Ausgabe 03 2016

Praxis Betrüger aus der Unterwelt

So schützen sich Kunden und Händler vor Onlinebetrug.

In der Steinzeit wurde dem Opfer eins über den Schädel gezogen, um ihn zu berauben. Im wilden Westen brachte der Überfall einer Eisenbahn noch mehr Opfer auf einen Schlag. Mit der Ausbreitung von Geldinstituten war es dann umso leichter, aus einem Raub ein skalierbares Geschäftsmodell zu machen. Heute kann man bequem von zu Hause aus Kunden und Händler schädigen.

Es gibt Situationen, in denen ist das Sicherheitsbewusstsein heruntergefahren. Zum Beispiel, wenn wir uns in den eigenen vier Wänden befinden, gerade die Beine hochgelegt haben und nichts Böses ahnen. Dann geschieht plötzlich folgendes, unvorhersehbares Szenario: Eine Person, nennen wir ihn Rainer Müller, erhält eine E-Mail von seinem Lieblingsonlinehändler. Schnell lässt er sich von dem wichtig wirkenden Betreff irritieren und öffnet die E-Mail. Seine Daten seien nicht mehr aktuell, heißt es dort, und er müsse sie prüfen. Wie benutzerfreundlich, dass auch ein Link in der Mail ist, mit dem Rainer angeblich auf die Website des Onlinehändlers gelangt. Um seine Daten wie gewünscht zu aktualisieren, loggt er sich mit seinem Nutzernamen und dem Passwort ein. Er ist immer noch ganz entspannt, denn auffällig erscheint ihm in diesem Moment nichts. Nun frischt Rainer noch seine Kreditkartendaten auf und checkt die Liefer- und Rechnungsadresse. Geschafft. Eigentlich.

Was Rainer nicht weiß: Er ist einer Phishingmail aufgesessen. Ziel dieser Nachricht war es, seine persönlichen Daten und damit seine gesamte Identität zu stehlen. Und das hat dank Rainers gemindertem Sicherheitsbewusstsein ganz wunderbar funktioniert. Durch die selbst vorgenommene Dateneingabe verfügen die Betrüger nun über Nutzernamen, Account-Passwort, Kreditkartendaten und im besten Fall sogar über die zugehörige Rechnungs- und Lieferadresse. Jackpot! Und dies ist nur eine von den Vorgehensweisen, die Onlinebetrüger zu nutzen wissen. Die unterschiedlichen Maschen zu erkennen, ist sowohl für den Käufer als auch für den Onlinehändler ein äußerst schwieriges Unterfangen.

Aber nehmen wir doch einmal einen Perspektivwechsel vor: Was macht der Betrüger nun genau mit Rainers Daten? Zum Beispiel könnte er dessen Account nutzen, um einige neue Handys im Netz zu bestellen. Natürlich nicht, ohne vorher noch die Lieferadresse zu aktualisieren, denn die Handys sollen ja nicht wirklich zu Rainer geschickt werden. Der wird diese Geräte niemals zu Gesicht kriegen, er ist lediglich dazu da, um für die Kosten aufzukommen. Doch Rainer will ganz sicher nicht für Dinge bezahlen, die er nie bestellt hat, und außerdem ist er nun auch etwas unsicher, ob er diesem Onlinehändler weiter vertrauen kann. Der Onlinehändler ist seine Handys los, für deren Kosten will jedoch keiner aufkommen. Er bleibt auf dem Schaden sitzen. Das Dilemma ist komplett.

Datensumpf im Internet

Darüber hinaus verkaufen die Betrüger Rainers Daten in der „Unterwelt“ des Internets, dem sogenannten „Darkweb“ oder „Darknet“, in dem das Angebot die Nachfrage bestimmt. Mit seinen Details werden dann bei anderen Onlinehändlern Profile erstellt und Bestellungen ausgelöst, denn Rainers Daten sind völlig unbefleckt: Weder war er bisher betrugsauffällig noch hat seine Bonität unter nicht bezahlten Rechnungen gelitten. Ein idealer Kandidat, um mit falschen Profilen weiter zu täuschen, wo es nur geht.

