Neue Betrugsmaschen – so können Sie sich schützen
Mithilfe immer besserer Technik und seit Neuestem auch künstlicher Intelligenz erfinden Betrüger*innen raffiniertere Betrugsmaschen, um Bankkund*innen um z. T. viel Geld zu erleichtern. Christian Clementi, Experte Business Process Management und Anti-Fraud-Manager für Zahlungsverkehr, gibt einen Überblick über aktuell auftretende Betrugsversuche und verrät, wie Sie sich und Ihr Geld vor unbefugtem Zugriff schützen können.
Schwachpunkt Mensch
Herr Clementi, welche Arten von Betrugsversuchen können Sie in Ihrer Funktion als Anti-Fraud-Manager derzeit beobachten?
Neben den herkömmlichen Betrugsversuchen unter Einsatz von gestohlenen Kartendaten (vor allem im Internet) und den lästigen, aber oftmals leicht erkennbaren Phishingmails, welche immer noch für den Großteil der Betrugsversuche verantwortlich zeichnen, haben sich gerade in letzter Zeit neue Betrugsmaschen etabliert, die noch weitaus raffinierter und daher noch gefährlicher sind.
So unterschiedlich diese neuen Szenarien auch sein mögen, sie alle nutzen den einzigen Schwachpunkt, den man nicht durch verbesserte Technik, Software oder sicherere Endgeräte in den Griff bekommt: das menschliche Verhalten.
Wettlauf der Technik
Warum versuchen Betrüger*innen Ihrer Meinung nach mittlerweile dermaßen gezielt die Schwachstelle Mensch auszunutzen?
Tatsächlich konnten Banken durch den Einsatz immer besserer Software viele Betrugsszenarien stark eindämmen. So schützen GeoControl und Chiptechnologie Ihre Karten vor Falsifikaten im Ausland. Die 2-Faktor-Autorisierung zur Bestätigung/Freigabe von Zahlungen im Internet oder Online-Banking-Transaktionen hat die Welt ein Stück weit zu einem sichereren Platz gemacht.
Betrüger*innen tun sich immer schwerer, Bankensoftware zu infiltrieren oder gar Bankrechner zu hacken. Deshalb haben sie nun vermehrt den Menschen selbst zur Zielscheibe ihrer illegalen Aktivitäten gemacht.
Tech-Support-Betrug
Immer wieder kommt es zum sogenannten Tech-Support-Betrug. Wie gehen die Angreifer*innen dabei vor?
Bei diesem Betrugsszenario geben sich Anrufer*innen als Mitarbeiter*innen eines Unternehmens (z. B. Microsoft), einer Bank oder gar der Polizei aus und schildern ein angebliches Bedrohungsszenario. So wird oft behauptet, dass der Rechner mit einen Virus infiziert sei oder dass man gehackt wurde.
Der/Die Anrufer*in verspricht dann zu helfen und angeblich bereits gestohlene Daten oder Geld zu retten. Im Zuge dessen versucht er/sie Zugriff auf das Endgerät des/der angeblich Geschädigten zu erhalten. Hat der/die Betrüger*in erst einmal Zugriff auf den Rechner oder gar das Banking, werden Passwörter verändert und oft noch während des Anrufs Geld gestohlen.
Achtung, nur ausgehende Zahlungen müssen via App bestätigt werden
In einer anderen Variante werden die Kund*innen oft aufgefordert, vermeintliche Zahlungseingänge mit der Security App zu bestätigen. Dabei vergessen die oft überraschten und verwirrten Kontaktierten, dass man nur ausgehende Zahlungen mit der Security App bestätigen muss. Die Art des Szenarios ist schier unendlich variierbar und die Betrüger*innen sind nicht nur psychologisch und rhetorisch gut geschult, sondern lassen sich auch immer neue Varianten einfallen.
Terror- und Schockanrufe
Eine besonders perfide Betrugsvariante sind die sogenannten Terror- oder Schockanrufe. Worum handelt es sich hier genau?
Ähnlich wie beim Tech-Support-Betrug geben sich Anrufer*innen z. B. als Polizist*innen oder Mitarbeiter*innen eines Spitals aus und simulieren eine Notsituation. Dabei lassen sich verschiedene Varianten beobachten.
Beliebte Varianten sind „Nahe Verwandte haben einen Autounfall verursacht und für diese ist sofort eine Kaution zu hinterlegen“ oder „Nahe Verwandte haben einen Unfall gehabt und müssen unverzüglich operiert werden, dafür muss man aber sofort Geld überweisen“. Oft wird der Kontakt auch über soziale Medien hergestellt. Dabei geben sich die Betrüger*innen als Verwandte aus, denen man das Handy gestohlen hat, und bitten um dringende Überweisungen
Anlagebetrug
Wie wird beim sogenannten Anlagebetrug vorgegangen, woran kann man diesen erkennen?
Vielleicht wurden Sie auch schon einmal von einem vermeintlichen Anlageberater kontaktiert, der Ihnen sagenhafte Gewinne verspricht? Meist durch Investitionen in Gold oder Bitcoins auf einer Anlageplattform im Ausland? Oder hat man Sie kontaktiert, weil man angeblich eine Bitcoin-Wallet, die auf Ihren Namen lautet, gefunden hat, die jetzt Millionen Wert ist? In all diesen Fällen können sie zu hundert Prozent vom sogenannten Anlagebetrug ausgehen.
