infostealer-Software: Diese Schadprogramme wurden entwickelt, um sensible Informationen zu stehlen, die auf einem infizierten Gerät gespeichert sind. Sobald sie installiert sind (z. B. über einen Phishing-Link, der zu einem gefälschten App-Store führt), spionieren diese Programme die Aktivitäten des Benutzers aus und sammeln Daten (Benutzernamen, Passwörter usw.).
Bestimmte Anwendungen können sehr weit gehen, um die Kontrolle über das Telefon des Opfers zu übernehmen, wie koreanische Forscher in einer Studie aufzeigen:
-
- Entfernen Sie alle Anti-Phishing-Anwendungen, die möglicherweise auf dem Gerät vorhanden sind.
- Übertragung von Fotos, Videos, Sprachaufzeichnungen usw.
- Anrufweiterleitung (um alle Anrufe an legitime Telefonnummern zu unterbrechen und Anrufe an eine betrügerische Nummer umzuleiten).
- Anzeige eines Overlays (falscher Bildschirm), um unzulässige Anrufe zu verbergen.
- Blockierung legitimer externer Anrufe.
- Manipulation des Anrufprotokolls (damit die legitime Nummer anstelle der betrügerischen Nummer angezeigt wird).
Wie funktioniert der Betrug mit falschen Bankberatern?
Schritt 1: Der erste Zugang
Der erste Schritt eines Betrugs durch einen falschen Bankberater besteht also darin, Kontakt mit dem Opfer aufzunehmen. Das Ziel des Cyberkriminellen ist es, mit den Emotionen seines Opfers zu spielen.
Er setzt also auf Angst, Dringlichkeit, Vertrauen und Respekt vor Autoritäten. Mit beruhigendem und professionellem Ton informiert er das Opfer über eine angeblich verdächtige Aktivität auf seinem Konto.
Schritt 2: Die Handhabung
Sobald das Gespräch zustande gekommen ist und ein Vertrauensverhältnis aufgebaut wurde, kann der Visher sein Opfer weiter manipulieren. Um seine Glaubwürdigkeit zu stärken, kann der Betrüger Details über das Opfer preisgeben, die er aus gehackten Datenbanken oder über soziale Netzwerke erhalten hat.
Anschließend kann er sensible Informationen (wie einen per SMS erhaltenen Bestätigungscode) abfragen oder das Opfer dazu verleiten, direkt Transaktionen durchzuführen.
Schritt 3: Die betrügerische Überweisung
Das Ziel eines Betrugs mit einem falschen Bankberater ist es, Geld zu unterschlagen. Sobald der Betrüger im Besitz der erforderlichen Informationen ist, kann er sein Ziel umsetzen, indem er das Opfer auffordert:
- Seine Kreditkartennummern, um Einkäufe im Internet zu tätigen.
- Seine Zugangsdaten für sein persönliches Online-Banking-Konto, um selbst Geld zu überweisen.
- Unter einem Vorwand betrügerische Überweisungen vorzunehmen (z. B. Geld vor Hackerangriffen zu schützen, indem es auf ein neues Girokonto überwiesen wird).
Anzeichen für einen Betrug durch einen falschen Bankberater
Verdächtiges Verhalten, auf das Sie achten sollten
Trotz der Professionalisierung der Hacker können bestimmte Anzeichen auf einen Betrugsversuch durch einen falschen Bankberater hindeuten:
- Ungewöhnliche Kommunikationskanäle: Einige Vishing-Anrufe werden über das herkömmliche Telefonnetz getätigt, während andere VoIP-Software verwenden, eine Kommunikationsmethode, die eine Bank nicht verwenden würde.
- E-Mail oder SMS mit der Aufforderung, eine Nummer anzurufen: Es ist selten, um nicht zu sagen unmöglich, dass eine Bank ihren Kunden per SMS oder E-Mail über ein Problem mit seinem Konto informiert.
- Anrufe zu ungewöhnlichen Zeiten: Betrüger kontaktieren ihre Opfer oft früh morgens, spät abends oder an Feiertagen. Auch dies ist ein Anzeichen für einen Betrugsversuch.
