KI und zunehmende „digitale Verknüpfung“ erleichtern Phishing-Angriffe

tom

1 Jahr ago

Darstellung eines Hackers vor einem Laptop. (c) AdobeStock

In den letzten Jahren stieg die Zahl der Cybercrime-Delikte beständig – nicht zuletzt befeuert durch die Covid-19-Pandemie und die Möglichkeiten, die künstliche Intelligenz [KI] mittlerweile auch in diesem Bereich mit sich bringt. Phishing ist eine der möglichen Ausprägungen von Cybercrime, vor denen das Europäische Verbraucherzentrum [EVZ] im Verein für Konsumenteninformation immer wieder warnt. Welche Formen von Phishing aktuell häufig angewendet werden und was Betroffene tun sollten, darüber informiert im Folgenden EVZ-Juristin Maria Semrad.

Was ist Phishing?

Wurde eine offiziell wirkende Nachricht über einen un-üblichen Weg zugestellt? Hat sich etwa das Finanzamt via WhatsApp gemeldet oder die Bank auf Instagram? „In derartigen Fällen können sie davon ausgehen, dass sie einem Phishing-Angriff ausgesetzt sind“, so EVZ-Juristin Maria Semrad. Als Phishing-Angriffe bezeichnet man betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites, die Betroffene zur Weitergabe vertraulicher Daten [zum Beispiel Kreditkartennummern, Anmeldedaten] oder zum Download von Malware [Anmerkung: betrügerische Software] verleiten sollen. Dies kann zu Identitätsdiebstahl, Kreditkartenbetrug oder sonstigen Cyber-Angriffen führen, und damit auch zu herben finanziellen Verlusten.

„Problematisch ist, dass auch Cyberkriminelle zunehmend auf die Möglichkeiten künstlicher Intelligenz zugreifen“, betont Semrad. „Zum Beispiel durch Voice-Cloning und Deepfakes, oder einfach durch qualitativ hochwertige Übersetzungen – wenn eine Phishing-Welle aus einem Sprachraum in einem anderen wiederholt wird. Bislang ließen sich Phishing-Versuche an Grammatik- oder Rechtschreibfehlern gut erkennen. Dies wird nun schwerer.“

Ein Angelhaken, der eine Kreditkarte von einer Laptoptastatur fischt, Stichwort Phishing.
(c) AdobeStock — Pishing-Angriffe zielen letztlich darauf ab, ihnen buchstäblich das Geld aus der Tasche zu ziehen.

Spear-Phishing

Um Spear-Phishing handelt es sich, wenn individualisierte Fake-Nachrichten an eine bestimmte Personengruppe wie etwa die Mitarbeiterinnen und Mitarbeiter eines Unternehmens oder die Mitglieder eines Vereins adressiert werden. Die Angreifer•innen haben detailliertere Daten der Zielpersonen, zum Beispiel aus einer geleakten Kundendatenbank, um die täuschende Nachricht mit echten Informationsbruchstücken auszustatten, sodass sie nicht ignoriert wird. Spear-Phishing-Angriffe werden angesichts der Vielzahl an Spuren, die wir als digitale Konsumentinnen und Konsumenten im Netz hinterlassen, immer häufiger.

Multi-Channel-Phishing

„Verschärft wird die Situation durch die Ausbreitung von Phishing auf neue Plattformen“, so Semrad. „Je mehr Kanäle eine Privatperson abseits von E-Mails nutzt, zum Beispiel Social Media, SMS und Apps, desto mehr Zugangspunkte ergeben sich für Kriminelle. Attacken erfolgen nun auch öfter über mehrere Kanäle gleichzeitig, da sie so glaubwürdiger scheinen.“ So kann zum Beispiel per E-Mail und WhatsApp eine Verständigung über Probleme mit einer Paketlieferung erfolgen samt weiterführendem Link zu einer Webseite, wo dann Zugangsdaten abgefragt werden oder das Gerät bei Download einer Datei mit Schadsoftware infiziert wird.

