Digitaler Gegenangriff
Sensibilisieren, abschirmen, zurückschlagen: Wie Sie Internetbetrüger bremsen
Schockanrufe, vermeintlicher Microsoft-Support, Anlagebetrug, Enkel- und Kindertrick-SMS – Abzocker erfinden immer wieder neue Betrugsmaschen. Doch Sie können den Onlinedieben das Geschäft vermiesen, zum Beispiel, indem Sie ihre Accounts und Webseiten sperren lassen oder ihnen einfach die Zeit stehlen.
Mein Redaktionstelefon klingelt, das Display zeigt eine Rufnummer aus Griechenland. Ich hebe ab und sage nur „Hallo“. Am anderen Ende stellt sich jemand in stark gebrochenem Deutsch als Michael vom Microsoft-Support vor und lässt mir keine Pause, um zu fragen, worum es geht. Mein Windows-Rechner sei betroffen; der Microsoft-Support empfange Signale von meinem PC, dass ein Hacker mehrere Hacker-Dateien auf mein Gerät heruntergeladen hat. Ich schaue auf meinen Ubuntu-Desktop und antworte innerlich: „Ich denke nicht“, während ich immer wieder „Oh, Nein!“ und „Das kann ja wohl nicht sein!“ mit bewusst rauchiger Stimme entgegne.
In vollkommen übertriebener Detailtiefe instruiert mich der vermeintliche Microsoft-Michael, die Software Ultraviewer herunterzuladen. „Oh, 10 Megabyte?! Das dauert hier erst mal etwas! Ich hol mir Kaffee!“, sage ich, schalte das Mikrofon stumm und lege den Hörer beiseite, um weiter meinen Artikel zu schreiben. Zwei vorgeblich fehlerhafte Download-Versuche später löse ich die Situation auf, amüsiere mich darüber, 25 Minuten der Zeit des Scammers verschwendet zu haben, und wünsche ihm alles erdenklich Schlechte für seine weitere Tätigkeit in diesem Berufsfeld. Das Gespräch beendet er mit den Worten „Fuck you!“.
„Was für eine Zeitverschwendung. Wer fällt denn auch auf sowas rein?!“, mag man als technisch versierter Mensch nun sagen. Doch jedes Jahr prellen Onlinebetrüger ihre Opfer um einen dreistelligen Milliardenbetrag. Schockanrufer erbeuteten 2022 alleine in Baden-Württemberg insgesamt 20 Millionen Euro und auch ein simpler „Microsoft“-Anruf kann schnell 15.000 Euro kosten, wenn sich Betroffene vom Scammer beim Onlinebanking für den vermeintlichen Supportvertrag helfen lassen. Ich habe tatsächlich nur etwa zwei Minuten investiert, um dem Scammer 25 Minuten zu nehmen – 25 Minuten, in denen er keinem Menschen Geld aus der Tasche ziehen konnte.
Die finanziellen und psychischen Schäden sind beachtlich, weshalb man den Zeiteinsatz gegen Scammer als Ehrenamt für bekannte wie unbekannte potenzielle Opfer verbuchen kann. Hier gilt: Wenn jeder ein wenig macht, schaffen viele Großes. In diesem Artikel beleuchten wir, was Sie selbst gegen die einzelnen Maschen ausrichten können.
Sensibilisieren
Die größte Hürde für Scammer aller Art sind gut informierte und abgeschirmte potenzielle Opfer – dort sollten Sie auch ansetzen. Verlorene (digitale) Mittel zum Cyberbetrug können die Täter in der Regel in kurzer Zeit wieder beschaffen; reduziert sich hingegen die Anzahl ihrer Ziele nennenswert, wird es für sie schwierig. Potenzielle Opfer sind nicht etwa nur ältere Menschen, die vor dem Boom des Internets aufgewachsen sind. Aufgrund der Vielfalt der Maschen muss heute jeder Nutzer von Internet und Telefon vorsichtig sein. Selbst der 29-jährige Autor dieses Artikels ist schon einmal Opfer eines Betrugs bei Kleinanzeigen geworden – mehr dazu später.
Gespräche mit den mehr oder weniger technisch versierten Menschen im eigenen Umfeld sind die erste und einfachste Maßnahme. Vielen ist gar nicht bewusst, dass das Netz voll von Betrügern ist und welche Gefahren lauern.