- Dringlicher oder bedrohlicher Tonfall: Der Betrüger drängt das Opfer, schnell zu handeln, unter dem Vorwand, ein Problem zu lösen oder eine Zahlung zu verhindern. Dringlichkeit ist der Schlüssel zu diesen Angriffen. Das Ziel ist es, Sie zu impulsivem Handeln zu bewegen, anstatt einen Schritt zurückzutreten. Achten Sie auf diese Signale.
- Anfragen nach vertraulichen Informationen: Der angebliche Bankberater fragt nach Benutzernamen, Passwörtern oder Bestätigungscodes, die per SMS oder E-Mail empfangen wurden. Ein echter Bankberater würde dies niemals tun.
Durchzuführende Überprüfungen
Bei Verdacht auf einen Betrugsversuch durch einen falschen Bankberater sollten Sie folgende Regeln befolgen:
- Überprüfen Sie die Nummer des Anrufers: Auch wenn die angezeigte Nummer legitim erscheint (Nummer bereits in Ihrem Telefonbuch gespeichert oder mit dem Namen eines bekannten Unternehmens), kann es sich um eine Nummernfälschung (Telefon-Spoofing) handeln. Am besten beenden Sie das Gespräch und rufen die legitime Nummer zurück. Idealerweise sollte der Rückruf von einem anderen Gerät aus erfolgen, für den Fall, dass das Telefon mit Spyware infiziert ist.
- Stellen Sie dem Anrufer Fragen: Ein Betrüger kann viel über Sie wissen (Name, Vorname, Telefonnummer, Adresse, Kreditkartennummern, Kontonummern usw.). Zögern Sie dennoch nicht, ihm Fragen zu stellen und ihn in die Enge zu treiben. Er wird sich sicherlich irgendwann selbst entlarven.
- Sagen Sie so wenig wie möglich und unternehmen Sie nichts: Eine Bank wird Sie niemals am Telefon nach Ihren Zugangsdaten oder anderen sensiblen Informationen fragen. Ebenso wenig wird sie Sie jemals dazu auffordern, Überweisungen zwischen Ihren Konten oder auf ein externes Konto vorzunehmen. Wenn ein Anrufer Sie dazu auffordert, handelt es sich um einen Betrugsversuch durch einen falschen Bankberater.
Was tun bei Betrug durch einen falschen Bankberater?
Die wesentlichen Schritte
Wenn Sie Opfer eines Betrugs durch einen falschen Bankberater geworden sind, ist es wichtig, unverzüglich zu handeln, um Ihre Finanzen zu schützen und zu verhindern, dass andere Personen ins Visier genommen werden. Hier sind die ersten Maßnahmen, die Sie ergreifen sollten:
- Wenden Sie sich umgehend an Ihre Bank, um den Betrug zu melden und Ihre Bankkonten sowie Ihre Zahlungsmittel zu sichern.
- Erstatten Sie Anzeige bei der Polizei, der Gendarmerie oder der Staatsanwaltschaft.
- Im Falle eines Kreditkartenbetrugs melden Sie diesen bitte auf der Plattform Perceval des Innenministeriums, die zur Bekämpfung dieser Art von Betrug eingerichtet wurde.
- Besuchen Sie die Website 17Cyber, um Unterstützung bei Ihren Maßnahmen und Beratung zum Thema Cybersicherheit zu erhalten.
Erhöhen Sie Ihre Sicherheit und warnen Sie Ihre Mitmenschen
Neben den offiziellen Schritten ist es wichtig, sein Umfeld zu informieren. Betrüger haben es oft auf ältere Menschen abgesehen, aber auch junge Erwachsene sind gefährdet, auch wenn dies paradox erscheinen mag, wie eine aktuelle Studie zeigt. Indem Sie Ihre Angehörigen informieren, können Sie verhindern, dass sie die nächsten Opfer werden.
In einem beruflichen Umfeld sollten Sie unverzüglich Ihren IT-Sicherheitsdienst und Ihre Kollegen benachrichtigen, um eine Ausbreitung des Angriffs zu verhindern.
Um künftige Einbruchsversuche zu verhindern, sollten Sie außerdem Folgendes beachten:
- Ändern Sie alle Ihre Passwörter, um Ihre digitalen Zugänge zu sichern.
