Obwohl zahlreiche Faktoren Ihre persönlichen Daten gefährden können (z.B. Datenlecks), existieren Präventivmaßnahmen, die Sie selbst ergreifen können, um jene Risiken zu minimieren, die unter Ihrer Kontrolle stehen. Doch wie umgeht man die gängigen Betrugsmaschen des Identitätsdiebstahls? Wir erklären Ihnen, worauf Sie achten sollten und wie Sie sich am besten schützen können.
Eine Studie aus dem Jahr 2018 von Javelin Strategy and Research ergab, dass 2017 16,7 Millionen Opfer von Identitätsbetrug gemeldet wurden, was einen Höchststand im Vergleich zum Vorjahr darstellte – und alles deutet auf eine Fortsetzung dieses Trends hin. Allein in diesem Jahr wurden US-Bürger um bis zu 16,8 Milliarden Dollar betrogen. Kriminelle nutzen ausgeklügelte Betrugssysteme und hinterlassen eine Vielzahl von Opfern. Es ist daher wichtiger denn je, auf Betrugsversuche zu achten, die Ihre persönlichen Daten stehlen könnten. Im Folgenden erfahren Sie, wie Sie das tun können.
Verbreitete Betrugsarten beim Identitätsdiebstahl
Da Betrug eine weitgehend vermeidbare Ursache für Identitätsdiebstahl darstellt, können Sie viele Betrugsversuche unterbinden, sofern Sie wissen, worauf Sie achten müssen. Betrug tritt in vielerlei Formen auf, wobei einige häufiger vorkommen als andere. Von Phishing über Hacking in öffentlichen WLANs, Skimming an Tankstellen bis hin zu gefälschten Telefonanrufen und Jobangeboten – die Möglichkeiten sind vielfältig. Betrachten wir diese einmal genauer.
1. Skimming von Kredit- und Debitkarten
Sogenannte „Skimmer“ sind Geräte, die Diebe an Automaten anbringen, durch die Sie Ihre Kredit- oder Debitkarte ziehen – Geldautomaten, Tankstellen und sogar Schnellrestaurantkassen. Jedes Mal, wenn eine Karte durchgezogen wird, werden die Daten des Magnetstreifens gestohlen und gespeichert, um später eine geklonte Karte zu erstellen. Manche Betrüger installieren sogar Kameras an den Automaten, um zu sehen, wie Sie Ihre PIN eingeben – so erhalten sie sowohl Ihre Kartennummer als auch Ihre PIN und können Ihr Konto vollständig plündern.
2. Öffentliches WLAN
Öffentliches WLAN, wie es beispielsweise an Flughäfen zu finden ist, ist meist ungesichert. Dies bedeutet, dass alle Ihre Aktivitäten vom Betreiber des Netzwerks und von Hackern beobachtet werden können, sobald Sie sich damit verbinden. So können Hacker relativ einfach an Ihre Benutzernamen und Passwörter sensibler Konten, wie z.B. Ihres Bankkontos, gelangen.
3. Phishing
Phishing ist die am weitesten verbreitete Methode des computergestützten Identitätsdiebstahls. Diese Betrugsversuche werden über verschiedene Medien wie SMS, E-Mails, Telefonanrufe und soziale Netzwerke verbreitet – doch alle verfolgen das gleiche Ziel: Sie zur Preisgabe persönlicher Informationen zu bewegen. Jede Methode hat einen anderen Namen, den wir im Folgenden einzeln aufschlüsseln:
4. Pharming
Pharming tritt auf, wenn Hacker die Hostdatei oder den Domainnamen einer Website manipulieren, sodass Sie beim Anklicken eines Links oder der Eingabe einer URL auf eine gefälschte „Spoof“-Website umgeleitet werden, die der eigentlich gewünschten Website täuschend ähnlich sieht. Wenn Sie nun Ihre persönlichen Daten (Kreditkartennummern, Sozialversicherungsnummer, Adresse usw.) eingeben, haben Sie Ihre Identität bereitwillig an den Hacker weitergegeben, der diese nach Belieben nutzen kann.