Je nach Gegenüber sollten Sie anfangs einfach über aktuelle Fälle und die Nachrichtenlage berichten, statt direkt zu warnen – letzteres kann zu einer zwar menschlichen, aber wenig förderlichen Reaktion à la „Ich doch nicht; das passiert nur anderen!“ führen. Erzählen Sie besser bloß davon, wie bestimmte Betrugsmaschen funktionieren und dass dabei viel Geld gestohlen wird.
Da auch die Welt der Scammer nicht stillsteht, sollten Sie sich immer wieder über aktuelle Entwicklungen informieren und nicht nur die Beispiele aus diesem Artikel parat haben. Wie Telefonbetrüger derzeit vorgehen, lesen Sie im Detail in c’t 14/2023 ab Seite 58 [1]. Über ct.de/y7pu finden Sie Links zu Websites unterschiedlicher Behörden mit Informationen zum Thema.
Riechender Braten
Häufig liefern Fallbeispiele Warnzeichen, die Sie Menschen mitgeben können: Der Microsoft-Support etwa ruft keine Windows-Nutzer an, um ihnen von Viren auf Ihrem Computer zu erzählen und gegen Bezahlung Unterstützung zu leisten. Auch wild blinkende Warnfenster im Browser mit vermeintlichen Support-Rufnummern kommen nicht vom Betriebssystemhersteller.
Extrem günstige Kleinanzeigenangebote oder äußerst lukrative Investmentoptionen, die zu schön aussehen, um wahr zu sein, sind es meist auch nicht. Banken fordern nicht per E-Mail inklusive Link dazu auf, die Onlinebanking-Zugangsdaten zu bestätigen. Im Zweifel ruft man seinen Bankberater an.
Und auch, wenn die angebliche Polizistin beim Schockanruf behauptet, dass Sohn oder Tochter einen Autounfall mit Todesfolge verursacht hat und nun Kaution zahlen müsste: In den wenigsten Ländern der Welt gibt es monetäre Sicherheitsleistungen, um Untersuchungshaft zu verhindern – und wenn, dann werden diese durch einen Richter festgelegt und nicht durch die Polizei in einem Telefongespräch mit einem Elternteil, während die vorgebliche Täterin noch heulend auf der Wache sitzt [2].
Seriöse Dienstleister und Behörden fragen auch grundsätzlich nicht am Telefon nach Passwörtern und bauen auch keinen Druck auf, um Kunden zu Handlungen zu drängen.
Unabhängig davon sollten Sie Menschen in Ihrem Umfeld Hilfe beim Beurteilen anbieten. Wichtig ist, dass Sie dabei nicht werten oder tadeln, damit der Fragende nicht in eine unangenehme, schambehaftete Situation gerät. Mit sachlichen Erklärungen und Geduld fördern Sie das gesunde Misstrauen und die Medienkompetenz.
Dort, wo Sie sowieso schon als Administrator tätig sind, können Sie auch nach Absprache eine vertrauenswürdige Fernwartungssoftware wie TeamViewer installieren, um gegebenenfalls aus der Ferne einen Blick auf die Angelegenheit werfen zu können.
Abschirmen
Durch Software, Einstellungen und selbst verfasste Protokolle (Verhaltensregeln) machen Sie Computer, die Sie sowieso administrieren, zu einem schwierigen Ziel für Scammer. Die Maßnahmen richten sich nach der Medienkompetenz der Nutzer und es obliegt Ihnen, diese zu beurteilen. Verhalten Sie sich dabei trotzdem transparent, damit die Nutzer sich nicht bevormundet fühlen.
Die folgenden Vorschläge sind sicher nicht erschöpfend, dürften viele heutige und zukünftige Maschen aber behindern: Browser-Adblock-Plug-ins wie uBlock Origin oder AdBlock Plus etwa verhindern in vielen Fällen, dass dubiose Angebote oder „Microsoft“-Warnmeldungen überhaupt angezeigt werden. Mit NoScript blockieren Sie zusätzlich alle nicht explizit freigegebenen Skripte auf Websites – also beispielsweise JavaScript und Adobe Flash. Das Opt-in-Verhalten des Plug-ins sorgt dafür, dass auf unbekannten Websites erst einmal so gut wie nichts außer Text funktioniert. Dabei müssen Sie als Admin aber ab und zu Regeln lockern, damit erwünschte Dienste nutzbar bleiben.
