Lexikon Cybersecurity: So sind Sie sicher im Netz unterwegs

Ein Account Takeover (Deutsch: Kontoübernahme) ist ein Identitätsdiebstahl und -betrug, bei dem sich ein Dritter die Zugangsdaten z. B. eines fremden Mail-Accounts verschafft, um diesen für kriminelle Zwecke zu missbrauchen. Dazu gehören die Änderung von persönlichen Daten wie beispielsweise das Passwort, Versand von Phishing-Mails und der Diebstahl sensibler Daten.

Tipps:

• Wählen Sie ein starkes Passwort: Verwenden Sie Groß- und Kleinbuchstaben, Sonderzeichen und keine persönlichen Angaben wie Geburtsdaten, Namen oder ähnliches.
• Überprüfen Sie Ihre persönlichen Online-Accounts regelmäßig. Die Zugangsdaten gehen nur Sie etwas an, geben Sie diese nicht an Dritte weiter. Auch in die sozialen Medien gehören Ihre persönlichen Daten nicht. 
• Informieren Sie bei Unregelmäßigkeiten im Zusammenhang mit dem Bankkonto schnellstmöglich die Bank und kontaktieren Sie die Polizei, wenn Sie einen Betrugsverdacht haben.
• Zusätzlichen Schutz bietet eine Zwei-Faktor-Authentifizierung. Die funktioniert so: Der Nutzer gibt zum Beispiel neben dem Passwort noch eine Transaktionsnummer ein, um sich anzumelden. Alternativ wird die Beantwortung einer Sicherheitsfrage bei fehlerhaften Anmeldeversuchen gefordert. Der Account wird zudem bei zu vielen fehlerhaften Anmeldeversuchen gesperrt.

Die deutsche Übersetzung lautet eigentlich „Heizungskeller-Betrug“. Ein Boiler Room bezeichnet aber auch einen Raum, in dem Händler per Telefon unter Druck Produkte verkaufen müssen. Beim „Boiler-Room-Fraud“ handelt es sich um eine Betrugsmasche, bei der ahnungslose Kunden von Kriminellen unter Druck gesetzt werden, ihr Geld in angeblich besonders gewinnversprechende Wertpapiere zu investieren.

Die Kunden gelangen im Netz durch Suchanfragen auf Anzeigen, die häufig reißerisch aufgemacht sind und oft auch mit Namen von Prominenten oder bekannten Online-Magazinen werben. Die gefälschten Anzeigen führen wiederum auf betrügerische Handelsplattformen. Registriert man sich hier, bekommt man schnell einen Anruf von einem „Makler“, meist mit ausländischer Rufnummer. Zunächst soll man nur eine kleine Anlagesumme investieren. Mit dieser soll auf die Kursentwicklung von Rohstoffen, Aktien, Indizes, Währungen oder Kryptowährungen gewettet werden (zum Beispiel über so genannte Contracts for Difference (CFDs) oder binäre Optionen). Tatsächlich existieren diese Wertpapiere jedoch gar nicht, und das Geld wandert direkt auf die Konten von Betrügern. Über vorgetäuschte Gewinne wird das Opfer zu immer größeren Investitionen gebracht, bis schließlich mehrere Tausend Euro verloren sind.   

Tipps:

• Klicken Sie keine reißerische Werbung mit unseriösen Versprechungen an wie „Kleiner Anlagebetrag, große Rendite“.
• Prüfen Sie Seiten, auf denen Sie persönliche Daten eingeben sollen, sehr genau auf Seriosität.
• Seien Sie wachsam, wenn Sie plötzlich von einem „Makler“ oder „Anlageberater“ angerufen werden, der Sie zu einer Anlage bewegen will. Lassen Sie sich nicht am Telefon unter Druck setzen. Legen Sie auf und kontaktieren Sie im Zweifel die Polizei.
• Geben Sie fremden Personen keine persönlichen Daten preis. Erteilen Sie keine Berechtigung, sich mit einer Fernwartungssoftware auf ihrem Computer oder Smartphone einzuloggen, hierdurch eröffnen Sie Kriminellen den Zugang auf alle sensiblen Daten.
• In einigen Spam-Mails wird das Erscheinungsbild von bekannten Fernsehsendern nachgeahmt, um einen seriösen Eindruck zu vermitteln. Achten Sie hier auf abweichende Schreibweisen oder einzelne Buchstaben, die zum Beispiel durch Zahlen ersetzt werden. Lassen Sie sich nicht durch Schlagwörter verführen, die Vertrauen wecken sollen, wie „Ihr Schweizer Finanzpartner“ oder „Sonderbericht“. Öffnen Sie keine E-Mails von unbekannten Absendern. 
• Haben Sie einen Verdacht oder sind Sie bereits Opfer einer Betrugsmasche geworden, erstatten Sie Anzeige bei der Polizei. Sie helfen so damit, den Betrügern auf die Schliche zu kommen und können andere vor einem finanziellen Schaden bewahren.. 

Weitere Informationen : 

https://bdb.kopfarbyte.com/cybersicherheit/wie-sie-sich-vor-anlagebetrug-schuetzen

Ein Botnetz ist ein Netzwerk von Computern, das von einem Server gesteuert wird. Die Computer werden mit Schadprogrammen (Trojanern) infiziert und können dann ohne Wissen des Besitzers kontrolliert und zu kriminellen Zwecken missbraucht werden, beispielsweise zum Versand von Spam-Mails oder zur Durchführung von Denial-of-Service-(DoS)-Attacken.

Tipps:

• Der beste Schutz, um nicht unbemerkt Teil eines Botnetzes von Cyberkriminellen zu werden, sind ein aktueller Virenscanner, eine aktuelle Firewall und aktuelle Browser. Wichtig: Auch deren Aktualisierungen sollten stets zeitnah heruntergeladen werden. 
• Ist der PC erstmal befallen und Teil eines Botnetzes, kann ein Laie das kaum erkennen. Ein Hinweis kann sein, dass der PC bei der Internet-Nutzung ungewöhnlich langsam ist. Im Zweifel sollten Sie einen Profi zu Rate ziehen.

Übersetzt heißt dies etwa „Anrufer-Identität-Manipulation“ und genau dies ist es: Kriminelle geben sich mithilfe einer eigentlich vertrauenswürdigen Telefonnummer, die im Display des Angerufenen gezeigt wird, als Angestellte einer Bank, eines Unternehmens oder auch der Polizei aus. Tatsächlich ist die Nummeranzeige aber manipuliert („gespoofte“ Telefonnummer) und es handelt sich bei den Anrufenden um eine kriminelle Person, die versucht, an sensible Nutzerdaten wie Kontonummer, PIN, Passwörter oder TANs zu gelangen. Die Anrufenden können dabei sehr überzeugend sein und auch Druck ausüben. Wichtig ist aber, sich nicht unter Druck setzen zu lassen. Am besten im Zweifel die Kontaktdaten des Anrufenden aufnehmen und einen Rückruf zu einem späteren Zeitpunkt in Aussicht stellen. So ist es möglich, sich selbst bei dem Unternehmen, der Bank oder dem Kundenservice zu melden und sich nach dem Sachverhalt zu erkundigen. Generell gilt: Eine Mitarbeiterin oder ein Mitarbeiter einer Bank wird niemals nach kompletten Telefon-Banking-PINs, der Onlinebanking-PIN oder einer Transaktionsnummer (TAN) fragen.

Tipps:

Geben Sie keine vertraulichen Zugangsdaten, wie Ihre PINs oder TANs, an Dritte weiter. 

• Verschicken Sie keine Fotos oder Scans Ihres TAN-Aktivierungsbriefs über das Internet, wenn Sie dazu aufgefordert werden. Versenden Sie den Aktivierungsbrief auch nicht mit der Post. Der Aktivierungsbrief ist nur für Ihre eigenen Unterlagen bestimmt.
• Gewähren Sie keinen Zugriff auf Ihren Computer oder Mobiltelefon, laden Sie in diesem Zusammenhang keine Fernwartungsoftware herunter.
• Lassen Sie sich nicht unter Druck setzen. Nehmen Sie die Kontaktdaten des Anrufenden auf und stellen Sie einen Rückruf zu einem späteren Zeitpunkt in Aussicht. Sie können dann selbst bei dem entsprechenden Kundenservice anrufen.
• Vermuten Sie, dass Unbefugte Ihre Onlinebanking- oder Telefon-Banking-PIN kennen könnte, ändern Sie diese umgehend. Sollte dies nicht möglich sein, sperren Sie Ihren Onlinebanking-Zugang. Sie erhalten dann neue Zugangsdaten von Ihrer Bank. Erstatten Sie im Betrugsfall Strafanzeige bei der Polizei. Informieren Sie auf jeden Fall Ihre Bank.
• Lesen Sie den Inhalt erhaltener TAN-Mitteilungen vollständig und prüfen Sie, ob Sie wirklich eine Zahlung autorisieren möchten.
• Seien Sie misstrauisch. Ein gesundes Misstrauen hilft auch anderen: Sprechen Sie daher auch mit Ihrer Familie und Freunden über diese Betrugsmethode.

