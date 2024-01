„Ihr Paket steht noch aus. Bitte bestätigen Sie Ihre Angaben hier“, hieß es in einer SMS, die zum Jahresanfang verschickt wurde. Es mag wie die Nachricht eines Versandunternehmens gewirkt haben, war aber ein Betrug.

Kriminelle, die sich auf den Diebstahl von persönlichen Daten spezialisieren, haben rund um Weihnachten eine Menge zu tun, weil da viel bestellt und verschickt wird – gefälschte Nachrichten fallen in der Masse aus Bestellbestätigungen und Mails zu Paketen weniger auf.

Doch das sogenannte „Phishing“ bleibt das ganze Jahr über ein Problem. Betrügerische Nachrichten reihen sich im virtuellen Posteingang und in Chatdiensten inzwischen ganz alltäglich neben Newsletter, Ticketkauf oder die WhatsApp-Nachricht von Mama ein. Hereinfallen kann jeder und jede. Egal, ob man mit dem Internet fremdelt oder sich für ein abgeklärtes Computergenie hält.

„Oft wird ja vermutet, dass es eher ältere und/oder technisch nicht so affine Menschen sind, die Opfer von Phishing werden“, sagt Ralf Scherfling, wissenschaftlicher Mitarbeiter der Verbraucherzentrale NRW. „Wenn sich Geschädigte bei uns melden, stellen wir allerdings fest, dass auch andere Gruppen Opfer werden können.“ Im Folgenden erklären wir, was genau Phishing ist, warum es so gut funktioniert – und wieso die richtig üblen Maschen erst noch bevorstehen.

Was genau ist „Phishing“?

Die englische Wortkreation setzt sich aus „Password“ und „fishing“ zusammen.

Es geht also darum, Passwörter oder andere vertrauliche Informationen per E-Mail, SMS, Messenger-Nachricht oder Telefon „zu fischen“.

Die Wortschöpfung „Phishing“ ist dabei sehr viel origineller, als die Zielsetzung und Masche dahinter sind.

Das Ziel: Die Kriminellen hinter Phishing-Aktionen wollen Zugriff auf Bankkonten, sie wollen Kreditkartenbetrug begehen oder die Identität einer Person stehlen.

Die Methode: Die häufigste Form des Phishings sind E-Mails, die an eine große Masse von Menschen geschickt werden, frei nach dem Motto „es werden schon genug Leute hereinfallen“.

Das heißt: Entweder werden arglose Menschen dazu gebracht, ihre Daten preiszugeben oder eine schädliche Software auf PC oder Handy zu installieren, die dann Daten abschöpft. Anschließend kann jemand zum Beispiel mit erbeuteten Kreditkartendaten auf Einkaufstour gehen.

Es spielt dabei keine Rolle mehr, ob der Verbrecher in Internetshops oder im Einkaufszentrum shoppt, weil viele klassische Läden inzwischen das Bezahlen per Smartphone anbieten. Das Handy muss einfach nur mit den Kreditkartendaten versorgt und an der Kasse vor ein Lesegerät gehalten werden.

Die Masche ist simpel und effektiv

Damit es so weit kommt, wird mit simplen, aber effektiven Maschen gearbeitet, um Menschen zu täuschen. Bei der Fälschung einer Nachricht geht es vor allem darum, Ängste zu schüren, Dringlichkeit zu erzeugen und zu einer Handlung aufzufordern – siehe die aktuellen Beispiele unten im Infokasten. So wird zum Beispiel in einer E-Mail einer vermeintlichen Bank behauptet, dass der Zugang zum Konto bald eingeschränkt wird – es sei denn, man aktualisiert jetzt wegen „gesetzlicher Vorschriften“ schnell seine Daten.

Aktuelle Phishing-Warnungen der Verbraucherzentrale NRW Phishing: Angeblich ist die Netflix-Mitgliedschaft abgelaufen. © Phishing-Radar der Verbraucherzentrale NRW Phishing: Angeblich muss man Zollgebühren zahlen, sonst wird das Paket nicht geliefert. © Phishing-Radar der Verbraucherzentrale NRW Phishing: Angeblich ist eine Dateneingabe nötig, um weiterhin das Online-Banking der Sparkasse nutzen zu können. © Phishing-Radar der Verbraucherzentrale NRW

Manchmal wird auch direkt in autoritärer Gestalt des vermeintlichen Staates aufgetreten, wenn etwa „im Namen von Elster“ von einem angeblichen Steuerrestbetrag die Rede ist, der noch zu zahlen sei.

Phishing bleibt am Puls der Zeit

Die Kriminellen bleiben dabei am Puls der Zeit: Laut aktuellstem Lagebericht des Bundeskriminalamtes (BKA) nehmen Phishing-Mails häufig auf aktuelle gesellschaftliche Entwicklungen Bezug. 2022 waren das zum Beispiel der russische Angriffskrieg und die Energiepauschale zur Entlastung der Bürger.

In Deutschland warnen die Verbraucherzentralen demnach am häufigsten vor Phishing-Mails, die Unternehmen des Finanzsektors nachahmen. Weltweit wiederum werden am meisten die Absender DHL, LinkedIn, Microsoft, Google und Netflix gefälscht.