Bei Personen, die sowieso nur einige wenige Onlinedienste nutzen, kann eine Website-Whitelist (Freigabeliste) Sinn ergeben. Ob und wie das geht, recherchieren Sie für den eingesetzten Browser im Netz. Je nach Verhalten des Browsers beziehungsweise des Plug-ins müssen Sie möglicherweise angefragte Sub-Domains aus der Entwicklerkonsole des Browsers ermitteln und eintragen, bis alles richtig funktioniert.
Ähnliches Whitelisting funktioniert auch bei Mails: In der Regel können Sie Filter so konfigurieren, dass das Programm beziehungsweise der Anbieter die Mail – wenn nicht wenigstens eine Bedingung erfüllt wird – in einen separaten Ordner verschiebt. Als Bedingung konfigurieren Sie dann bekannte und vertrauenswürdige Absenderadressen. Das schützt zwar nicht vor Absender-Spoofing, doch der Scammer muss etwa die Adresse der Bank erraten, bei der das potenzielle Opfer Kunde ist, und gezielte Betrugsversuche sind deutlich seltener als ungezielte. Manche Mailanbieter können auch automatisch erkennen, welche Absender vertrauenswürdig sind, und alles Unbekannte wegsortieren – wenn der Junk-Filter nicht sowieso vorher zuschlägt.
Sollen oder wollen Nutzer keine zusätzliche Software installieren, können Sie dem Benutzerkonto auch die Administrator-/Root-Rechte wegnehmen. Das verhindert möglicherweise, dass das Opfer den Instruktionen eines Scammers zum Installieren einer Fernwartungssoftware folgen kann. Da aber nicht alle dieser Programme Administratorrechte benötigen, erreichen Sie nur mit Software-Whitelisting hohe Sicherheit dagegen. Wie Sie das in Windows erledigen, lesen Sie ab Seite 60. Für alle anderen Betriebssysteme recherchieren Sie das Vorgehen im Netz beziehungsweise deren Dokumentationen.
Umgeleitet
Häufig kommen Scam-Anrufe aus dem Ausland, sodass Sie diese bei Nutzern, die normalerweise keine Anrufe von außerhalb ihres Landes bekommen, einfach sperren können. Prüfen Sie dazu das Kundenportal des jeweiligen Festnetz- oder Mobilfunkanbieters sowie die Dokumentation des Mobiltelefons oder Routers. Oftmals finden Sie mehrere Optionen für Anrufsperren.
Fritzboxen beispielsweise können Anrufe aus bestimmten Rufnummernbereichen nicht nur blockieren, sondern alternativ direkt an einen Anrufbeantworter umleiten. Bespricht man den mit einer Ansage, die dazu auffordert, eine Rückrufnummer zu hinterlassen, bleibt man für legitime Anfragen von außerhalb trotzdem erreichbar und kann zurückrufen.
Haben Sie jedoch trotzdem im Hinterkopf, dass gerade gewiefte Scammer auch Rufnummernspoofing einsetzen, um ihren Opfern etwas vorzugaukeln. Auch am Telefon muss man also immer ein gesundes Misstrauen wahren.
Sollten die Betrüger es doch über alle Hürden schaffen, begrenzen Limits für Kredit- und Debitkarten sowie Onlineüberweisungen zumindest die Schadenssumme. Sprechen Sie dazu mit der jeweiligen Bank über die Einschränkungsoptionen. Im Idealfall muss das potenzielle Opfer für höhere Summen dann nämlich zur Bank, wo geschulte Mitarbeiter bestenfalls hellhörig werden und nachfragen.
Zum Gegenangriff
Freunde und Verwandte mit den erwähnten Maßnahmen zu schützen, bringt schon viel. Doch es gibt immer ein Restrisiko und genug Menschen, denen keine technisch versierte Person hilft. Deshalb blasen wir jetzt zum Angriff!
