Spam-Mails, Phishing & Co nehmen zu – immer mehr Betrüger sind im Netz unterwegs
„Guten Tag, Im Anhang dieser Email finden Sie Ihre Rechnung. Wir mussten feststellen dass Sie die Rechnung immer noch nicht bezahlt haben. Der offene Betrag ist innerhalb von 5 Tagen zu begleichen. Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter. Freundliche Grüsse flexpayment“.
Haben Sie eine solche E-Mail auch erhalten? Nicht unwahrscheinlich, denn sie ist allein in den letzten vier Wochen millionenfach versandt worden.
Wieder einmal wird von skrupellosen Datenklauern der Name einer real existierenden Firma missbraucht, um gefälschte Rechnungen mit Schadsoftware bzw. “Trojanern“ im Anhang zu verbreiten.
Das vergangene Jahr war bisher das schlimmste in Sachen Cyber-Kriminalität, sagen Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Und es gibt allen Anlass davon auszugehen, dass wir 2016 auf einen weiteren traurigen Rekord zusteuern.
Unglaublich: Fast 250 Millionen Spam- bzw. Trojaner-Angriffe soll es 2015 in Deutschland gegeben haben. Nur die wenigsten – glücklicherweise – von Erfolg gekrönt. Doch die Hacker rüsten auf. Mit immer abgefeimteren Phishing-Angriffen werden Adressen, Passwörter und Kontonummern von unachtsamen Nutzern gestohlen.
Nach einer Studie des Deutschen Instituts für Wirtschaftsforschung (DIW) soll Internetkriminalität in Deutschland jährlich einen Schaden von rund 3,4 Milliarden Euro verursachen – vermutlich ist der Schaden eher nahe an zehn Milliarden Euro, denn es gibt eine große Dunkelziffer, sagt der Hannoveraner Computerexperte Karsten Reineke. „Man darf ja nicht nur das Online-Shopping sehen, sondern muss alle Geschäfte, die heute übers Internet getätigt und grundsätzlich attackiert werden können, miteinbeziehen. Dazu kommt der Klau der Daten bei Kreditkarten, der die Bankenlandschaft gerade schwer beschäftigt, sowie die kriminelle Abgreifung von Zugangsdaten für Online-Dienste.“
Viele Phishing-Mails haben die Schadprogramme als ZIP- oder exe-Datei im Anhang: Um die Aufmerksamkeit der Empfänger zu erregen, enthalten sie Infos zu vermeintlichen Zustellbenachrichtigungen von Paketen, Transaktionsmitteilungen von Banken oder aber von Rechnungen. Schon lange nicht mehr mit radebrechendem Text, sondern scheinbar ganz seriös.
Öffnet der Empfänger den Anhang, entpackt er direkt das Schadprogramm, der dazu dient, Benutzerinformationen auszuspähen. Der heimische PC wird „fremdgesteuert“, ohne dass man selbst etwas davon mitbekommt. Jede Eingabe, die man macht, wird aufgezeichnet. Die so gewonnenen Daten nutzen Kriminelle, um Zahlungen zu Lasten des Opfers anzustoßen bzw. sich bei PayPal zu registrieren und eine Shopping-Tour auf fremde Kosten unternehmen.
Jane M. aus Lüneburg ist genau das passiert: „Mein Konto ist leergeräumt. Fast 2000 Euro sind weg. Ich habe Anzeige erstattet, aber es hieß, ich habe fahrlässig gehandelt. Jetzt muss ich beweisen, dass ich den Betrug nicht habe erkennen können.“
Beweisen muss auch der Lauenburger Stefen R., dass Ganoven unter seinem Namen und ohne sein Wissen einen Fake-Online-Shop registriert haben. Die Betrüger nutzten seine Identität und seine (gestohlenen) Daten, um gefälschte Marken-Turnschuhe zum Spottpreis zu verkaufen. Das Problem: R. ist juristisch jetzt für den Shop verantwortlich – und das kann bitter und vor allem sehr teuer werden.
Derzeit grassiert eine neue Trojaner-Epidemie. Allein hierzulande infizieren sich stündlich über 5000 Computer, verschlüsselt Dokumente, Fotos und andere wichtige Dateien. Erst dann folgt, worum es eigentlich geht: Um die unlesbar gemachten Dateien auf dem PC wieder zugänglich zu machen, soll eine bestimmte Summe überwiesen werden. In Bitcoins, denn das ist anonym und sofort realisierbar.
Die Erpresser bedrohen nicht nur Privatleute, auch Krankenhäuser, Städte und Behörden. „Locky“, „TeslaCrypt“, „Dridex“ – so heißen die Verschlüsselungstrojaner (Ransomware) – bedrohen inzwischen auch die niedersächsische Landesverwaltung.
Statt zuvor durchschnittlich 80 Meldungen pro Tag haben die Virenscanner Anfang Februar 900 Warnungen abgesetzt, sagt Svenja Mischel, Pressesprecherin des niedersächsischen Innenministeriums. Und auch das ist nur die Spitze des Eisbergs.
Betroffene Organisationen und selbstverständlich auch Privatleute sollten auf die Erpressung auf keinen Fall eingehen, warnt die Polizei. „Zahlen Sie nicht“, appellierte auch der Präsident des Bundesamtes für Sicherheit in der IT, Arne Schönbohm.
Regelmäßig angelegte Daten- und System-Backups sind im Falle einer Infektion durch Ransomware oft die einzige Möglichkeit, betroffenen Dateien wiederherzustellen und größeren Schaden zu vermeiden. Datensicherungen lassen sich vollständig, stufenweise, sowie manuell oder automatisch mithilfe einer Backup-Software durchführen.
Wichtig: Dabei sollte man neben dem PC auch die Daten berücksichtigen, die auf dem Smartphone dem Smartphone oder Tablet sowie in einem Cloud-Speicher abgelegt sind.
Schutzmaßnahmen gegen Spam, Phishing & Co
Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten immer manuell ein. Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus vertrauenswürdiger Quelle stammen. Reagieren Sie nicht auf Aufforderungen, in denen Sie zur Eingabe von PIN oder TAN aufgefordert werden. Schalten Sie die Funktion „Aktive Inhalte ausführen“ aus. Wenn Sie darauf nicht verzichten wollen, so stellen Sie über die entsprechende Funktion in den Sicherheitseinstellungen zumindest sicher, dass Ihr Browser in jedem Einzelfall bei Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen. Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand. (RT)