Junge Frau betrachtet Angebote in einem Online Fake Shop mit Kreditkarte in der Hand

29.05.2020


Fake Shops, Phishing & Co.: Wie Betrüger die Covid-19-Pandemie für sich nutzen

Die Covid-19-Pandemie sorgt für eine allgemeine Verunsicherung. Diese Situation nutzen Cyberkriminelle für ihre betrügerischen Methoden und versuchen, durch Phishing und Malware an sensible Daten ihrer Opfer zu gelangen.

Die aktuell notwendigen Maßnahmen zur Einschränkung von Corona bringen Menschen vermehrt dazu, online unterwegs zu sein – egal, ob zum Shopping, oder um mit Freunden und Familie in Kontakt zu bleiben. Laut einer repräsentativen Blitzumfrage der Marktforschungsplattform appinio1 geben 44 Prozent der Deutschen an, heute mehr im Internet zu surfen und 33 Prozent der Befragten im Alter von 16 bis 65 Jahren nutzen vermehrt die sozialen Medien. Mit den steigenden Nutzerzahlen in Deutschland steigt auch das Interesse und die Akzeptanz an Online-Geschäften. Diesen Trend in Verbindung mit der momentanen Unsicherheit der Verbraucher nutzen leider auch Cyberkriminelle für ihre betrügerischen Methoden aus: Durch Fake Shops, Phishing und Malware versuchen sie, an sensible Daten ihrer Opfer zu gelangen und damit Missbrauch zu betreiben.

Welche Maschen nehmen zu?

Fest steht laut Experten, dass es sich nicht um völlig neue Betrugsmaschen handelt. So warnen zum Beispiel Banken ihre Online-Kunden regelmäßig vor möglichen Phishing-Mails. Aktuell nutzen Betrüger die Pandemie-Situation aber ganz bewusst aus und passen ihre Methoden an. Die gängigsten Maschen im Internet sind dabei derzeit:

FAKE APPS

Apps, die keinerlei besondere Funktionen aufweisen und nur dazu dienen, die Nutzer auszuspionieren. Das Fatale: Sie sehen originalen Apps zum Verwechseln ähnlich. Hat der Nutzer die App installiert, verschafft diese sich umfangreichen Zugang zu gespeicherten Daten oder anderen Apps. Auch der Fernzugriff auf die Handykamera ist möglich. So können Kriminelle Fotos, Videos und Audioaufnahmen mitschneiden und für ihre Zwecke missbrauchen. Aktuelles Beispiel ist die Android-App „Corona Live 1.1“. Sie gibt vor die echte Corona Live-App des Robert-Koch-Instituts (RKI) zu sein.

FAKE SHOPS

Fake Shops sind betrügerische Online-Shops, die eine Zahlung mittels Vorauskasse verlangen und die versprochene Ware dann nicht liefern. Da im Einzelhandel derzeit ein hoher Bedarf an ausgewählten Produkten wie Handschuhen, Atemschutzmasken usw. herrscht, bieten diese Fake Shops genau diese Produkte zu Dumping-Preisen an. Geschädigte erhalten nach Bezahlung entweder gar keine oder minderwertige Ware. Aktuelle Beispiele sind, u.a. die Webseiten „Mimty.de“ oder „Shopping24.de“.

FAKE MAPS

Fake Maps ahmen Übersichtskarten zur Verbreitung von Covid-19 in Deutschland nach, enthalten aber eine versteckte Maleware. Das bedeutet, Betrüger bauen diese sogenannten Dashboards auf Fake-Webseiten nach. Darin verstecken sie ein Spyware-Programm, welches bei Verwendung der Seite, Benutzernamen, Passwörter, Kreditkartennummern und Browserdaten ausliest. Aktuelles Beispiel ist der Nachbau des viel genutzten Dashboard der JOHN-HOPKINS-Universität zur aktuellen Verbreitung von Covid-19.

PHISHING

E-Mails mit aktuellem Bezug zu Covid-19 sollen Nutzer dazu verführen, auf die E-Mails und ihre Inhalte – wie weiterführende Links, Bilder oder Dokumentanhänge – zu klicken. Vorgeschobene Gründe in diesen Phishing-Mails sind meist eine erneute Identifizierung oder verlockende Angebote für begehrte Waren. Öffnen die Leser diese Links oder Anhänge, aktiviert sich unbemerkt ein sogenanntes Makro, das Schadsoftwares nachlädt. Diese ermöglichen den Angreifern den vollen Fernzugriff auf den Computer.

Eine weitere neue Masche: Die Betrüger geben sich als Institutionen zur Beantragung von Soforthilfegeldern aus und fordern Betriebe per E-Mail dazu auf, unternehmensbezogene Informationen auf einer Website preiszugeben. Diese sensiblen Daten werden dann von den Kriminellen für deren Zwecke missbraucht.

Aktuelle Beispiele sind E-Mails von Bankinsituten oder dem Bundesamt für Gesundheit (BAG).

Was tun die Betrüger mit den gestohlenen Daten?