Die eingangs erwähnten „Microsoft“-Scammer sitzen häufig in fernen Ländern und sind deshalb kaum greifbar. Ihnen können Sie hauptsächlich die Arbeit erschweren, indem Sie Zeit schinden, also das Gespräch mit unnötig komplizierten Nachfragen und Wartezeiten hinauszögern. Das bindet Ressourcen im Scam-Callcenter. Häufig sprechen die Anrufer auch nur sehr schlecht Deutsch und versuchen ins Englische zu wechseln – was Sie zugunsten weiterer Verzögerungen ablehnen sollten. Die eigene schauspielerische Leistung auszubauen, um mit minimalem persönlichen Zeiteinsatz maximale Zeitverschwendung auf Seiten der Scammer zu verursachen, kann viel Spaß machen.
Gelegentlich kommen auch Anrufe von Rufnummern aus dem deutschsprachigen Raum oder sie erscheinen in Browser-Pop-ups. Dokumentieren Sie diese zunächst bestmöglich, etwa mit Screenshots von Pop-ups oder Router-Gesprächslisten. Deutsche Rufnummern melden Sie bei der Bundesnetzagentur, österreichische bei der KommAustria (RTR) und schweizerische bei der Kantonspolizei Zürich oder dem nächsten Polizeiposten; Links zu den Meldeportalen finden Sie über ct.de/y7pu. Im Idealfall reagieren die Behörden rasch und bitten den Telefonanbieter, die Rufnummern zu sperren.
Um den Prozess zusätzlich anzuschieben, können Sie den Anbieter der Rufnummer benachrichtigen. Da in Deutschland, Österreich und der Schweiz zumindest bei Mobilrufnummern klar ist, welche Rufnummerngasse welchem Provider gehört, verrät eine Netzrecherche den Namen. Besitzt der Anbieter eine Beschwerdestelle, wenden Sie sich an diese, ansonsten an den Kundenservice. Denken Sie dabei daran, die Screenshots anzuhängen.
Kindertrick-SMS
„Hallo Mama/Papa, das ist meine neue Nummer. Du kannst die alte löschen! Schreib mir bitte auf WhatsApp wenn du das hier gelesen hast“ – damit beginnen die Kindertrick-SMS oft. Was folgt, ist meist eine Geschichte, die von einem defekten Smartphone, fehlenden TAN-Daten und einer dringend zu bezahlenden Rechnung handelt.
Außer der Meldung der Rufnummer an den Provider gibt es noch weitere Optionen, um die Scammer zu stören: Spielt man die Masche mit, bekommt man im Laufe der Konversation IBANs genannt, an die man die Summe überweisen soll. Melden Sie diese mit Screenshots an die bei Ihnen zuständige Cybercrimestelle der Polizei oder direkt an die Bank, die das Konto führt, damit sie dieses sperren kann.
Um das Risiko zu verringern, dass die Scammer Sie im Gegenzug am Telefon belästigen oder gar Ihren Namen und Ihre Adresse herausfinden, sollten Sie die Betrugsmaschen auf keinen Fall mit Ihrer persönlichen Rufnummer mitspielen. Wir haben die Scammer, die uns kontaktiert hatten, mithilfe einer tschechischen eSIM um ihre IBANs gebracht, mit der wir zuvor ein WhatsApp-Konto in einer isolierten Android-Umgebung (Android Island: ct.de/y7pu) angelegt hatten – inklusive KI-Profilbild von thispersondoesnotexist.com. In iOS gibt es solche isolierten Umgebungen mit geklonten Apps derzeit nicht.
Aufgeflogen sind wir dabei nie. Die Scammer scheinen SMS an so viele Rufnummern zu versenden, dass sie kaum erraten können, welche von ihnen angeschriebene Nummer mit der Antwort von einer anderen Nummer zusammenhängen könnte. Nicht einmal die tschechische Rufnummer hat sie misstrauisch gemacht. Um uns im Fall der Fälle trotzdem erklären zu können, leiteten wir das Gespräch mit „Hallo $Name, Mama hat mir gerade deine SMS gezeigt [...]“ ein.
Anlagebetrug
Investmentbetrüger gaukeln ihren Opfern vor, sie könnten mit einem vergleichsweise kleinen Anlagebetrag ein Vermögen machen. Manchmal betreiben sie nur einen einfachen Kanal auf dem Instant-Messenger Telegram, manchmal aber auch eine ganze Flotte an Websites, die zehntausende Kunden und Millionengewinne vorgaukeln.