5. Vishing
Dies ist ein Kunstwort aus „Voice Phishing“. Dabei kontaktiert ein Betrüger Sie telefonisch und gibt sich als Mitarbeiter einer seriösen Organisation wie dem Finanzamt, einer anderen Behörde, einem Finanzinstitut, einem Zahlungsdienstleister oder einem anderen bekannten Unternehmen aus. Eine andere Vishing-Methode sind Robo-Anrufe, also aufgezeichnete Nachrichten, die Sie auffordern, eine angegebene Notfallnummer anzurufen, um persönliche Informationen oder Kreditkartendaten preiszugeben.
Einige Beispiele für Unternehmen oder Anliegen, die für solche Betrugsversuche genutzt werden können:
Technischer Support, der wegen eines Problems mit Ihrem Computer/Tablet anruft.
Behauptungen, Sie schulden dem Finanzamt Geld.
Die Behauptung, Sie hätten einen Preis gewonnen, müssten aber Gebühren zahlen, um ihn zu erhalten.
Ein Freund oder Verwandter, der angeblich in Schwierigkeiten ist und Ihre Hilfe benötigt.
Ein Energieversorger.
Wohltätigkeitsorganisationen, die um Spenden bitten.
„Wir müssen nur“ Ihre persönlichen Daten bestätigen.
6. Suchmaschinen-Phishing
Bei dieser Art des Phishings erstellen Diebe Websites mit Angeboten, die „zu gut sind, um wahr zu sein“. Diese Seiten werden dann bei Google gut platziert, sodass Nutzer sie im Rahmen ihrer üblichen Internetrecherchen finden. Sobald Sie auf einer solchen Website landen, können Ihre persönlichen Daten verloren gehen, wenn Sie versuchen, die angepriesenen Angebote zu nutzen.
Beispielsweise wirbt ein Elektronikhändler mit einem 55-Zoll-4K-Fernseher für 429,99 Dollar, und Sie finden eine Website, die denselben Fernseher für 99,99 Dollar anbietet.
7. SMiShing
Diese Art des Phishings erfolgt über Textnachrichten, die scheinbar von einem Finanzinstitut oder einer anderen seriösen Organisation stammen. Die Nachrichten sind in der Regel dringlich formuliert und versuchen, Sie zu beunruhigen, indem Sie glauben, finanzielle Verluste oder andere Kosten zu erleiden, falls Sie nicht reagieren. Normalerweise ist ein Link in der Nachricht enthalten, über den Sie zur Eingabe persönlicher Informationen aufgefordert werden.
8. Malware-basiertes Phishing
Malware-Phishing tritt auf, wenn ein Betrüger ein Schadprogramm an E-Mails, Websites oder elektronische Dokumente anhängt, die ansonsten nützlich und harmlos erscheinen. Sobald Sie den Anhang öffnen, setzt die Malware Keylogger und Screenlogger ein, um alles zu verfolgen und aufzuzeichnen, was Sie auf Ihrem Computer oder Gerät tun – von Tastatureingaben bis zu Website-Besuchen. Die Malware sendet diese Informationen dann an den Betrüger, der Ihre Bewegungen in Echtzeit verfolgen und Benutzernamen und Passwörter entwenden kann.
Ein ernstes Beispiel ist eine E-Mail, die scheinbar von Norton Anti-Virus, dem Unternehmen für Internetsicherheit, stammt. Sie werden darin aufgefordert, einen aktualisierten Webbrowser zu installieren – aber in Wirklichkeit laden Sie Malware herunter, sobald Sie auf den Link klicken und den aktualisierten Browser installieren.