Weitere Informationen: 

https://bdb.kopfarbyte.com/vorsicht-vor-kriminellen-die-sich-am-telefon-als-bankangestellte-melden-0

CEO ist die Abkürzung für Chief Executive Officer, also Geschäftsführer. Fraud ist das englische Wort für Betrug. Beim CEO-Fraud haben es Kriminelle auf das Geld von Firmen abgesehen. Sie spionieren ein Unternehmen über einen langen Zeitraum aus, bis sie mit den internen Abläufen vertraut sind. Dann schlagen sie zu: Sie geben sich als vermeintlicher Chef des Unternehmens aus und bringen ahnungslose Mitarbeiter dazu, vertrauliche Finanztransaktionen durchzuführen. Die Betrüger passen die Gründe dem Unternehmen an, nehmen beispielsweise Bezug auf konkrete Geschäfte oder geplante Investitionen.  Es gibt unter anderem Fälle, in denen die Bankverbindung des Empfängers durch die des Täters ersetzt wird (Mandate-Fraud). Per E-Mail wird eine angeblich neue Bankverbindung eines Geschäftspartner bekannt gegeben. 

Tipps:

• Prüfen mit gesundem Menschenverstand: Als Mitarbeiter eines Unternehmens - gerade in der Buchhaltung oder ähnlichen Abteilungen - sollte man besonders wachsam sein. Beim Chef-Betrug werden die betroffenen Unternehmen oftmals über einen langen Zeitraum ausspioniert, so dass viele interne Informationen bekannt sind. So kann ein vermeintlich vertraulicher und sehr eiliger Zahlungsauftrag vom Chef mit vielen richtigen Informationen gespickt sein. Selbst bei Anrufen mit der vermeintlich bekannten Stimme muss man skeptisch sein: Mittels Sprachcomputer können Stimmen imitiert werden.
• Fragen Sie nach: Im Zweifel muss man sich trauen, bei ungewöhnlichen Geschäftsvorfällen nachzuhaken. Das Bauchgefühl kann stimmen! Ist eine Zahlung erstmal ausgelöst, kann sie in der Regel nicht mehr gestoppt werden. Gerade bei größeren Beträgen unbedingt das übliche Procedere (Zeichnungsbefugnis, Vollmachten, 4-Augen-Prinzip) einhalten.

Weitere Informationen:

Broschüre „Zielscheibe Unternehmen: Cyberkriminalität“

Beim sogenannten „Charity Scam“ oder „Fake Charity Scam“ nutzen Kriminelle die Hilfsbereitschaft ihrer Opfer aus. Dabei nehmen die Betrüger entweder reale Ereignisse wie Flutkatastrophen, Erdbeben oder kriegerische Auseinandersetzungen zum Anlass und geben sich als neue oder bestehende Hilfsorganisation aus. Die Webseiten klingen ähnlich wie die Originale und sind auch optisch täuschend echt. Oder die Betrüger erfinden Schicksalsschläge, familiäre Unglücksfälle wie Krankheit, Tod oder auch Tiere in Not. Mit diesen erfundenen Geschichten zielen sie auf die Emotionen und das Mitgefühl ihrer Opfer. Erreichen sie ihr Ziel, landet das Geld der hilfsbereiten Spender nicht bei den gewünschten Hilfsorganisationen, sondern bei den Betrügern.

Tipps:

• Wenn Sie über soziale Medien kontaktiert werden, prüfen Sie, ob die genannte Organisation überhaupt existiert. Seriöse Hilfsorganisationen verfügen über ein Spendensiegel. Das Deutsche Institut für soziale Fragen führt eine Liste aller Spendensiegel-Organisationen. Gehen Sie selbst aktiv auf die Internetseite der Organisation, verwenden Sie keinen Link.
• Wenn Sie auf der Straße angesprochen werden und unsicher sind, nehmen Sie einen Flyer mit und recherchieren Sie zu Hause in Ruhe. Lassen Sie sich nicht unter Druck setzen. Seien Sie vor allem dann skeptisch, wenn versucht wird, Schuldgefühle zu erzeugen. Direkte oder indirekte Vorwürfe von Egoismus oder Kaltherzigkeit sind in solchen Fällen nicht ungewöhnlich. 
• Geben Sie hier nicht Ihre Kontodaten oder Kreditkarteninformationen heraus. 

„Cybertrading“ ist eine Form des betrügerischen Online-Handels . Ähnlich wie bei Fake-Onlineshops werden auf Onlineplattformen Anlageprodukte wie Kryptowährungen und Aktien angeboten, die keinen realen Hintergrund haben, also in Wirklichkeit nicht existieren. Anlagebetrug ist generell keine neue Betrugsform, doch das Cybertrading nimmt durch die technische und organisatorische Weiterentwicklung der betrügerischen Plattformen von professionellen und grenzüberschreitenden kriminellen Gruppierungen immer weiter Fahrt auf.

Oft führen Werbebanner auf sozialen Medien, E-Mails oder gezielte Anrufe von angeblichen Finanzberatern zu seriös wirkenden Handelsplattformen. Die Angebote der Cybertrading-Betrüger locken potenzielle Anleger mit einem niedrigen Einstiegsbetrag bei gleichzeitig schnellen und hohen Gewinnerzielungsaussichten. Nach Registrierung auf der betrügerischen Plattform und dem Kauf eines Anlageprodukts wird dem Anleger einen simulierten Gewinnanstieg angezeigt oder es werden sogar Anlageerträge zunächst auch tatsächlich ausgezahlt. Durch dieses Erfolgserlebnis wird der Anleger dazu bewegt, weitere Anlageprodukte zu erwerben. Die Betrüger gehen oft auch so vor, dass sie für die Auszahlung des angeblichen Gewinns die Zugangsdaten für das Online-Banking und die TAN-Nummer des Nutzers erlangen und damit sein Konto „leerräumen“.

Um sich vor Cybertrading zu schützen, sollten Angebote mit auffällig hohen Gewinnchancen und dabei angeblich niedrigen Risiken sorgfältig geprüft werden. Bei der Überprüfung, ob es sich um ein lizenziertes Unternehmen handelt, kann auch eine Anfrage bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hilfreich sein. Die BaFin gibt auch Auskunft darüber, ob sie gegen ein unter Betrugsverdacht stehendes Unternehmen bereits ermittelt.

Zusammengesetzt aus "Deep Learning" und "Fakes" bezeichnen Deepfakes von Computern erzeugte Fälschungen von Videos, Bilder oder auch Sprachnachrichten. Durch den Einsatz von künstlicher Intelligenz sind diese Fälschungen mittlerweile täuschend echt. Eingesetzt werden sie z.B. in Phishing-Mails als Lockmittel, um den Internetnutzer zum Klicken auf einen Link zu verleiten. Gefälschte Sprachnachrichten vom "Chef" (CEO-Fraud oder Chef-Betrug) können auch Mitarbeiter von Unternehmen dazu gebracht werden, Überweisungen auf Konten von Betrügern zu veranlassen. 

Tipps:

• Think before you klick! Lassen Sie nicht vorschnell verleiten, auf Links in E-Mails oder Textnachrichten klicken. Prüfen Sie, ob der Absender seriös ist. Aktualisieren Sie Virenscanner, Firewalls und die Software regelmäßig.
• Als Mitarbeiter eines Unternehmens - gerade in der Buchhaltung oder ähnlichen Abteilungen - sollte man besonders wachsam sein. Beim Chef-Betrug werden die betroffenen Unternehmen oftmals über einen langen Zeitraum ausspioniert, so dass viele interne Informationen bekannt sind. So kann ein vermeintlich vertraulicher und sehr eiliger Zahlungsauftrag vom Chef mit vielen richtigen Informationen gespickt sein. Selbst bei Anrufen mit der vermeintlich bekannten Stimme muss man skeptisch sein: Mittels Sprachcomputer können Stimmen imitiert werden.
• Fragen Sie nach: Im Zweifel muss man sich trauen bei ungewöhnlichen Geschäftsvorfällen nachzufragen. Das Bauchgefühl kann stimmen! Ist eine Zahlung erstmal ausgelöst, kann sie in der Regel nicht mehr gestoppt werden. Gerade bei größeren Beträgen unbedingt das übliche Procedere (Zeichnungsbefugnis, Vollmachten, 4-Augen-Prinzip) einhalten.
• Eine auffällig monotone Sprache kann (noch) ein Kennzeichen für eine mit Hilfe von Computern erzeugte Stimme sein. Aber Vorsicht - auch diese werden beständig besser.

Weitere Informationen:

Broschüre "Zielscheibe Unternehmen: Cyberkriminalität"

Distributed-Denial-of-Service (Englisch für „verteilte Dienstverhinderung“)-Angriffe richten sich gegen Webserver, um diese zu überlasten und dadurch den Zugriff auf die Website zu stören oder zeitweise auch komplett zu verhindern. Ziel sind alle Internetdienste, insbesondere aber Websites mit Kundenangeboten wie Online-Shopping und auch Online-Banking. Distributed-Denial-of-Service-(DDOS)-Angriffe werden von einem weit verzweigten Botnet gesteuert.

Tipps:

• Wenn Sie bemerken, dass Ihre Bank oder ein anderes betroffene Unternehmen über die Internetseite nicht erreichbar ist, können Sie es telefonisch kontaktieren.
• Achten Sie auf Informationen in den sozialen Medien. Die betroffenen Unternehmen informieren ihre Kunden oftmals über diese Kanäle, wann die Dienste wieder erreichbar sind.

Emotet ist eine perfide Schadsoftware, weil sie sich in vermeintlich bekannten Mail-Absendern versteckt. Dadurch werden die Opfer leicht verleitet, auf einen Anhang (insbesondere in Form eines Office-Dokuments) zu klicken. Die Schadsoftware liest die Kontakte und Nachrichten aus und verbreitet sich über diese wieder als vermeintlich echte Mail weiter.  