E-Mails wie die, die Rainer erhalten hat, werden heute jeden Tag milliardenweise verschickt. Valide E-MailAdressen finden sich schließlich zuhauf im Internet. Oftmals muss der Betrüger nicht mal mehr selbst aktiv werden. Es genügt ein kleines Programm, das alles weitere für ihn erledigt. So entsteht ein extrem skalierbares Geschäftsmodell.

Betrugsdelikte im digitalen Geschäft nehmen zu

Mehr als vier von fünf Onlinehändlern wurden in Deutschland schon Opfer eines Betrugsfalles oder haben es bereits mit Betrugsversuchen zu tun gehabt. Bei über der Hälfte ist die Zahl der Betrugsdelikte in den letzten fünf Jahren angestiegen. Dabei haben das Produktportfolio und die angebotenen Zahlungsverfahren am meisten Einfluss auf die Betrugsversuche.

Genau wie vor Hunderten von Jahren gehört Betrug also zum Alltag. Nur haben sich die Betrugsphänomene im Laufe der Zeit vor allem im digitalen Geschäft weiterentwickelt. Sie sind für die Händler nur schwer zu erkennen. Durch geeignete Lösungen zur Betrugsprävention können viele Fälle verhindert werden. Der Händler will dabei aber natürlich nur die Betrugsversuche abwehren und nicht seine ehrlichen Kunden verprellen. Denn der Fokus der Händler liegt im Wesentlichen auf der Erhöhung der Conversion Rate, also der Rate, bei der ein Besucher einer Website vom Interessenten zum Käufer wird. Um möglichst viele „gute“ Bestellungen anzunehmen und die „schlechten“ ablehnen zu können, gibt es zum Glück einige effektive Betrugserkennungstools.

Wie kann man sich als Privatperson schützen

Mails mit Betreffzeilen wie „Herzliken Glukwusch, Sie habe 300 Euros gewonnen“ werden von den meisten Mail-Programmen zuverlässig ausgefiltert. Anders sieht es mit Nachrichten aus, wie sie Rainer von seinem Onlinehändler bekommen hat. Hier lauert die Gefahr, dass Account-Daten geklaut werden.

Tipp 1
Phishingmails haben erfinderische Anlässe. Das reicht von der unechten Mahnung für die Telefonrechnung, der Aufforderung, Bankdaten zu aktualisieren oder Passwörter zu erneuern, bis hin zur Bestätigung persönlicher Daten für ein Gewinnspiel.

Tipp 2
Nichts Neues, aber immer noch wichtig und wirkungsvoll, ist ein aktuelles Antivirenprogramm auf dem Rechner. Sie haben in der Regel auch Mail-Filter eingebaut, die Phishingmails aufspüren.

Tipp 3
Zusätzlich kann man die Adressleiste im Browser überprüfen. Weicht sie von dem eigentlichen Namen ab, sollte man stutzig werden.

Tipp 4
Der sicherste Schutz ist, den übersandten Link in der Mail nicht anzuklicken und die gewünschten Daten nicht einzugeben. Banken fordern beispielsweise nie vertrauliche Daten per Mail an.

Tipp 5
Die Auswahl eines sicheren Passwortes als Kombination von mindestens zwölf Zeichen inklusive Buchstaben, Zahlen und Sonderzeichen gehört ebenso zu einem Basisschutz.

Tipp 6
Passwörter sollten nicht mehrmals für unterschiedliche Zugänge benutzt werden. Insbesondere unseriöse Anbieter, bei denen eine Registrierung notwendig ist, könnten so an vertrauliche Daten gelangen. Und wenn Rainer ein Passwort für alle seine Onlineaktivitäten nutzt, dann hat der Betrüger jetzt auch Zugang zu seinem Konto oder seinem Mail-Account.

Foto: bastisteiner/plainpicture