Es wird immer mehr

Der Trend des globalen Phishing-Aufkommens deutet nach oben. Ein Indikator ist der Anstieg sogenannter Phishing-Webseiten. Das sind gefälschte Internetauftritte, die aussehen wie echte Seiten. Anfang 2019 wurden im BKA-Bericht weltweit knapp 49.000 dieser Phishing-Webseiten verzeichnet – Ende 2022 waren es bereits 317.000.

Was tun, wenn man Phising-Mails erhält – oder hereingefallen ist? Nicht auf Links klicken.

Keine Dateianhänge öffnen.

Nicht auf die Mail antworten (sonst wissen die Kriminellen, dass die Adresse genutzt wird).

Wer möchte, kann die Mail an phishing@verbraucherzentrale.nrw weiterleiten.

weiterleiten. Wer Opfer von Cyberkriminalität geworden ist, stellt am besten Strafanzeige bei der Polizei, informiert den echten Anbieter, ändert schnell seine Passwörter und untersucht die betroffenen Geräte mit einem Virenprogramm auf Schadsoftware.

Die Betrüger werden immer besser

Leider nimmt nicht nur das Phishing-Aufkommen zu. Die Kriminellen werden dabei auch immer besser. „Und die raffinierten Methoden kommen quantitativ inzwischen auch häufiger vor“, sagt Ralf Scherfling von der Verbraucherzentrale NRW. Scherfling muss es wissen, denn er betreut das „Phishing-Radar“, wo aktuelle Betrugsversuche dokumentiert werden. „Als wir im Jahr 2010 das Phishing-Radar gestartet haben, gab es noch viele schlechte und wenig gut gemachte Phishing-Mails. Heute ist es leider umgekehrt.“

Der technische Fortschritt lässt Schlimmes für die Zukunft befürchten. Bald könnten die Betrugsversuche von heute so veraltet wirken wie der Desktop von Windows 95. Das entscheidende Stichwort lautet „KI“.

Die Zukunft: Kriminelle lassen sich von Künstlicher Intelligenz helfen

Seit 2023 ist der Einsatz von Künstlicher Intelligenz nicht länger nur in Fachkreisen ein Thema. Jeder und jede kann KI, die oft in Form von Chatbots sowie Stimmen- oder Bildgeneratoren daherkommt, am Laptop oder Smartphone ausprobieren. Die Verbreitung wird massiv zunehmen. Große Techfirmen wie Microsoft und Google arbeiten fieberhaft daran, KI in ihre Produkte zu integrieren und damit sehr einfach verfügbar zu machen, etwa als Teil der kommenden Versionen von Windows.

Wenn alle Zugang zu KI haben, dann auch Kriminelle. Sie werden die Technik garantiert nicht dazu nutzen, damit ihnen ein Chatbot schnell den perfekten Urlaubstag in Rom oder eine Anleitung für ein Essen für sechs Personen zusammenstellt. Stattdessen dürfte KI für das Phishing genutzt werden. „Der Einsatz von KI […] wird in Zukunft bestimmt – leider – eine größere Rolle spielen als heute“, meint auch Ralf Scherfling.

Denkbar ist, dass KI – vielleicht auch schon heute – bei schriftlichen Betrugsversuchen eingesetzt wird. Etwa um Texte schnell und präzise in andere Sprachen zu übersetzen. Oder um das E-Mail-Layout einer Bank besser zu kopieren, als es per Hand möglich ist. Wirklich gruselig aber wird es, wenn man an die Möglichkeit denkt, Sprache zu manipulieren.

Jetzt mit KI: Dein Enkelkind ruft dich an und bittet um Hilfe

„Uns ist bisher erst ein Fall bekannt, bei dem KI am Telefon vorkam“, sagt Ralf Scherfling. Der Blick in die USA, wo technische Neuerungen früher passieren als in Europa, lässt aber nichts Gutes erahnen. Schon im März 2023 berichtete die „Washington Post“ über Betrugsfälle in Zusammenhang mit Telefonanrufen und künstlichen Stimmen, die wie Familienmitglieder klangen.

Es ist die Weiterentwicklung eines auch in Deutschland verbreiteten Tricks. Kriminelle geben sich am Telefon gegenüber Senioren als Enkel in Nöten aus, die wegen eines Notfalls dringend Geld überwiesen bekommen wollen – nur dass die Betrüger nun wirklich wie die Enkel klingen, weil per KI eine täuschend echte Stimme erstellt wurde.

Alles, was es dazu braucht, ist eine kurze Aufnahme einer Stimme. Wie kommen Kriminelle da ran? Indem sie ins Internet gehen und ein bisschen suchen. Die Stimmaufnahmen werden seit Jahren in großer Zahl hinterlassen, zum Beispiel in Podcasts oder in Videos auf YouTube, Instagram und TikTok.

Künstliche Intelligenz soll unser Leben vereinfachen, heißt es. Das mag so sein. Das Leben von Kriminellen, die Phishing betreiben, wird dank KI jedenfalls garantiert leichter.