Tipps:

• Führen Sie alle Sicherheitsupdates regelmäßig und schnellstmöglich durch. Auch die Antiviren-Software sollte stets aktuell gehalten werden.
• Bleiben Sie wachsam - auch bei Mails von bekannten Absendern - bevor Sie ein Dokument (insbesondere Office-Dokumente) öffnen.
• Ist der Rechner befallen, hilft es zumeist nur, den Rechner komplett neu zu installieren. Deshalb ist es wichtig, seine Daten regelmäßig auf einen externen Datenträger zu speichern.
• Wer von Emotet infiziert ist, sollte unbedingt seine Mail-Kontakte über den Angriff informieren. Dieser Angriff breitet sich über das Adressbuch aus, so dass auch Ihre Mail-Kontakte Ziel eines Emotet-Angriffs werden können.

Unter „Fake Apps“ werden mobile Anwendungen verstanden, die unter dem Deckmantel einer eigentlich harmlosen Anwendung Schadprogramme auf das Smartphone oder Tablet der ahnungslosen Nutzer schleusen. Solche Apps können auch in offiziellen Stores angeboten werden, solange diese dort noch nicht entdeckt und gelöscht werden. 

Laden sich die Nutzer die App (inklusive des Trojaners) beispielsweise zum Musikhören oder für einen QR-Code- / PDF-Scanner herunter und installieren diese auf ihrem mobilen Gerät, können die Kriminellen spätere Updates als Schleuse für (weitere) Schadprogramme nutzen. Unter anderem kann es sein, dass diese die Tastatureingaben und den Bildschirm, und damit Anmeldedaten wie Benutzernahmen, Passwörter etc. auslesen können.

Tipps

• Laden Sie Ihre Apps nur aus offiziellen App-Stores und nicht über Downloadprogramme oder Plattformen Dritter herunterladen. 
• Achten Sie genau auf die Bezeichnung der App, zum Beispiel auf Rechtschreibfehler, doppelte Punkte oder eine andere veränderte Schreibweise, wie beispielsweise den Zusatz „pro“. Bei bekannten Anbietern können auch Veränderungen im Logo ein Anzeichen für eine Manipulation sein. 
• Allein auf Download-Zahlen sollte man sich nicht verlassen. Bevor man eine App von unbekannten Anbietern herunterlädt, sollte man sich die Bewertungen und Kommentare ansehen. 
• Seien Sie aufmerksam, wenn Sie aufgefordert werden, umfangreiche persönliche Daten oder Zahlungsdaten einzugeben, die Sie entweder bereits hinterlegt haben, oder die für die Anwendung nicht nötig sind. 
• Überprüfen Sie genau, welche Berechtigungen Ihre App für die Erfüllung ihres Zwecks tatsächlich braucht und welche deaktiviert werden können. Eine Musik-App braucht beispielsweise keinen Zugriff auf Kontakte oder auf einen Ortungsdienst.

Über angebliche Stellenanzeigen wird ein Job als Finanzagent angeboten. Voraussetzung: Man soll über sein Bankkonto „nur“ Zahlungen Dritter annehmen und weiterleiten. Dafür winkt eine Provision. Die Täter werben ihre Opfer auf verschiedene Weise an: mit seriös wirkenden Stellenausschreibungen, persönlich per Mail oder in sozialen Netzwerken. Manchmal fälschen sie sogar echte Firmen-Websites. 

Vorsicht: Auch wer ahnungslos als „Finanzagent“ missbraucht wird, kann haftbar gemacht werden.

Tipps:

• Seien Sie misstrauisch, wenn Ihnen unaufgefordert leicht verdientes Geld versprochen wird. 
• Prüfen Sie alle Angebote kritisch, bei denen Ihr Konto zur Abwicklung von Zahlungen für Firmen oder Personen dienen soll.
• Teilweise sind die Angebote schlecht formuliert und haben Grammatik- und Rechtschreibfehler. 
• Wenn Sie eine verdächtige E-Mail erhalten haben, antworten Sie nicht und klicken Sie auf keinen Link. Geben Sie Ihre Kontodaten nicht weiter.
• Wenn Sie glauben, in einen Finanzagenten-Betrug verwickelt zu sein, stellen Sie sofort die Geldüberweisungen ein. Benachrichtigen Sie Ihre Bank und die Polizei.
• Überprüfen Sie regelmäßig Ihr Konto. Auch unerwartete Gutschriften sollten Sie stutzig machen.

Weitere Informationen:

Faltblatt „Dubioses Stellenangebot: Finanzagent“

https://bdb.kopfarbyte.com/vorsicht-vor-jobangeboten-als-finanzagent-oder-bank-app-tester

https://bdb.kopfarbyte.com/so-schuetzen-sie-sich-und-ihre-angehoerigen-vor-dem-enkeltrick 

Als Geisterkonten (in der Cybercrime-Szene "Bankdrops" genannt) werden Konten bezeichnet, die Kriminelle zur Abwicklung von betrügerischen Zahlungen nutzen. Die Konten werden mit gestohlenen Daten eröffnet, oder auch, indem ahnungslose Verbraucher dafür ihre Daten zur Verfügung stellen, weil sie glauben, einem seriösen Jobangebot z.B.  als Bank-App-Tester nachzugehen. 

Tipps:

• Die Täter werben ihre Opfer auf verschiedene Weise an: mit seriös wirkenden Stellenausschreibungen, persönlich per Mail oder in sozialen Netzwerken. Manchmal fälschen sie sogar echte Firmen-Websites.
• Seien Sie misstrauisch, wenn Ihnen unaufgefordert leicht verdientes Geld versprochen wird.
• Eröffnen Sie keine Konten für angebliche  "Testzwecke". Wenn Sie für eine Kontoeröffnung Ihre persönlichen Daten verwenden, eröffnen Sie das Konto auch im eigenen Namen.
• Prüfen Sie alle Angebote kritisch, bei denen Ihr Konto zur Abwicklung von Zahlungen für Firmen oder Personen dienen soll.
• Prüfen Sie alle Angebote (z.B. auch Wohnungsangebote) kritisch, bei denen Sie Ihre Personalausweisdaten einer unbekannten Person übermitteln sollen. Geben Sie ihre Kontodaten und Personalausweisdaten nicht leichtfertig aus der Hand.
• Wenn Sie glauben, dass Ihr Konto für betrügerische Zwecke verwendet wurde, benachrichtigen Sie Ihre Bank und die Polizei. Werden über Konten auf Ihrem Namen betrügerische Zahlungen abgewickelt, können Sie dafür haftbar gemacht werden!
• Überprüfen Sie regelmäßig Ihr Konto. Auch unerwartete Gutschriften sollten Sie stutzig machen.

Weitere Informationen:

Broschüre "Dubioses Stellenangebot: Finanzagent"

https://bdb.kopfarbyte.com/vorsicht-vor-jobangeboten-als-finanzagent-oder-bank-app-tester

Bei einem gerooteten Smartphone oder Tablet wurden die Nutzungsbeschränkungen des Betriebssystems unautorisiert entfernt. Bei Apple-Geräten spricht man auch von Jailbreaking, bei Android-Geräten von Rooting. Hat ein Angreifer Zugriff auf ein gerootetes Gerät, kann er die Sicherheitssoftware und Sicherheitseinstellungen deaktivieren oder Schadsoftware installieren.

Tipp:

Nur Apps aus autorisierten Apps-Stores für Bankgeschäfte verwenden. 

Weitere Informationen:

Broschüre „Online- und Mobile Banking: sicher über Browser und App“

Godfather ist der Name einer Schadsoftware (Trojaner), die in Verdacht steht Banking- und Krypto-Apps angreifen zu können. Diese Schadsoftware soll über „Fake-Apps“, also gefälschte Apps auf das Handy gelangen. In Verdacht stehen bei „Godfather“ vor allem gefälschte Musik-Apps. Grundsätzlich kann eine Schadsoftware aber über jede „Fake-App“ auf das Handy geladen werden, wenn diese von Cyber-Kriminellen entsprechend manipuliert wurde. Mittels einer Schadsoftware könnten dann z. B. Eingaben auf dem Smartphone oder Tablet aufgezeichnet und an Kriminelle weitergeleitet werden.

Tipps:

• Laden Sie Apps nur aus autorisierten App-Stores herunter

Wichtig ist, dass Sie Apps ausschließlich aus dem offiziellen App-Store herunterladen. Achten Sie stets auf die Aktualität Ihrer Apps und installieren Sie regelmäßig neue Updates – natürlich auch nur aus dem offiziellen App-Store. Achten Sie zudem genau auf die Bezeichnung der App! Entdecken Sie Rechtschreibfehler, doppelte Punkte oder eine andere veränderte Schreibweise, wie beispielsweise den Zusatz „pro“, sollten Sie aufmerksam sein und weitere Nachforschungen anstellen. 

• Verlassen Sie sich nicht Download-Zahlen

Verlassen Sie sich nicht auf Download-Zahlen. Ganz gleich, wie viele User die App vermeintlich heruntergeladen oder geliked haben – diese Zahlen sind kein Indikator für Seriosität.