Auf die „Angebote“ kommen die Opfer meist durch Bots, die sich unter zufälligen Posts in den sozialen Medien oder offenen Telegram-Gruppen für die Investmenthilfe bedanken und dabei auch die Accounts der Scammer verlinken.
Statt mit Überweisungen, PayPal oder dem Klassiker – Western Union – arbeiten diese Scammer häufig mit Kryptowährungen und sagen den Opfern das auch ganz offen. Wir erhielten an mehreren Stellen die Aufforderung, ein Konto bei Binance oder Coinbase (Kryptobörsen) zu erstellen, uns dann auf einer zusammengeschusterten Website anzumelden und das Geld an die genannte Adresse zu senden, um mit der Geldanlage zu beginnen. Diese Website ist Ihr Angriffspunkt.
Um es Leuten wie Ihnen schwer zu machen, veröffentlichen die Scammer die Adresse aber nicht einfach so auf ihrem Profil; Sie müssen Kontakt aufnehmen und sich interessiert geben. Dafür sollten Sie ebenfalls nicht Ihr persönliches Telegram-Konto verwenden. Falls Sie zweifeln, ob es sich tatsächlich um Betrüger oder vielleicht doch um eine seriöse Firma handelt, schauen Sie sich die Kontaktdaten an, suchen Sie die Firmennamen und prüfen Sie die Adressen etwa mit Google Street View. Eine Firma mit 50.000 Kunden sitzt in der Regel nicht in einem Trailerpark in den ländlichen USA oder einem Mehrfamilienhaus in London-Croydon.
![Außer mit ihrer grausigen englischen Grammatik verrät sich diese betrügerische „Investmentfirma“ durch die Kontaktdaten: Angegeben ist bloß die Fantasieadresse „St[reet] 531 in Orlando, Florida“.](/select/ct/2023/20/2321509043039254383/bildschirmfoto_vom_2023_05_24_19_42_29.png)
Haben Sie eine URL, fertigen Sie Screenshots der Konversation und der Website an, ermitteln mit dem Kommandozeilenbefehl nslookup die IP-Adresse hinter der Seite und nutzen ein Whois-Tool (ct.de/y7pu), um jeweils den Hoster von IP-Adresse und Website zu ermitteln – diese müssen nicht zwangsläufig übereinstimmen. In der Antwort finden Sie einen sogenannten Abuse-Contact (Englisch für „Missbrauch“), dem Sie mitteilen, dass ein Scammer die Hosting-Dienste missbraucht. Einen E-Mail-Text auf Englisch, den Sie einfach kopieren und anpassen können, haben wir unter ct.de/y7pu verlinkt. Denken Sie daran, Screenshots von Website und Konversation anzuhängen.
Während unserer Recherchen für diesen Artikel haben wir sieben Kryptoscam-Websites auf diesem Weg offline genommen. Die Hoster haben rund 6 bis 24 Stunden gebraucht, um die jeweiligen Seiten abzuschalten – und die Scammer je zwei bis drei Tage, um eine neue einzurichten. Mit geschickter Konversationsführung können Sie den Scammern möglicherweise weismachen, dass Sie jetzt gerade keine Zeit haben, sich anzumelden, und das später machen, um sich dann über die nicht erreichbare Seite zu beschweren, wenn der Hoster diese gesperrt hat. Im Idealfall bekommen Sie dann die neue Domain und können die ebenso melden. Das hat bei uns in zwei Fällen geklappt, alle anderen Scammer/Betrüger wurden misstrauisch und verlangten von uns, doch bitte einen Screenshot des Kryptokontos zu übersenden.
Riskante Kleinanzeigen
Aufgrund der niedrigen Hürden zur Anmeldung haben Internetbetrüger auch das Verkaufsportal „Kleinanzeigen“, das ehemals zu eBay gehörte, sowie vergleichbare Mitanbieter entdeckt. Eine Zeit lang hatten die Schurken dort relativ freie Bahn, mittlerweile sind die Betreiber aber auf Zack und prüfen Meldungen flott.