- Setzen Sie Ihr Mobiltelefon zurück, um mögliche Spyware zu entfernen.
Wie kann man sich vor Betrug durch falsche Bankberater schützen?
In sozialen Netzwerken diskret bleiben
Ein Cyberkrimineller kann keine Social-Engineering-Strategie umsetzen, ohne Informationen über Sie zu besitzen. Es ist daher wichtig, Ihren digitalen Fußabdruck, d. h. Ihre Angriffsfläche, zu begrenzen.
Veröffentlichen Sie nichts Persönliches in sozialen Netzwerken, auch nicht in beruflichen Netzwerken, die oft eine Goldgrube für böswillige Personen sind.
Bereits 2012 haben der Forscher Michal Kosinski und seine Kollegen von den Universitäten Cambridge und Stanford gezeigt, dass ein Algorithmus für maschinelles Lernen die Persönlichkeitsmerkmale einer Person durch die Analyse ihrer Reaktionen auf Facebook genau bestimmen kann.
Was ist dann von einem Lebenslauf zu halten, in dem alle Ihre Kontaktdaten und persönlichen Informationen öffentlich auf LinkedIn verfügbar sind?
Wenn Sie etwas in sozialen Netzwerken veröffentlichen möchten, sollten Sie das Publikum besser auf vertrauenswürdige Personen beschränken.
Behalten Sie außerdem nur Personen in Ihren Kontakten, die Sie wirklich kennen, und seien Sie vorsichtig, wenn ein Unbekannter versucht, Ihrem Netzwerk beizutreten.
Sich so gut wie möglich vor Datenlecks schützen
Die Nutzer sind nicht für die Sicherheit der Unternehmen verantwortlich, denen sie ihre Daten anvertrauen. Dennoch ist es die Pflicht eines jeden, wachsam zu sein.
Das bedeutet, dass man sich nur auf vertrauenswürdigen Websites registrieren sollte, die Daten gemäß den gesetzlichen Bestimmungen und insbesondere der DSGVO verarbeiten.
Das bedeutet auch, dass man nicht mehr Informationen preisgibt als nötig und beispielsweise keine Angaben in nicht obligatorischen Feldern macht.
Um sich für einen Newsletter anzumelden, sollten beispielsweise weder Ihr Geburtsdatum noch Ihre Postanschrift abgefragt werden.
Fazit
Betrug durch falsche Bankberater stellt eine wachsende Bedrohung dar, die durch die zunehmende Verbreitung von Datenlecks im Dark Web noch verschärft wird, wo sensible Informationen wie IBANs und andere personenbezogene Daten von Nutzern zirkulieren.
Es gibt zwar technische Lösungen zum Filtern betrügerischer Anrufe und SMS, diese sind jedoch nicht narrensicher. Cyberkriminelle schaffen es manchmal, diese Lösungen mit Hilfe fortschrittlicher Techniken zu umgehen, beispielsweise durch die Installation von Spyware auf den Zielgeräten.
Angesichts dieser Bedrohung bleibt der Mensch die beste Verteidigung. Die Entwicklung eines kritischen Denkens gegenüber verdächtigen Mitteilungen und das Erlernen der Erkennung von Warnsignalen sind wesentliche Fähigkeiten, um Risiken zu begrenzen.
Die Sensibilisierung ist daher ein wichtiger Hebel, sowohl im familiären Umfeld, wo es entscheidend ist, mit seinen Angehörigen über diese betrügerischen Praktiken zu sprechen, als auch im beruflichen Umfeld, wo es unerlässlich ist, die Widerstandsfähigkeit der Teams gegenüber Vishing-Versuchen zu bewerten.
In diesem Zusammenhang ermöglichen Vishing-Simulationen, wie sie beispielsweise von Hucency angeboten werden, die Fähigkeit der Mitarbeiter, einen Angriff zu erkennen, unter realen Bedingungen zu testen.
Auf diese Simulationen folgt ein detaillierter Bericht mit individuellen Empfehlungen zur Stärkung der internen Verfahren und zur Optimierung der Strategie zur Abwehr dieser raffinierten Betrugsmaschen.
Kontaktieren Sie uns, um herauszufinden, ob Ihr Unternehmen auf einen Vishing-Angriff vorbereitet ist.