• Seien Sie aufmerksam, wenn Daten abgefragt werden

Wenn Sie aufgefordert werden, persönliche oder Kontodaten bei Ihrer Banking-App nach einem Smartphone-Kauf oder -Wechsel einzugeben, dann spricht das für einen normalen Anmeldeprozess. Stutzig werden sollten Sie aber dann, wenn Sie sich ohne einen solchen Wechsel beispielsweise neu anmelden müssen oder generell, wenn umfangreiche persönliche Daten abgefragt werden, die Sie bereits hinterlegt haben. 

• Checken Sie die Berechtigungen Ihrer Apps

Überprüfen Sie genau, welche Berechtigungen Ihre App für die Erfüllung ihres Zwecks tatsächlich braucht und welche sie deaktivieren können. Um Ihnen das an einem Beispiel zu verdeutlichen: Eine Musik-App braucht beispielsweise keinen Zugriff auf Kontakte oder auf einen Ortungsdienst.

• Schützen Sie Ihre Zugangsdaten

Wenn Sie sich im Mobile Banking anmelden, werden Sie nach Zugangsdaten gefragt, um sich zu identifizieren – das kann beispielsweise eine Persönliche Identifikationsnummer (PIN), ein Passwort in Kombination mit Ihrer Teilnehmernummer oder zusätzlich mit einer Transaktionsnummer (TAN) sein. Speichern Sie niemals Ihre Zugangsdaten auf dem Mobilgerät ab, auch nicht als Foto oder in einem Adressbucheintrag. Diese Daten können nicht nur durch Entwendung des Gerätes, sondern auch digital ausgelesen werden.

Weitere Informationen:

Bundesamt für Sicherheit in der Informationstechnik: Neue Schadsoftware

Bei einem Identitätsdiebstahl stehlen Kriminelle persönliche Daten wie Namen, Geburtsdatum, Telefonnummer, Adresse aber auch Zugangsdaten für E-Mail- oder Social-Media-Accounts - und nutzen sie missbräuchlich beispielsweise fürs Online-Shopping mit dem gestohlenen Namen.

Tipps:

• Gehen Sie vorsichtig mit Ihren persönlichen Daten um. Es gilt das Prinzip der Datensparsamkeit! Hinterlassen Sie nur so viele Informationen, wie es notwendig ist.
• Ein Schutz kann es auch sein, verschiedene Mail-Accounts für verschiedene Zwecke anzulegen.
• Checken Sie regelmäßig alle wichtigen Accounts und Kontoauszüge.

Wer auf der Suche nach attraktiven Geldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale, Vergleichsportale und Handelsportale können perfekt gefälscht sein. Wenn Sie auf solchen betrügerischen Seiten Ihre persönlichen Daten eingeben, landen diese direkt in den Händen der Kriminellen. Häufig werden die Betrugsopfer dann im nächsten Schritt telefonisch oder über Nachrichtendienste kontaktiert.

Gerade bei scheinbar sehr lukrativen Angeboten mit außergewöhnlich hoher Verzinsung oder Rendite kann es sich um einen Betrug handeln. Statt Geld rentabel anzulegen, können Sie alles verlieren. Es kann aber auch sein, dass das betrügerische Angebot nicht aufgrund der Zinshöhe oder Rendite auffällt, hier müssen Sie auf andere Warnsignale achten. 

Tipps 

• Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) informiert über unerlaubt tätige Unternehmen, Identitätsdiebstähle und gibt weitere aktuelle Warnungen und Informationen für Verbraucherinnen und Verbraucher heraus. Die Stiftung Warentest informiert über unseriöse Geldanlageangebote in ihrer Warnliste Geldanlage. 
• Prüfen Sie die Internetseiten genau, insbesondere, wenn es sich um Ihnen unbekannte Banken oder Unternehmen handelt. Schauen Sie sich das Impressum an und recherchieren Sie über das Unternehmen im Internet. Achten Sie auch auf die Schreibweise. Nicht selten gibt es kleinere Unterschiede zu den realen Firmen. Gehen Sie nicht über angebotene Links auf die Bank- oder Firmenportale.
• In einigen Spam-Mails wird das Erscheinungsbild von bekannten Fernsehsendern nachgeahmt, um einen seriösen Eindruck zu vermitteln. Achten Sie hier auf abweichende Schreibweisen oder einzelne Buchstaben, die zum Beispiel durch Zahlen ersetzt werden. Öffnen Sie keine E-Mails von unbekannten Absendern. 
• Teilweise wurden die angeblichen Firmenseiten erst kurzfristig angemeldet. Auch das kann ein Warnzeichen sein. Mit einer sogenannten „WHOIS“-Abfrage (engl. „Who is - wer ist“) können Sie überprüfen, wann eine Website registriert wurde. Dazu geben Sie WHOIS in eine Suchmaschine ein und können auf einer der verschiedenen Anbieterseiten eine Suche dazu starten. 
• Seien Sie wachsam, wenn Sie plötzlich von einem „Makler“ oder „Anlageberater“ angerufen werden, der Sie zu einer Anlage bewegen will. Oft wird versucht, unnötigen Druck aufzubauen. Gerade bei der Entscheidung für eine Geldanlage sollte man aber nichts überstürzen und sich die nötige Zeit nehmen. 
• Haben Sie einen Verdacht oder sind Sie bereits Opfer einer Betrugsmasche geworden, erstatten Sie Anzeige bei der Polizei. Sie helfen so damit, den 

Weitere Informationen: 

https://bdb.kopfarbyte.com/cybersicherheit/wie-sie-sich-vor-anlagebetrug-schuetzen

Invoice Fraud auf Deutsch Rechnungsbetrug bezeichnet eine Betrugsmasche, bei der Täter gefälschte Rechnungen per E-Mail, Post, Fax oder Telefon an Unternehmen oder Privatpersonen versenden, um unrechtmäßige Zahlungen zu erlangen. Dabei geben sich die Betrüger häufig als Lieferanten, Dienstleister oder Geschäftspartner aus. Eine gängige Methode besteht darin, den Rechnungsempfänger aufzufordern, die Kontodaten für Zahlungen zu ändern. In anderen Fällen senden die Täter eine gefälschte Rechnung, um das in Rechnung gestellte Geld auf ihr eigenes Konto umzuleiten. Häufig erhalten die Betroffenen auch einen Anruf, bei dem sich die Betrüger als der eigentliche Rechnungssteller ausgeben und behaupten, dass sich die Bankdaten geändert hätten. Sie fordern dann dazu auf, zukünftige Zahlungen auf ein „neues Konto“ zu überweisen. Diese Aufforderungen wirken oft sehr glaubwürdig, insbesondere dann, wenn sich die Betrüger auf tatsächlich stattgefundene Dienstleistungen oder Lieferungen beziehen, für die das Opfer eine Rechnung erwartet. Der Betrug fällt meist erst dann auf, wenn der tatsächliche Rechnungssteller feststellt, dass seine Rechnungen unbezahlt geblieben sind. Die gefälschten Rechnungen sind so professionell gestaltet, dass sie echten Zahlungsaufforderungen täuschend ähnlichsehen. 

Tipps:

• Prüfung von Rechnungen: Überprüfen Sie sorgfältig, ob die Rechnungssumme erwartungsgemäß ist und die Angaben des Rechnungsausstellers mit früheren Zahlungen übereinstimmen. Ein Abgleich der Rechnungsdaten mit der ursprünglichen Bestellung ist hierbei hilfreich.
• Bestätigung bei Änderungen: Wenn ein Lieferant oder Dienstleister seine Bankverbindung ändert, kontaktieren Sie ihn direkt, um die Änderung zu verifizieren. Verwenden Sie dazu die Ihnen bereits bekannten Kontaktinformationen und nicht die in der E-Mail oder auf der neuen Rechnung angegebenen.
• Bestätigungsverfahren bei größeren Zahlungen: Für Zahlungen, die einen bestimmten Schwellenwert überschreiten, könnte ein Verfahren zur Bestätigung des richtigen Bankkontos und Empfängers etabliert werden, z.B. Vier-Augen-Prinzip.

Bei einem Jailbreak werden Nutzungsbeschränkungen bei Apple-Geräten entfernt, ohne dass der Nutzer dazu autorisiert ist. Bei Android-Geräten spricht man von Rooting. Nach einem Jailbreak kann das Gerät zum Beispiel Apps aus nicht autorisierten Quellen installieren. Dadurch besteht eine erhöhte Gefahr, schadhafte Software herunterzuladen.

Tipp: 

• Verwenden Sie für Bankgeschäfte nur Apps aus autorisierten Apps-Stores.

Keylogger steht für Tastenprotokoll und bezeichnet eine Hardware oder Software, die alle Eingaben über die Tastatur ausliest. Auf diese Weise kommen Cyberkriminelle an Passwörter und Zugangsdaten.

Tipps:

• Auch die Hardware-Varianten (beispielsweise über einen Zusatzstecker) sind teilweise so geschickt versteckt, dass der Nutzer dies nicht bemerkt. Deshalb grundsätzlich keinen öffentlichen PC für sensible Daten nutzen. Schützen Sie Ihren PC mit einem Passwort, wenn auch fremde Personen - zum Beispiel in von mehreren Personen benutzen Räumlichkeiten - Zugang haben. 
• Vor Keyloggern schützen die üblichen Sicherheitsvorkehrungen wie Virenscanner und Firewall.