Romance Scams

ChatGPT, gestohlene Bilder und Videos, sowie die Tatsache, dass Social-Media-Kanäle vermehrt miteinander verknüpft werden, erleichtern es Kriminellen, Fake-Identitäten glaubwürdig und attraktiv aussehen zu lassen. Bei Romance Scams auf Social Media oder Partnerbörsen zielen Betrüger•innen üblicherweise auf „Vorschussbetrug“ ab. So wird eine Beziehung vorgetäuscht, in der•die Betrüger•innen erst nach einiger Zeit um Geld bitten. „Häufig geht es um Geld für ein Flugticket oder um Passgebühren, um einen persönlichen Besuch zu ermöglichen“, informiert Semrad. „Es besteht aber auch die Gefahr des Identitätsdiebstahls, indem das umschmeichelte Opfer zum Beispiel Log-in-Daten bereitstellt oder der Installation einer bestimmten Software [zum Beispiel Anydesk] zustimmt und die Kontrolle über Programme, Konten oder das Computersystem verliert.“

Tipps gegen Cyber-Betrug

Grundsätzlich gilt: Vorsicht ist der beste Schutz!

Lesen sie »alle« Nachrichten aufmerksam und kritisch, lassen sie sich nicht drängen und reagieren sie nicht vorschnell auf Aufforderungen.
Die Angreifer±innen tarnen ihre Phishing-Attacken oft als Datenabfragen von Behörden, Telekomanbietern, Banken oder anderen bekannten Stellen. Geben sie NIEMALS Zugangsdaten oder Passwörter weiter! Kein seriöses Unternehmen oder Bankinstitut fordert per E-Mail, WhatsApp oder SMS zur Eingabe von Passwörtern oder persönlichen Daten auf.
Bei Zweifel an der Echtheit einer Nachricht nehmen sie besser den Kontakt mit dem „behaupteten“ Absender auf. Ermitteln sie dabei aber unbedingt die Kontaktdaten gesondert und übernehmen sie diesen nicht aus der Nachricht!

Wenn Phishing-Attacken öfter durchdringen

Scannen sie ihren Computer mit einem aktualisierten Antivirus-Programm, um sicherzustellen, dass keine Schadsoftware vorhanden ist und [nicht noch mehr] Daten gestohlen werden können.
Verschieben sie betrügerische Nachrichten immer in den Spam-Ordner des E-Mail-Programms. Das hilft, künftige Phishing-Mail-Versuche besser zu erkennen.
Nutzen sie E-Mail-Provider mit hohen Sicherheitsstandards. Folgende Schutzstandards sollte der E‑Mail‑Dienst erfüllen: SPF [Sender Policy Framework], DKIM [Domain Keys Identified Mail], DMARC [Domain-based Message Authentication Reporting & Conformance].

Falls bereits Bezahldaten auf einer Phishing-Seite eingegeben wurden

Ändern sie möglichst schnell ihre Kennwörter, vor allem, wenn sie bei mehreren Konten dieselben Zugangsdaten verwenden.
Kontaktieren sie den betroffenen Zahlungsdienstleister. Überprüfen sie, ob schon unerwünschte Zahlungen abgeflossen sind. Lassen sie ihre Bezahlkarten [Bankomat- und Kreditkarte] sicherheitshalber sperren, um Schaden zu vermeiden.
Setzen sie bei Online-Zahlungsanbietern wie beispielsweise PayPal die Autorisierungsmethode zurück, falls das Konto kompromittiert ist.
Falls schon Buchungen getätigt wurden, veranlassen sie sofort eine Rückbuchung beim Kreditinstitut.
Ist ein finanzieller Schaden entstanden, machen sie umgehend eine Betrugsanzeige bei der Polizei.

Grafik: ein Räuber leert aus einem übergroßen Handy Geldstücke in eine Sack, der von seiner Komplizin gehalten wird.
(c) AdobeStock — Wenn ihnen bei Nachrichten von Behörden oder ihrer Bank etwas „spanisch“ vorkommt, kontaktieren sie diese direkt um nachzufragen. Geben sie »nie« persönliche Daten weiter!

In jedem Fall andere warnen, um weiteren Schaden zu verhindern

Sofern Zugangsdaten für Social-Media-Plattformen oder die private E-Mail-Adresse kompromittiert wurden, sollten die Kontakte der entsprechenden Accounts gewarnt werden, für den Fall, dass die Kriminellen diese Adresslisten für Folgenachrichten missbrauchen oder versuchen, diese im Namen des Geschädigten anzuschreiben.
Falls sich die Kriminellen in der Phishing-Nachricht als Unternehmen oder öffentliche Einrichtung ausgeben, hilft es, diese Institutionen zu informieren, damit sie Warnungen an ihre Nutzerinnen und Nutzer aussenden können.

Zudem ist es sinnvoll, Warnportale wie die Watchlist Internet oder die Meldestelle für Cybercrime im Bundeskriminalamt über den Betrugsversuch zu informieren.

Weitere Informationen zum Thema Phishing finden sie HIER.

(Bilder: AdobeStock)

Beitrag teilen