9. Spam-basiertes Phishing
Jeder hat schon einmal Spam erhalten. Wenn Sie ein E-Mail-Konto haben, ist es sehr wahrscheinlich, dass Sie Spam erhalten haben, ob Sie es bemerken oder nicht. Bei dieser Betrugsmasche erhalten Sie wiederholt Spam-E-Mails mit Angeboten für Stipendien, Geschäftspartnerschaften, kostenlose Produkte, „Matches“ von gefälschten Dating-Websites und vieles mehr. Diese E-Mails können sich als Organisationen ausgeben, denen Sie angehören. Auch hier ist das Ziel wie immer, Sie zur Eingabe Ihrer persönlichen Informationen zu veranlassen.
10. Spear-Phishing
Spear-Phishing ähnelt E-Mail- oder Spam-Phishing, hat aber einen entscheidenden Unterschied: Es zielt auf Unternehmen ab. Jede E-Mail wird an nahezu jeden Mitarbeiter einer Organisation geschickt und so formuliert, dass sie von einer internen Abteilung, wie der IT oder der Personalabteilung, zu stammen scheint. Es kann von jedem Mitarbeiter verlangt werden, seinen Benutzernamen und sein Passwort „zu Verifizierungszwecken“ zu senden.
11. Man-in-the-Middle-Angriffe
Bei dieser Betrugsart wird die Kommunikation zwischen Ihnen und einer anderen Partei abgefangen, ohne dass eine Partei davon Kenntnis hat. Der Betrüger zeichnet die Informationen auf und verwendet diese, um auf Ihre Konten zuzugreifen. Ein typisches Beispiel ist der Zugriff auf eine Website wie Ihr Bank- oder Kreditkartenkonto. Wenn Sie auf den Link klicken, werden Sie zur Website weitergeleitet – aber nicht wirklich: Die Website leitet Sie in Wirklichkeit auf eine andere Website um, die der von Ihnen gewünschten sehr ähnlich sieht. Würden Sie sich die URL ansehen, würde diese wie folgt aussehen:
https://www.attacker.com/https://www.server.com
Alle Informationen (Benutzername, Passwort, Verifizierungsinformationen), die Sie auf dieser Website eingeben, werden zur Website des Finanzinstituts umgeleitet, und die Informationen der Website des Finanzinstituts werden an Sie zurückgeleitet.
Während Sie wie gewohnt Ihre Angelegenheiten erledigen, beobachtet der Dieb unbemerkt Ihre persönlichen Daten von der „Man-in-the-Middle“-Website, die er zwischen Sie und die eigentlich aufgerufene, legitime Website geschoben hat. Dies ähnelt dem Pharming, wobei hier jedoch tatsächlich Informationen zwischen Ihnen und der eigentlich angefragten Website ausgetauscht werden.
So vermeiden Sie diese Betrugsversuche
Die Vermeidung solcher Betrugsversuche ist nicht kompliziert, wenn man weiß, worauf man achten muss. Geben Sie keine persönlichen Informationen online, telefonisch oder auf andere Weise weiter, es sei denn, Sie können die Legitimität verifizieren. Doch gerade die Verifizierung erfordert etwas Übung und einige Ratschläge, worauf man achten sollte. Bevor wir darauf eingehen, noch ein allgemeiner Ratschlag: Auch wenn Sie die Vorschläge in diesem Abschnitt befolgen, überprüfen Sie regelmäßig Ihre Kreditberichte. So können Sie erkennen, ob es unrechtmäßige Aktivitäten gibt, und schnell Maßnahmen ergreifen. Jede der drei großen Kreditauskunfteien (Experian, TransUnionund Equifax) bietet einen kostenlosen jährlichen Kreditbericht an. Verteilen Sie diese über das Jahr, sodass Sie alle vier Monate einen kostenlosen Bericht erhalten.
Betrachten wir nun, wie Sie jede der oben genannten Betrugsmaschen vermeiden können.