Beim LinkedIn-Phishing versuchen Cyberkriminelle, Daten von Nutzerinnen und Nutzern des beruflichen Netzwerks abzufischen. Dafür werden Nachrichten, die regelmäßig von der Plattform verschickt werden wie „Sie wurden in so und so viel Suchen gefunden“ oder „Sie haben eine Kontaktanfrage/Nachricht bekommen“ täuschend echt nachgebildet mit dem Ziel, an persönliche Daten (Zugangsdaten, Passwörter) zu kommen oder Sie mittels eines Links auf eine andere gefälschte Seite zu locken, um dort an weitere Informationen (Telefonnummer, Kreditkarteninformationen) zu gelangen. 

Erkennen kann man die betrügerischen Mails an kleinen Rechtschreib- oder Grammatikfehlern, an einer fehlenden persönlichen Anrede oder unüblichen Absenderadresse, an kleinen Ungenauigkeiten im Text oder Logo. 

Übertragen lassen sich diese Betrugsmaschen auf andere Social-Media-Kanäle: Ganz gleich, ob Facebook, Instagram, „X“ oder Nachrichten vom E-Mail-Dienstleister. Man sollte bei jeder unerwarteten Nachricht im Hinterkopf die Möglichkeit behalten, dass es sich um einen Betrug handeln könnte. Und gerade vor zu schnellen, unbedachten Klicks sollte man sich hüten. 

Log4Shell oder auch Log4j bezeichnet eine Software, die häufig für Anwendungen in der Programmiersprache Java verwendet wird. Zum Beispiel wird die Software zur Protokollierung von Programmaktivitäten verwendet. Am 10.12.2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer Schwachstelle in der Java-Bibliothek gewarnt und dringend empfohlen, alle nötigen Sicherheitsupdaten schnellstmöglich umzusetzen. Inwieweit diese Sicherheitslücke auch Privatpersonen betreffen kann, hat das BSI hier zusammengestellt.

Malware sind schadhafte Programme auf dem PC oder mobilen Geräten (siehe auch Emotet, Trojaner, Ransomware). Meistens installiert man sie, wenn man unbekannte Anhänge öffnet oder Software von manipulierten Internetseiten runterlädt. Damit die Schadsoftware nicht erkannt wird, schaltet sie manchmal die persönliche Firewall oder das Antivirenprogramm aus. Wenn das funktioniert, kann der Angreifer die Kontrolle über alle Funktionen und Dateien der infizierten Geräte erlangen. 

Tipps:

• Stellen Sie sicher, dass Ihr Antivirenprogramm mindestens einmal wöchentlich einen kompletten Suchlauf über alle Apps, Ordner und Dateien durchführt.
• Aktualisierungen der Antivirenprogramme, der Firewall, des Betriebssystems und des Internetbrowser umgehend installieren.
• Aktualisieren Sie auch sonstige Programme und Apps, sobald Updates verfügbar sind.

Ein „Money Mule“ (engl. Mule steht für Maultier) ist eine Person, die von Kriminellen als „Geldesel“ für deren Geldwäscheaktivitäten oder Betrügereien missbraucht wird. Im Deutschen wird hierfür oft der Begriff Finanzagent verwendet.  Die Betroffenen fallen auf ein  Jobangebot herein, bei dem sie „nur“ von ihrem Konto Geld auf andere Konten überweisen sollen. Dafür wird eine Provision angeboten. Tatsächlich wollen die Kriminellen aber auf diese Weise Geld aus illegalen Aktivitäten oder Online-Betrug „reinwaschen“. Das Geld fließt zumeist direkt auf Konten ins Ausland. Auch wenn der „Geldesel“ bzw. „Finanzagent“ ahnungslos ist und nichts mit den kriminellen Geschäften im Hintergrund zu tun hat, kann er haftbar gemacht werden.

Tipps:

Die Täter werben ihre Opfer auf verschiedene Weise an: mit seriös wirkenden Stellenausschreibungen, persönlich per Mail oder in sozialen Netzwerken. Manchmal fälschen sie sogar echte Firmen-Websites.

• Seien Sie misstrauisch, wenn Ihnen unaufgefordert leicht verdientes Geld versprochen wird. 
• Prüfen Sie alle Angebote kritisch, bei denen Ihr Konto zur Abwicklung von Zahlungen für Firmen oder Personen dienen soll.
• Teilweise sind die Angebote schlecht formuliert und haben Grammatik- und Rechtschreibfehler. 
• Wenn Sie eine verdächtige E-Mail erhalten haben, antworten Sie nicht und klicken Sie auf keinen Link. Geben Sie Ihre Kontodaten nicht weiter.
• Wenn Sie glauben, in einen Finanzagenten-Betrug verwickelt zu sein, stellen Sie sofort die Geldüberweisungen ein. Benachrichtigen Sie Ihre Bank und die Polizei.
• Überprüfen Sie regelmäßig Ihr Konto. Auch unerwartete Gutschriften sollten Sie stutzig machen.

Egal ob Kleidung, Elektrogeräte, Möbel, Reisen oder Nahrungsmittel - fast alles kann man online kaufen. Und die Umsätze der Internet-Shops nehmen von Jahr zu Jahr zu. Doch dies bietet auch viele Angriffspunkte für Cyberkriminelle: : Zum Beispiel kassieren Fake-Shops Geld, aber liefern aber keine Ware. Datenbanken der Händler werden von Hackern angegriffen und Bezahldaten abgefischt.

Auch auf Verkaufsplattformen gibt es verschiedene Betrugsmaschen, die darauf abzielen, die Käufer oder Verkäufer um ihr Geld oder die Ware zu bringen.

Weitere Informationen:

https://bdb.kopfarbyte.com/betrugsmaschen-bei-verkaufsplattformen-im-internet

Pharming ist eine Weiterentwicklung des klassischen Phishings. Das Wort setzt sich aus den Wörtern „Phishing“ und „Farming“ zusammen. Bei dieser Online-Betrugsmethode wird der Internetnutzer durch Manipulation des Webbrowsers auf eine gefälschte Webseite umgeleitet. Die gefälschten Webseiten befinden sich auf großen Server-Farmen (eine Gruppe von vernetzten Servern), die zu diesem Zweck von Betrügern betrieben werden. Daher kommt auch der Begriff „Farming“. Diese Methode hat dasselbe Ziel wie beim Phishing, nämlich persönliche Informationen in Betrugsabsicht abzugreifen, zum Beispiel Kreditkartendaten.

Es handelt sich deshalb um eine Weiterentwicklung des Phishings, weil hier der Internetnutzer unbewusst und unbemerkt eine betrügerische Webseite aufruft. Beim klassischen Phishing wird der Nutzer mit einem Link „geködert“, der zum Beispiel mit einer täuschend „echten“ E-Mail versendet wird. Die Betrüger warten anschließend darauf, dass der Empfänger selbst den Link aufruft. Beim Pharming dagegen wird auf dem Rechner des Nutzers Schadsoftware installiert, die eine Umleitung der Adresseingabe auf eine Phishing-Seite im Hintergrund durchführt.

Tipps:

Um sich vor Pharming zu schützen, sind Wachsamkeit bei der Internetnutzung und eine ausreichende Sicherung des Computers gefragt:

• Schützen Sie Ihren Computer durch aktuelle Versionen des Virenscanners, der Firewall, des Browsers usw. vor Schadsoftware und nutzen Sie nur aktuelle Software aus zuverlässigen Quellen.
• Um sich vor Schadsoftware zu schützen, die Ihren Browser manipulieren kann, sollten Sie die allgemeinen Regeln zum Schutz vor Malware, Trojaner und Phishing verinnerlichen. Insbesondere sollten Sie niemals Links von unbekannten Absendern aufrufen, oder ausführbare Dateien (.exe, .bat, .com) aus Dateianhängen öffnen. Achten Sie auf den Inhalt und die Gestaltung von E-Mails, um Fake-Mails und Phishing-Mails zu erkennen.
• Prüfen Sie die Korrektheit der besuchten Internetseite (URL): Die URL sollte mit https beginnen bzw. das Symbol eines Vorhängeschlosses anzeigen und keine veränderte Schreibweise enthalten. Oft weisen gefälschte Webseiten zusätzliche Bindestriche oder einzelne Zeichen, die von der echten URL abweichen. Eine betrügerische Webseiten-URL kann auch aus mehreren Wörtern bestehen, die in der echten URL nicht enthalten sind. Achten Sie auch auf das Design der Webseite. Unterschiede in Farben, Schriftarten oder Positionen der Webseitenelemente der von Ihnen bereits bekannten Webseiten können ein Hinweis auf eine Fälschung sein. Sollten Sie eine derartige Abweichung feststellen, geben Sie niemals persönliche Daten auf dieser Webseite ein.
• Auch die Sicherheitszertifikate einer Webseite bieten zusätzlichen Schutz. Meldet Ihr Browser, dass das Serverzertifikat nicht verifiziert werden kann, ist Vorsicht geboten.

Das Wort setzt sich aus den englischen Begriffen Password und Fishing zusammen, auf Deutsch: "nach Passwörtern angeln". Beim Phishing wird zum Beispiel mittels gefälschter E-Mails oder Webseiten versucht, Zugangsdaten zu erlangen. Es kann passieren, dass Opfer unwissentlich selbst ihre Zugangsdaten in unberechtigte Hände geben. Bekannte Beispiele sind Phishing-Angriffe gegen Bankkunden, die per E-Mail aufgefordert werden, ihre Zugangsdaten auf der Webseite der Bank einzugeben. Eine spezielle Variante ist das sogenannte „Spear (Engl. für Speer) -Phishing“. Dabei gehen die Kriminellen gezielt gegen einzelne Opfer vor: Mit Informationen, die vorher ausgespäht oder im Netz gesammelt wurden, versuchen sie Angestellte von Unternehmen zu Überweisungen auf fremde Konten zu veranlassen. Den ahnungslosen Angestellten wird dabei oft vorgegaukelt, es handle sich um einen eiligen und besonders vertraulichen Auftrag ihres Chefs (CEO-Fraud/Chef-Betrug).