Es gibt mehrere Eigenschaften, die auf ein betrügerisches Angebot hindeuten: Klicken Sie zunächst auf den Account und schauen Sie sich die anderen Anzeigen an. Hat der Verkäufer alle seine Angebote innerhalb weniger Minuten online gestellt, ist das auffällig; gleiches gilt für Preise, die weit unter den sonst üblichen liegen. Eine grobe Vorstellung können Sie entwickeln, indem Sie bei eBay (nicht Kleinanzeigen) einen Suchbegriff eingeben, oberhalb der Ergebnisse „Auktion“ auswählen und dann links in der Filterliste ganz unten bei „Nur anzeigen“ die „Beendete[n] Angebote“.
Anschließend vergleichen Sie die Texte der Anzeigen auf dem Account: Weichen Informationsgehalt und Grammatik von Anzeige zu Anzeige voneinander ab, steigt die Warnstufe. Unterscheiden sich Bildqualität und Hintergründe (Fußböden, Tische etc.) bei den Fotos ebenso, ist äußerste Vorsicht geboten. Sehr einfach gestrickte Scammer machen beispielsweise nur Screenshots von legitimen Angeboten und laden diese Bilder dann hoch. Das erzeugt jedoch häufig farbliche Auffälligkeiten und andere Kompressionsartefakte, die man gut erkennen kann. Nichtsdestotrotz sind das erst einmal nur Indizien.
Erhärten können Sie den Verdacht, indem Sie den Verkäufer des Produkts Ihrer Begierde anschreiben und etwa um eine Rechnung, ein weiteres Foto oder ein anderes, nicht in der Anzeige vorhandenes Detail bezüglich des Produkts bitten. Oft knicken die Scammer dann ein oder senden ungefragt anderes. Der Autor bekam auf der Suche nach einem Google Pixel 5 mehrfach Ausweisbilder zugeschickt, mit denen die Scammer Verlässlichkeit suggerieren wollten – auch diese Bilder waren geklaut.
In diesem Fall sollten Sie Screenshots der Konversation anfertigen, das Angebot an Kleinanzeigen melden und den Umstand der örtlichen Polizeidienststelle mitteilen, damit diese den Identitätsdiebstahl aufnehmen kann.
PayPal-Gefahr
Der Zahlungsdienstleister PayPal ist bei Kleinanzeigen beliebt, weil der Käuferschutz unabhängig von der gekauften Ware oder Dienstleistung genutzt werden kann. Doch Obacht: Registriert ein Betrüger den PayPal-Account in einem Land, in dem PayPal keinen Käuferschutz anbietet, können Sie auch keine geschützte Zahlung an das Konto tätigen. PayPal zeigt aber keine explizite Warnung an; das Pop-up mit der Frage nach der Natur der Zahlung bleibt schlicht aus und wenn Sie einmal zu oft klicken, ist das Geld weg.
Auf diese Weise hat auch der Autor schon einmal (kurzzeitig) 70 Euro verloren. Der Scammer hatte einen LTE-Router eingestellt und das Inserat war unauffällig. Nach der Bezahlung meldete der Scammer sich nur noch sporadisch und übersandte auch die versprochene Trackingnummer nicht.
Das Geld kam aber trotzdem zurück: Der Autor meldete den Fall PayPal und dokumentierte alle vom Scammer verwendeten Bilder und drohte diesem, bis in alle Ewigkeit dessen Angebote zu melden, wenn das Geld nicht zurückgebucht wird. Eine Woche und dutzende Meldungen später war das Geld wieder da – ob es von PayPal oder vom Scammer zurückgebucht wurde, hat der Autor aber nie erfahren.
Nicht übertreiben!
Das Internet ist voller Betrüger und wird es auch immer sein. Kriminelle ohne Moral, die kein Problem damit haben, Menschen das Geld aus der Tasche ziehen, gibt es schließlich zu Genüge.
Denken Sie daran, dass Sie die Welt nicht retten können, und verbringen Sie nicht zu viel Zeit damit, Betrügern das Leben schwer zu machen. Sie helfen schon, wenn Sie einfach nur den Betrugsversuchen nachgehen, denen Sie zufällig im Alltag begegnen. (amo@ct.de)
Hinweise, Beispiele, Behördeninformationen: ct.de/y7pu