Skimming
Der naheliegendste Weg, Skimming von Kredit- und Debitkarten zu vermeiden, ist, diese Karten schlicht nicht zu benutzen. Verwenden Sie stattdessen Bargeld oder Prepaid-Karten. Doch wir wissen, dass dies nicht immer praktikabel ist. Achten Sie daher auf ein paar Dinge: Wenn ein Teil des Automaten andersfarbig oder aus einem anderen Material ist, könnte es sich um einen Skimmer handeln. Wenn etwas locker oder schlecht befestigt aussieht, kann es sich ebenfalls um einen Skimmer handeln. Manche Tankstellen bringen sogar einen Aufkleber an, der eine Nahtstelle in der Nähe des Kartenlesegeräts überdeckt. Es ist ratsam, einen beschädigten Aufkleber zu melden, da dies auf einen Skimmer hindeuten kann. Für einige Beispiele besuchen Sie diese Galerie. Und vergessen Sie nicht, die Tastatur abzudecken – falls Kameras vorhanden sind, verhindern Sie so deren Sicht auf Ihre PIN.
Öffentliches WLAN
Wenn Sie die Nutzung öffentlicher WLANs nicht vermeiden können, sollten Sie keine persönlichen Daten eingeben oder Websites besuchen, die sensible Informationen enthalten, wie z.B. Ihre Bank- oder Kreditkonten. Stellen Sie sicher, dass eine gute Antiviren- und Anti-Malware-Software auf Ihrem Gerät installiert ist, und erwägen Sie die Investition in ein gutes VPN. Ein VPN verschlüsselt Ihre Informationen und hilft Ihnen, sich vor potenziellen Identitätsdieben zu schützen.
Phishing
Zur Verhinderung von Phishing-Betrug gibt es zwei grundlegende Punkte, die Sie sich merken sollten: Achten Sie auf die URL und geben Sie niemals persönliche Informationen weiter, ohne die Identität der Sie kontaktierenden Stelle zu überprüfen. Hier nun spezifische Tipps für jede Phishing-Methode:
Pharming:
Achten Sie bei Händlerseiten auf das „Vorhängeschloss“-Symbol am unteren rechten Rand der Bildlaufleiste der Website. Dieses Symbol signalisiert, dass die Seite sicher und nicht gefälscht ist. Wenn Sie eine Organisations- oder Verbandsseite besuchen, sollten Sie den Administrator telefonisch oder per E-Mail kontaktieren, um zu überprüfen, ob die angeforderten Informationen tatsächlich benötigt werden.
Vishing:
Seien Sie bei unerwünschten Anrufen immer misstrauisch. Verwenden Sie die im Display angezeigte Rückrufnummer für eine umgekehrte Telefonnummernsuche (dies ist hier möglich). Wenn Sie das Unternehmen identifiziert haben, das Sie angerufen hat, rufen Sie die offizielle Nummer von der Unternehmenswebsite an, nicht die Nummer, von der Sie angerufen wurden. So umgehen Sie den potenziellen Betrüger und sprechen mit einer Person des seriösen Unternehmens. Fragen Sie das Unternehmen, ob die Anfrage legitim war.
Sie können sich auch in die „Do Not Call Registry“ eintragen, um die Anzahl der eingehenden Anrufe zu reduzieren.
Suchmaschinen-Phishing:
Informieren Sie sich über das Unternehmen, bevor Sie Informationen angeben oder etwas von der Website herunterladen. Wenn Sie noch nie davon gehört haben, sollten Sie Mitbewerber kontaktieren, um die Rechtmäßigkeit der angebotenen Leistungen zu hinterfragen. Wenn Sie etwas kaufen wollen, achten Sie erneut auf das Vorhängeschloss-Symbol unten rechts in der Bildlaufleiste. Sie können auch Scambusters.org nutzen, um die Legitimität einer Website zu überprüfen.
SMiShing:
Rufen Sie zunächst nicht zurück. Dadurch erhält der Betrüger nur mehr Informationen für die Zukunft. Gehen Sie stattdessen wie beim „Vishing“ vor.