Tipps:

• Auf dem PC einen Virenscanner und eine Firewall installieren und regelmäßig aktualisieren. Auch die Software sollte immer auf dem neuesten Stand sein. Sobald Sie ein Update angeboten bekommen, nutzen Sie es und zögern die Installation nicht hinaus. Dies gilt auch für Tablets und Smartphones.
• Niemals auf Links oder Anhänge von unbekannten Absendern klicken. Absender und Mail genau prüfen. Sich nicht vom Inhalt der Nachricht unter Druck setzen lassen. Ruhe bewahren.
• Keine persönlichen Daten (PINs, Passwörter) – auch nicht verschlüsselt – auf dem PC, Tablet oder Smartphone speichern.
• Die Online-Banking-Zugangsdaten nur eingeben, wenn man sich sicher ist, dass es sich um die richtige Banking- oder Payment-Seite bzw. App der Bank oder des Zahlungsdienstleisters handelt. Bei einer Website lässt sich dies unter anderem daran erkennen, dass die Internetadresse der Bank mit https:// beginnt oder ein Schlüsselsymbol in der Browserleiste angezeigt wird.

„Quishing“ oder „QR-Phishing“ ist eine Form des Phishings, bei der Quick Response (QR)-Codes - oder umgangssprachlich auch „Scann-Codes“ genannt - eingesetzt werden, um Nutzerdaten online abzugreifen und für betrügerische Zwecke zu verwenden. Insbesondere zwei Faktoren machen diese Form des Online-Betrugs besonders gefährlich. 

Zum einen sind QR-Codes im alltäglichen Leben längst gebräuchlich geworden. Dies führt dazu, dass bei der Nutzung von QR-Codes weniger Skepsis aufkommt, zumal die Vorteile des QR-Codes im Alltag auf der Hand liegen: Nutzer müssen keine Webseiten oder Daten manuell eingeben und sie können plattformübergreifend angeboten werden. Zum anderen nutzen Phishing-Angriffe mit QR-Codes eine Schwäche von IT-Sicherheitslösungen aus. QR-Codes, die z. B. per E-Mail versendet werden, werden von Virenscannern und anderen Sicherheitsprogrammen, nicht als potenzielles Risiko eingestuft, da der QR-Code nur als Bilddatei erkannt wird.

Dies machen sich Cyberkriminelle zunutze und bringen die Nutzer meist über das Vortäuschen eines dringenden Handlungsbedarfs dazu, über einen QR-Code eine gefälschte Webseite aufzurufen und dort persönliche (Zugangs-)Daten einzugeben, die damit direkt in die Hände der Betrüger gelangen. Ein QR-Code kann aber auch zu einem Download-Link führen, der das mobile Gerät des Nutzers mit einer Schadsoftware infiziert, die wiederum sensible Daten auf dem Gerät ausspähen und an die Betrüger übermitteln kann.

Tipps

• Um sich vor Phishing-Angriffen mit QR-Codes zu schützen, den Absender bzw. die Quelle des QR-Codes sorgfältig prüfen und im Zweifel den Absender direkt kontaktieren. 
• Updates und Sicherheitssoftware immer auf den neusten Stand halten
• Auch die Nutzung einer Multi-Faktor-Authentifizierung ist generell sinnvoll, da ein zweiter Authentifizierungs-Faktor von den Kriminellen schwerer zu erlangen ist, als die primären Zugangsdaten.

ansomware sind Schadprogramme, die Daten und Systeme verschlüsseln, so dass man nicht mehr darauf zugreifen kann. Diese werden dann nur gegen Zahlung eines Lösegeldes (Englisch "ransom") wieder freigegeben. Es handelt sich dabei um eine digitale Erpressung.

Tipps:

• Führen Sie alle Sicherheitsupdates der Betriebssysteme und Anwendungsprogramme schnellstmöglich durch. Halten Sie auch die Antivirensoftware stets aktuell.
• Prüfen Sie den Absender, bevor Sie auf einen Link klicken oder einen Dateianhang öffnen.
• Ist der Rechner befallen, hilft es zumeist nur, den Rechner komplett neu zu installieren. Deshalb ist es wichtig auch als privater Nutzer, seine Daten regelmäßig auf einen externen Datenträger zu speichern.
• Ziehen Sie einen Experten hinzu, und melden Sie den Fall bei der Polizei bzw. erstatten Sie Anzeige.

Beim Romance- oder auch Love-Scam schaffen sich die Betrüger in den sozialen Medien und auf Online-Dating-Plattformen eine gefälschte Identität. Unter falschen Namen, gefälschten Lebensläufen und attraktiven Fotos versuchen sie, schnell eine emotionale Bindung zu ihren Opfern aufzubauen. Gelingt ihnen dies, geht es ihnen aber letztlich nur um eines: das Geld ihrer Opfer. 

Ein typisches Vorgehen: Häufig werden den Opfern zwar echte Treffen vorgeschlagen, diese finden aber dann aus vorgeschobenen Gründen nie statt. Stattdessen gibt es schnell angeblich akute Probleme, aus denen die Person nur mit finanzieller Unterstützung herauskommen kann. In den meisten Fällen wird von den Betrügern eine dringende Notfallsituation, zum Beispiel eine erforderliche gesundheitliche Behandlung, vorgetäuscht. Es kann aber auch sein, dass um die Übernahme oder einen Vorschuss für die Reisekosten gebeten wird. Dieser Besuch findet aber meistens nie statt. 

Tipps zum Schutz

• Überweisen Sie keiner Online-Bekanntschaft, zu denen kein persönlicher und vertrauensvoller Kontakt besteht und die sie schon persönlich getroffen haben, Geld. Seien Sie extrem skeptisch, lassen Sie sich nicht überreden und keinesfalls unter Druck setzen. Vertrauen Sie sich Freunden oder Ihrer Familie an, sprechen Sie über die Situation. Es gibt im Internet Informationen und auch Bilddatenbanken über bekannte Love-Scammer. Recherchieren Sie und brechen Sie den Kontakt im Zweifel lieber ab.
• Geben Sie keine persönlichen Daten und keinesfalls Konto- oder Karteninformationen an Fremde. 
• Es wird auch beobachtet, dass auf Online-Dating-Plattformen Betrüger zu Anlagegeschäften überreden wollen. Gehen Sie nicht auf angebliche „Geheimtipps“ bei Geldgeschäften ein, gerade dann nicht, wenn Ihnen außerordentlich hohe Renditen versprochen werden. 
• Sind Sie schon auf einen Betrüger hereingefallen und haben Geld überwiesen, kontaktieren Sie Ihre Bank. Sichern Sie Beweismaterial und erstellen Sie Anzeige bei der Polizei. 

Der Begriff „Scamming“ steht allgemein für Internetbetrugsmethoden, mit denen die Betrüger (Scammer) versuchen, Internetnutzer auf emotionaler Ebene zu beeinflussen, indem sie zum Beispiel den Wunsch nach dem Traumjob, der Traumwohnung oder nach einer romantischen Beziehung ausnutzen. Verlockende Angebote in betrügerischer Absicht zielen darauf ab, den Nutzer durch das Vortäuschen von emotionalen oder materiellen Vorteilen zu einer Art „Vorauszahlung“ zu veranlassen. 

Beispielweise wird beim sogenannten Love- oder Romance-Scamming der Kontakt auf Online-Partnerbörsen oder in sozialen Netzwerken hergestellt. Durch andauernde Aufmerksamkeit und Liebesbekundungen in Chats und Telefongesprächen versuchen die Betrüger eine persönliche Bindung und damit eine emotionale Abhängigkeit des Betroffenen aufzubauen. Ist dies einmal gelungen, sollen die Betroffenen den Scammern mit Geldleistungen in vorgetäuschten unverschuldeten Notsituationen, wie zum Beispiel notwendige medizinische Behandlungen von Familienangehörigen oder Verlust von Reisedokumenten und Zahlungsmitteln im Ausland, helfen. Zusagen und Versprechen der Scammer, das ersehnte persönlichen Treffen mit der neuen Internetbekanntschaft oder die Zurückzahlung des geliehenen Geldes, werden niemals eingehalten.

In anderen Fällen locken die Betrüger mit Geldversprechen aus Erbschaften, schöne Wohnungen zum Schnäppchenpreis oder dem sehr gut bezahlten Traumjob. In allen Fällen soll der Betroffene jedoch eine Vorauszahlung für beispielsweise Notarkosten, Steuern, Miete, Kaution oder Arbeitsmittel leisten. Nach dem Geldtransfer lösen sich die Anbieter praktisch in Luft auf.