Betrüger*innen versuchen dabei, Kund*innen dazu zu überreden, Geld zu investieren. Zuerst oft nur kleine Beträge, für die zu Beginn auch gerne mal verhältnismäßig hohe Gewinne ausbezahlt werden. Ziel ist es, die Kontaktierten schlussendlich zu möglichst hohen Investitionen zu verleiten.
Die Gelder landen natürlich auf den Konten der Betrüger*innen bzw. von sogenannten „Money Mules“, sprich Menschen, die unter Vorspiegelung falscher Tatsachen dazu gebracht werden, Konten zu eröffnen und in weiterer Folge darauf eingehende Beträge weiterzuleiten. Die Betrüger*innen sind auch hier psychologisch und rhetorisch besonders gut geschult, zeigen vermeintliche Kontoauszüge und Charts über die Entwicklung der vermeintlichen Anlage, streuen auch gerne Misstrauen gegen die „Systembanken“ und versuchen, Rückfragen bei der eigenen Hausbank zu unterbinden.
Wollen die Investor*innen ihr Geld inklusive der versprochenen Gewinne ausbezahlt bekommen, werden weitere Forderungen gestellt. So wird behauptet, man müsse Steuern, KESt oder Bearbeitungsgebühren entrichten, damit das Geld ausbezahlt werden könne. Die Betrüger*innen nutzen hier nicht nur die „Gier“ der Anleger*innen nach möglichst hohen Gewinnen in kurzer Zeit aus, sondern spielen auch dann noch geschickt auf der psychologischen Klaviatur, wenn erste Verdachtsmomente auftauchen.
Auch wenn die Geschädigten schon längst vermuten, dass sie einem Betrug aufgesessen sind, wollen es sich viele nicht eingestehen oder klammern sich an den buchstäblich „letzten Strohhalm“ der Hoffnung, es könnte doch wahr sein und man bekäme sein Geld vielleicht doch wieder, wenn man noch einmal eine Zahlung tätigt. Das wirklich Schlimme an dieser Form des Betrugs ist, dass nicht nur die Schäden in der Regel exorbitant hoch sind, sondern viele Geschädigte oft sogar noch nach Aufklärung durch die Bank oder die Polizei den Betrug nicht erkennen (wollen) und weiter Gelder investieren.
Die Hausbank hat auch nur beschränkte Möglichkeiten, dem Treiben Einhalt zu bieten. Denn wenn Kund*innen geschäftsfähig und mit den Transaktionen einverstanden sind, darf die Bank ihnen nicht den Zugriff auf ihr Vermögen verweigern. Und aufgrund des Bankgeheimnisses ist es oft auch nicht möglich, Verwandte oder Bekannte des/der Geschädigten ins Geschehen einzubinden.
Herr Clementi, wir bedanken uns recht herzlich für das Gespräch!
Wie kann man sich vor den neuen Betrugsmaschen schützen?
- Gewähren Sie niemals fremden Personen Zugriff auf Ihr Endgerät und lassen Sie sich keinesfalls dazu überreden, Apps oder Software zu installieren.
- Bankmitarbeiter*innen fragen niemals nach Passwörtern, PIN-Codes oder geheimen Zugangsdaten.
- Hinterfragen Sie die Situation, z. B.: Wie realistisch ist es, dass Microsoft-Mitarbeiter*innen Ihre Telefonnummer haben? Wenn Sie sich unsicher fühlen, ziehen Sie unbedingt eine weitere Person hinzu.
- Lassen Sie sich nicht unter Druck setzen. Legen Sie auf oder bieten Sie einen Rückruf an.
- Vorsicht bei vermeintlich „neuen“ Handynummern naher Verwandter. Rufen Sie auf der alten Nummer an oder kontaktieren Sie die angebliche Person über andere Kanäle, um die Geschichte zu prüfen.
- Misstrauen Sie allzu verlockenden Angeboten mit hohen Gewinnen in kürzester Zeit. Kein Dritter kann einfach in Ihrem Namen ein Konto eröffnen, auch wenn dieser Ihnen (gefälschte) Unterlagen zusendet oder zeigt.
Weitere Informationen zum aktuellen Betrugsgeschehen finden Sie auf der Website der FMA.
Häufig gestellte Fragen
Was ist Social Engineering?
Unter diesem Begriff versteht man alle Versuche, durch soziale Kontakte entweder Zugriff auf geheime Daten zu erlangen oder Personen insoweit zu beeinflussen, dass sie Handlungen setzen, die dem/der Betrüger*in nutzen (z. B. CEO-Fraud, Terror-Calls etc.).
Was sind Terror-Calls?
Darunter versteht man den Versuch, durch Vorspiegelung einer Notsituation (z. B. eines nahen Verwandten) Personen dazu zu bringen, jemandem Geld oder Wertgegenstände zu übergeben.
Was versteht man unter Tech-Support-Betrug?
Anrufer*innen geben sich als vermeintliche Mitarbeiter*innen von Unternehmen (z. B. Microsoft), der Hausbank, der Polizei o. Ä. aus und versuchen, an geheime Daten zu kommen oder die Kontrolle über Endgeräte der Kontaktierten zu erlangen.
Zur Person
Christian Clementi ist als Experte für Business Process Management und Anti-Fraud-Manager im Zahlungsverkehr in der BTV tätig.
-
Die BTV prüft ihr Informationsangebot sorgfältig. Dennoch bitten wir um Verständnis, dass wir diese Informationen ohne Gewähr für Richtigkeit, Vollständigkeit und Aktualität zur Verfügung stellen und behalten uns einen Irrtum, insbesondere in Bezug auf Preisangaben, ausdrücklich vor. Durch kurzfristige Änderungen können diese Informationen daher bereits überholt sein.