Malware-basiertes Phishing:
Seien Sie vorsichtig, bevor Sie Programme aus dem Internet herunterladen oder installieren. Erwägen Sie, das Unternehmen oder die Organisation auf normalem Wege zu kontaktieren. Wenn Sie ein Angebot per E-Mail erhalten, antworten Sie nicht; auch hier geben Sie dem Angreifer mehr Informationen.
Spam-basiertes Phishing:
Suchen Sie bei Google nach dem beworbenen Angebot oder wenden Sie sich zur Überprüfung an das Unternehmen. Sie können auch die Seiten antiphishing.org und spamhaus.org besuchen, um zu prüfen, ob eine Website im Verdacht steht, Phishing-Angebote zu versenden.
Spear-Phishing:
Antworten Sie nicht. Wenden Sie sich an Ihren Netzwerkadministrator oder an die Person, die die E-Mail angeblich gesendet hat. Benachrichtigen Sie auch Ihre Vorgesetzten und Kollegen.
Man-in-the-Middle-Angriffe:
Dies ist recht einfach: Überprüfen Sie die URL der Website, die Sie besuchen. Wenn sie verdächtig aussieht, schließen Sie den Browser sofort.
So erkennen Sie, ob Sie betrogen wurden
Es gibt einige leicht erkennbare Anzeichen dafür, dass Sie Opfer von Identitätsdiebstahl geworden sind:
- Auf Ihrem Gerät werden unerwartet Pop-ups angezeigt, in denen Sie gefragt werden, ob Sie die Ausführung von Software zulassen möchten.
- Sie können sich nicht mehr in Ihre Konten in sozialen Medien, E-Mail-Konten oder andere Konten einloggen, oder Ihr Profil wurde von einem ungewöhnlichen Ort aus angemeldet.
- Willkürlich verschwindet Geld von Ihrem Bankkonto.
- Sie erhalten Belastungen auf Ihren Kreditkarten, die Sie nicht getätigt haben.
- Ihnen wird ein Finanz- oder Kreditantrag abgelehnt, oder Ihre Kreditkarte wird abgelehnt.
- Sie erhalten Rechnungen, Quittungen oder andere Post für Produkte oder Dienstleistungen, die Sie nicht erhalten haben.
- Sie erhalten neue Anfragen zu Ihrer Kreditauskunft von Unternehmen, denen Sie keine Genehmigung erteilt haben.
Was tun, wenn Sie betrogen wurden?
Wenn Sie vermuten, dass Sie Ihre Kontodaten oder andere persönliche Informationen an einen Betrüger weitergegeben haben, oder wenn Sie einige der Warnzeichen im vorherigen Abschnitt erkennen, sollten Sie schnell handeln. Wenden Sie sich umgehend an alle zuständigen Stellen – also Ihre Bank, Ihr Finanzinstitut und alle anderen Stellen, auf die Sie mit den weitergegebenen Informationen zugreifen können. Sie können sich auch an iDcare wenden. Dies ist ein staatlich finanzierter Dienst, der gemeinsam mit Ihnen einen auf Ihre Situation zugeschnittenen Handlungsplan entwickelt und Hilfe leistet. Sie können ihre Webseite besuchen oder sie unter 1300 IDCARE (432273) telefonisch erreichen.
Fazit
Betrug gibt es leider überall. Viele Menschen sind schon auf vermeintlich seriöse Angebote hereingefallen und wurden in der Folge Opfer von Identitätsdiebstahl. Glücklicherweise gibt es recht einfache Möglichkeiten, wie Sie die vielen verschiedenen Arten von gängigen Betrugsmaschen vermeiden können. Vermeiden Sie es, Teil der fast 17 Milliarden Dollar schweren Identitätsdiebstahl-Industrie zu werden, indem Sie auf die hier beschriebenen Betrugsmaschen achten und auf der sicheren Seite bleiben.
Wurden Sie oder jemand, den Sie kennen, Opfer eines dieser Identitätsdiebstahl-Betrugsversuche? Welche? Was ist passiert? Teilen Sie Ihre Erfahrungen im Kommentarbereich.