Tipps zum Schutz vor Scamming:

Der beste Schutz vor Scamming ist, wachsam und skeptisch zu sein, um die betrügerische Absicht des Internetkontakts oder hinter dem lukrativen Angebot zu erkennen. Bei folgenden typischen Merkmalen ist beispielweise Vorsicht geboten:

• Beim Love-Scamming benutzen die Betrüger wenige Profilfotos, die oftmals gestohlen oder auffällig inszeniert sind. Die Profilbilder zeigen sehr attraktive Männer oder Frauen. Die Betrüger hinter den gefälschten Profilen geben sich meist als gebildete Personen aus, mit Berufen wie Polizist, Arzt, Architekt, Ingenieur bei den Männern und Ärztin, Lehrerin, Krankenschwester bei den Frauen aus.
• Der Kontakt verläuft meist mit übertriebenen Liebesbekundungen bis hin zu Heiratsplänen, ohne dass jemals ein persönliches Treffen stattgefunden hat. Meistens finden auch keine Videochats statt, da die Kontakte angeblich keine Webkamera besitzen.
• Bei Wohnungsangeboten soll ohne Besichtigungstermin eine Vorauszahlung getätigt werden, im Gegenzug soll der Wohnungsschlüssel per Post zugesendet werden. Die Betrüger bieten die Möglichkeit der Rückabwicklung an, sollte die Wohnung doch nicht gefallen.
• Bei lukrativen Jobangeboten wird nur eine Telefonnummer als Kontakt angegeben, nach einem kurzen Telefoninterview bekommt der Bewerber sofort die Jobzusage.
• In allen Fällen gilt es, alle Angaben genau zu prüfen und wachsam zu sein. Namen und andere Angaben können zum Beispiel mithilfe einer Internetsuche recherchiert werden.
• Die wichtigste Regel, um sich vor solchen Betrugsmethoden zu schützen, ist, niemals an unbekannte Internetkontakte Geld zu überweisen oder ein Bargeldtransfer zu tätigen. Auch sollten keine anderen persönlichen Daten wie Kreditkartendaten oder Kopien von Ausweisdokumenten unbekannten Personen überlassen werden, egal wie hoch der emotionale Druck ist oder wie attraktiv das Angebot erscheint.

Beim SIM-Swapping – oder auch SIM-Karten-Swap – verschaffen sich Kriminelle Zugang zu der Mobilfunknummer bzw. SIM-Karte des Opfers. Hierfür schlüpfen die Betrüger überzeugend in die Identität des Opfers – alle persönlichen Informationen, die sie dafür im Netz oder den sozialen Medien gefunden oder abgefischt haben, können dabei helfen. Wenn es ihnen gelingt, den Mobilfunkanbieter zu täuschen, beantragen sie im Namen des Opfers eine neue SIM-Karte. Ist diese im Besitz der Kriminellen werden alle SMS und Anrufe auf ein fremdes Smartphone umgeleitet. Zudem können Online- oder E-Mail-Konten übernommen werden, sobald die Mobilfunknummer über die Funktion „Passwort vergessen“ mit den betreffenden Konten verknüpft ist. Gelangen Kriminelle zudem an die Zugangsdaten zum Onlinebanking, können sie mit den TANs, selbst Überweisungen vom Konto des Opfers auf fremde Konten vornehmen.

Tipps:

• Nutzen Sie die Möglichkeit, bei Ihrem Mobilfunkanbieter eine spezielle Sicherheitsfrage zum Identitätscheck zu hinterlegen. Dies kann eine PIN oder eine Sicherheitsfrage sein.
• Lassen Sie sich über SIM-Karten-Wechsel über Ihren Mobilfunkanbieter extra informieren, beispielsweise über eine Push-Nachricht.
• Geben Sie möglichst wenige persönliche Informationen im Internet und in sozialen Netzwerken preis, so dass Kriminelle Ihre Daten nicht ausspähen können.
• Wählen Sie möglichst unterschiedliche und starke Passwörter für alle Konten und Accounts. Längere Passwörter sind schwerer zu knacken.
• Öffnen Sie keine Links von Unbekannten in E-Mails oder SMS (siehe Phishing)
• Überprüfen Sie Ihre Kontobewegungen regelmäßig, möglichst ein- bis zweimal die Woche.

Weitere Informationen:

https://bdb.kopfarbyte.com/sim-swapping-wenn-betrueger-die-mobilfunknummer-kapern

https://bdb.kopfarbyte.com/bankgeschaefte-ueber-die-app-das-sollten-sie-beachten

Beim Smishing, geht es um Phishing per SMS. Der Empfänger der Textnachricht wird aufgefordert, einem Link zu folgen oder eine Telefonnummer anzurufen, um das eigene Konto zu „prüfen“, zu „aktualisieren“ oder zu „reaktivieren“. Der Link führt das potenzielle Opfer dann zu einer gefälschten Webseite bzw. der Anruf führt zu einem Kriminellen, der sich als Mitarbeiter des echten Unternehmens ausgibt.

Tipps:

• Generell gilt: Klicken Sie nicht vorschnell auf Links oder rufen Sie nicht vorschnell die angegebene Nummer an. Nehmen Sie sich Zeit und lassen Sie sich nicht unter Druck setzen.
• Prüfen Sie den Absender bevor Sie auf Links klicken oder Anhänge und Bilddateien öffnen. Das gilt auch für Textnachrichten (SMS).
• Banken fragen niemals per Textnachricht (und auch nicht per Telefon oder E-Mail) nach Onlinebanking-Passwörtern, PINs der Kredit- oder Debitkarte oder nach anderen Sicherheitsmerkmalen und fordern auch nie dazu auf, Geld auf ein anderes Konto zu überweisen.
• Für den Fall, dass Sie den Verdacht haben, Opfer einer solchen Betrugsmasche geworden zu sein, kontaktieren Sie umgehend Ihre Bank und gegebenenfalls die Polizei.

Weitere Informationen:

https://bdb.kopfarbyte.com/phishing-smishing-vishing-so-fischen-kriminelle-ihre-daten-ab-0

Mit dem Begriff Social Engineering (Englisch etwa „Soziale Maßnahmen“, Sozialtechnik) werden Angriffsszenarien von Kriminellen bezeichnet, mit denen menschliches Verhalten manipuliert werden soll. Ziel der Manipulationen ist es, technische Sicherheitsmaßnahmen zu überwinden. Die Manipulationen können auf vielfältige Weise und mit Hilfe von künstlicher Intelligenz erfolgen: Mit zuvor ausgespähten persönlichen Daten werden Geschichten konstruiert, die den Opfern glaubhaft erscheinen. Mithilfe von KI können Stimmen, Fotos oder Videos gefälscht werden. Websites werden täuschend echt nachgebildet. Häufig wird mit psychologischen Tricks gearbeitet und ein großer emotionaler oder zeitlicher Handlungsdruck aufgebaut. 

Social Engineering ist deshalb so gefährlich, weil damit technische Sicherheitsvorkehrungen umgangen werden. Mit gezielter psychologischer Beeinflussung wird der Mensch das Einfallstor für Cyber-Kriminelle: Indem er Zahlungen selbst beauftragt, weil er auf eine Betrugsstory hereinfällt, indem er eine Fernwartungssoftware installiert und damit Kriminellen Zugang zu seinen Geräten erlaubt, indem er seine Daten auf gefälschten Websites eingibt etc. 

Tipps

• Seien Sie misstrauisch bei unerwarteten und unbekannten Anrufen, E-Mails oder Nachrichten. Bewahren Sie Ruhe, auch oder gerade, wenn ein Handlungsdruck aufgebaut wird. Geben Sie keine persönlichen Informationen preis. 
• Niemals auf Links oder Anhänge von unbekannten Absendern klicken. Absender und Mail genau prüfen. Sich nicht vom Inhalt der Nachricht unter Druck setzen lassen. Ruhe bewahren.
• Auf dem PC einen Virenscanner und eine Firewall installieren und regelmäßig aktualisieren. Auch die Software sollte immer auf dem neuesten Stand sein. Sobald Sie ein Update angeboten bekommen, nutzen Sie es und zögern die Installation nicht hinaus. Dies gilt auch für Tablets und Smartphones.
• Nutzen Sie starke Passwörter für Ihre Online-Zugänge, nutzen Sie die zwei-Faktor-Authentifizierung, wenn diese angeboten wird. 
• Gehen Sie auf Social-Media-Kanälen sparsam mit persönlichen Daten um. Cyber-Kriminelle können geschickt Daten ausspionieren, um diese dann in ihren Betrugsmaschen zu verwenden. 

Der Begriff "Spoofing" kommt aus dem Englischen und wird für das "Fälschen“ oder "Vortäuschen" bestimmter Identifikationsmerkmale verwendet. Das Ziel von verschiedenen Spoofing-Angriffen ist es, eine vertrauenswürdige Kommunikation vorzutäuschen, um damit sensible personenbezogene Daten in betrügerischer Absicht zu erlangen. Oft wird Spoofing zur Vorbereitung nachfolgender Betrugstaten wie Phishing oder Pharming genutzt. Vorgetäuscht werden bespielweise die Nummer eines Anrufers (Call ID Spoofing), der Absender einer E-Mail (Mail Spoofing) oder eine Internetseite (Website Spoofing).

• Beim Call ID Spoofing wird durch technische Manipulation auf Ihrem Handydisplay eine andere Anrufernummer angezeigt, als die von der der Anruf (oder die SMS) tatsächlich erfolgt ist. Damit wird ein „echter“ Anruf, bespielweise Ihrer Bank oder eines Polizisten, vorgetäuscht.
• Beim Mail Spoofing geben sich Betrüger durch täuschend echte E-Mails beispielweise als Bank, Behörde oder bekannte Versandhändler aus, um persönlichen Daten des Empfängers zu erlangen oder den Rechner mit Schadsoftware zu infizieren.
• Beim Website Spoofing werden Internetseiten (zum Beispiel einer Bank oder eines Onlineshops) von den Betrügern nachgebaut. Auf diesen Seiten werden persönliche Daten des Internetnutzers abgegriffen. Oft werden durch seriös wirkende Linktitel die Zieladressen der gefälschten Seiten verschleiert und damit die Nutzer verleitet, die betrügerische Webseite aufzurufen.

Tipps: 

• Es gibt leider keine technischen Hilfsmittel, um eine Manipulation der Anrufernummer zu erkennen. Daher sind Ihre Vorsicht und das Ruhebewahren gefragt. Lassen Sie sich am Telefon nicht unter Druck setzen. Ihre Bank oder ein Polizist wird Sie niemals telefonisch zur Herausgabe persönlicher Daten, wie zum Beispiel Bankkontodaten, drängen. Sie sollten das Gespräch beenden und anschließend Ihre Bank oder die Polizei anrufen, um den Sachverhalt zu klären beziehungsweise anzuzeigen. Verwenden Sie dafür aber nicht die Rückrufunktion des Telefons, sondern wählen Sie die Ihnen bekannte Nummer manuell. Lassen Sie sich auch nicht auf Angebote zur Fernwartung Ihres Rechners wegen angeblicher Bedrohung oder technischer Probleme ein. Auch sollten Sie Aufforderungen zur Zahlung auf ein „sicheres“ Konto am Telefon nicht nachkommen.
• Prüfen Sie die E-Mail-Adresse des Absenders. Sie können diese zum Beispiel mit früheren E-Mails vergleichen. Achten Sie dabei genau auf die Schreibweise der Adresse, oft werden E-Mail-Adressen verwendet, die sich nur durch ein Zeichen von der echten Adresse unterscheiden. Anhänge und Links in E-Mails sollten Sie stets kritisch prüfen.
• Prüfen Sie einen Link genau, bevor Sie ihn aufrufen. Sie können die Zieladresse vor dem Klick auf den Link prüfen, indem Sie den Mauszeiger über den Linktitel halten. Die Zieladresse wird Ihnen dann in einem Popup-Fenster oder in der Fußzeile des Fensters angezeigt. Achten Sie darauf, dass die Seite mit https:// beginnt und auch auf die korrekte Schreibweise einer Ihnen bereits bekannten Internetseite. Oft verwenden Betrüger eine sehr ähnliche Internetadresse, um Seriosität und Vertrauenswürdigkeit vorzutäuschen.

„Ihr Konto wurde aus Sicherheitsgründen geblockt.“ „Es gibt ein Problem mit Ihrem Computer.“ Mit solchen oder ähnlichen Aussagen versuchen Kriminelle, an persönliche Daten ihrer Opfer zu gelangen oder diese zu einer Geldzahlung zu bringen. Die Betrüger geben sich beispielsweise am Telefon als Bankangestellte aus, als Mitarbeiter der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), als Ermittler von Europol oder Interpol, oder aber sie behaupten, sie seien vom technischen Support eines Softwareunternehmens. Aus „Sicherheitsgründen“ oder um angeblich der Online-Banking-Funktionen wieder herzustellen, sollen dabei Kontodaten oder andere persönliche Daten „abgeglichen“ werden. Alternativ wird auch „Hilfe“ bei der Umstellung auf ein anderes TAN-Verfahren angeboten. In einigen Fällen wird der Kriminelle versuchen, über eine Fernwartungssoftware Zugang zu Ihrem Computer zu erhalten. Ziel ist es in allen Fällen, Sie so zu manipulieren, dass Sie persönliche Daten oder gar direkt eine Zahlung per TAN freigeben.

Tipps:

• Auf dem Display des Telefons kann die Nummer einer Bank oder des Kundenservices des Softwareunternehmens erscheinen. Tatsächlich ist diese Rufnummernanzeige manipuliert, um Sie zu täuschen. Lassen Sie sich von einer Nummernanzeige nicht in die Irre führen. Fragen Sie den Anrufenden nach dem Namen und  legen Sie vorsichtshalber auf. Sie können dann direkt bei dem Unternehmen oder der Bank anrufen und sich nach dem Sachverhalt erkundigen.
• Nutzen Sie dafür aber auf keinen Fall die am Telefon genannte oder die im Display angezeigte Telefonnummer. Schauen Sie auf der richtigen Unternehmenswebseite, fragen Sie die Auskunft oder suchen Sie im Telefonbuch nach dem Anrufer.
• Lassen Sie Fremde mittels einer Fernwartungssoftware nicht auf Ihren Rechner oder Ihr Smartphone zugreifen. Folgen Sie keinem Link und laden Sie sich kein Programm herunter, selbst wenn der Anrufer auf Sie einen sehr sympathischen und vertrauenserweckenden Eindruck macht.
• Lassen Sie sich nicht unter Druck setzen: Wichtig ist, dass Sie ruhig und besonnen bleiben. Kriminelle werden möglicherweise alle Register ziehen und beispielsweise behaupten, dass Ihnen eine Kontosperre drohe und Sie Geld verlieren werden. 
• Gehen Sie grundsätzlich verantwortungsvoll mit Ihren persönlichen Daten um und folgen Sie dem Prinzip der Datensparsamkeit. Zu den sensiblen Daten gehören neben den Kartendaten, Passwörtern, PINs und TANs auch Adresse, Telefonnummern oder Geburtsdatum. Überlegen Sie stets, ob diese Informationen für den beabsichtigten Vorgang überhaupt benötigt werden.
• Wenden Sie sich bei jeglichem Missbrauch Ihrer Bankdaten – und auch schon bei einem Verdacht – umgehend an Ihre Bank. Kontaktieren Sie zudem die Polizei und erstatten Sie Strafanzeige. Nur wenn der Betrug wurde, kann er auch strafrechtlich verfolgt und den Kriminellen das Handwerk gelegt werden.

Weitere Informationen:

https://bdb.kopfarbyte.com/vorsicht-manipulation-betrugsmaschen-am-telefon

Trojaner sind eine der ältesten und gängigsten Formen von Schadsoftware, die häufig über das Öffnen von unbekannten Dateianhängen und das unbeabsichtigte Herunterladen von Software über manipulierte Internetseiten auf den PC installiert werden (siehe auch Malware, Ransomware).

Tipps:

• Alle Sicherheitsupdates der Betriebssysteme und Anwendungsprogramme schnellstmöglich durchführen. Auch die Antiviren-Software stets aktuell halten.
• Prüfen Sie den Absender, bevor Sie auf einen Link klicken oder einen Dateianhang öffnen.
• Ist der Rechner befallen, hilft es zumeist nur, den Rechner komplett neu zu installieren. Deshalb ist es wichtig, die eigenen Daten regelmäßig auch auf einen externen Datenträger zu speichern.
• Haben Sie den Verdacht, Schadsoftware heruntergeladen zu haben, ziehen Sie einen Experten zurate und melden Sie den Fall bei der Polizei bzw. erstattet Sie Anzeige.

Beim Vishing – das Wort setzt sich zusammen aus den englischen Begriffen Voice und Phishing - soll das Opfer am Telefon dazu verleitet werden, seine Daten herauszugeben oder direkt Geld an die Kriminellen zu überweisen. Dafür werden durch den Missbrauch künstlicher Intelligenz (KI) Stimmen täuschend echt nachgeahmt. Wenn diese von einem Angehörigen in einer angeblichen Notlage stammen, (z.B. „Mama, ich hatte einen Unfall. Sie lassen mich erst gehen, wenn ich eine Kaution hinterlege. Hilf mir, schnell!“) spricht man auch von Schockanrufen. 

Durch die Weiterentwicklung der KI-Technologie können Stimmen täuschend echt imitiert werden. Als Angerufener kann man den Unterschied kaum feststellen. An die „Stimmenvorlagen“ kommen die Kriminellen zum Beispiel durch Schadsoftware, mit der sie sich Zugang zu mobilen Endgeräten verschaffen, um Gespräche aufzuzeichnen.

Tipps:

• Lassen Sie sich am Telefon nicht unter Druck setzen und legen Sie bei solch unerwarteten Anrufen auf und versprechen einen Rückruf. Rufen Sie den vermeintlichen Anrufer unter der Ihnen bekannten Nummer aus Ihrem eigenen Adressbuch zurück. Nutzen Sie dafür nicht die automatische Wiederwahl oder Rückruffunktion. Recherchieren Sie dann den Wahrheitsgehalt des Anrufs.
• Achten Sie auf kleine Unstimmigkeiten in der Stimme oder abgehackte Wörter. Auch individuelle Besonderheiten in der Aussprache, beispielweise ein bestimmter Dialekt, ein Akzent oder Wörter, welche die Ihnen bekannte Person üblicherweise verwendet oder auch gerade nicht benutzen würde, könnten ein Hinweis sein. 
• Vereinbaren Sie ein Familienpasswort, das als Codewort dienen kann. Jedes Familienmitglied sollte dies kennen, so dass es am Telefon abgefragt werden kann. 
• Alternativ kann am Telefon auch eine Frage gestellt werden, die der Anrufer nur beantworten kann, wenn er tatsächlich das betreffende Familienmitglied ist.
• Das Wissen um die Möglichkeit solcher Betrugsmaschen hilft dabei, wachsam zu sein. Sprechen Sie daher mit Ihren Angehörigen und Freunden darüber.

Bei Verdacht, Opfer einer solchen Betrugsmasche geworden zu sein, informieren Sie umgehend die eigene Bank und die Polizei.