Die beschriebenen Methoden nutzen Betrüger gezielt, um über sogenannte „Account Takeover" (ATO) an die persönlichen Daten ihrer Opfer zu gelangen:

Meist wird das Konto des Betroffenen durch den Betrüger gehackt oder die korrekten Login-Daten wurden auf entsprechenden Marktplätzen im Darknet illegal erworben. Egal ob E-Mail, Bank- oder Onlineshop-Konto. Ziel ist es, Einkäufe zu tätigen, Geld zu überweisen, neue Konten zu erstellen oder an weitere Daten zu gelangen, die dann im Darknet weiterverkauft werden können.

Tipps für einen wirksamen Schutz vor Betrug im Internet

Datensparsamkeit im Netz

Überlegen Sie, wo es notwendig ist, sensible Daten, wie den vollständigen Namen, das Geburtsdatum oder die Adresse, anzugeben. Das gilt auch für soziale Netzwerke: Prüfen Sie Ihre angegebenen Daten und deren Sichtbarkeit für Dritte in den Sicherheitseinstellungen. Am besten platzieren Sie dort überhaupt keine sensiblen Daten. Wenn Sie solche Daten verschicken müssen, achten Sie auf eine Verschlüsselung, zum Beispiel mit der Ende-zu-Ende-Verschlüsselung und versenden Sie Daten immer getrennt voneinander.

Achtsamkeit bei E-Mails

Gerade bei E-Mails lohnt sich ein kritischer, zweiter Blick. Nutzer sollten keine E-Mails oder deren Anhänge von Absendern öffnen, die sie nicht kennen. Gleiches für E-Mails in gebrochener Sprache oder mit vielen Rechtschreibfehlern. Ein weiteres Indiz für Phishing können die Endungen mitgesendeter Dateien sein: Enden diese auf „.pif“, „.exe“ oder „.bat“, sollten Mails direkt und ungelesen gelöscht werden.

Knifflig wird es bei Phishing-E-Mails: Sie ahmen das vertraute Design eines etablierten Unternehmens nach oder nutzen sogar Ihnen bekannte E-Mail-Adressen. Ist eine solche E-Mail gut gefälscht, fällt es oft schwer, dies zu erkennen. Im Zweifelsfall gilt immer: Sich im Netz informieren oder nachfragen, ob derzeit E-Mails von betreffenden Unternehmen oder Bekannten verschickt wurden. Meist stellen Verbraucherzentralen oder Unternehmen sogar Informationen zu aktuellen Phishing-Fällen auf ihren Webseiten zur Verfügung.

Informieren über Apps und Online-Shops

Bevor Sie etwas bestellen oder herunterladen wollen, lesen Sie sich Erfahrungsberichte über die Seiten oder Apps im Internet durch. Seien Sie besonders vorsichtig bei Angeboten, die zu gut sind, um wahr zu sein und vergleichen Sie Preise mit anderen Anbietern. Für Android-Nutzer gilt besonders: Laden Sie am besten nur Apps über den Google Play Store oder informieren Sie sich über vertrauenswürdige Alternativen.

Sichere Passwörter

Verwenden Sie keine einheitlichen, leicht zu erratenden Passwörter für verschiedene Online-Dienste, sondern immer einen Code, der lang und komplex ist. Aktivieren Sie zudem, wenn möglich, die Zwei-Faktor-Authentifizierung durch PIN, Fingerabdruck oder Gesichtserkennung als zusätzliche Sicherheitskomponente. Aktuelle Empfehlungen zur Vergabe von sicheren Passwörtern gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) heraus.

Virenschutz und Betriebssystem auf dem aktuellen Stand halten

Installieren Sie eine Firewall und Anti-Viren-Software, denn diese sind notwendig, um sich vor Hackerangriffen und Trojanern zu schützen. Auch wichtig: Führen Sie die regelmäßigen Updates dieser Programme durch und halten Sie Betriebssysteme von Computer, Smartphone, Tablet & Co. aktuell.

Hilfe für Opfer von Identitätsbetrug

Kriminelle Aktivitäten mit gestohlenen Identitäten nehmen zu: Die SCHUFA bietet einen kostenlosen Service für Personen, die bereits Opfer von Identitätsmissbrauch geworden sind. Diese können sich bei der SCHUFA aktiv melden und mit einem speziellen Eintrag vor Wiederholungsbetrug schützen lassen. Wie die Einmeldung funktioniert, lesen Sie hier.

Möchten Sie sich über aktuelle Betrugsmaschen informieren, diese melden oder sind bereits Opfer von Identitätsmissbrauch geworden, helfen Ihnen folgende Anlaufstellen:

  • Der Bundesverband der Verbraucherzentralen (VZBV) oder die entsprechenden Zentralen der Länder. Informationen finden Sie auf: www.verbraucherzentrale.de. Möchten Sie verdächtige E-Mails oder Webseiten melden, schicken Sie Ihre Hinweise an: phishing@verbraucherzentrale.nrw.
  • Direkte Hinweise zu Fake Shops, überteuerten Angeboten von Hygieneartikeln oder anderen Betrugsmaschen können Sie auch zentral bei den Marktwächtern, einer Initiative aller Verbraucherzentralen in Deutschland, eingeben. Weitere Informationen dazu, finden Sie hier.
  • Haben Sie den Verdacht oder sind bereits selbst Opfer von Identitätsmissbrauch geworden, können Sie sich aktiv bei der SCHUFA melden, um sich vor Wiederholungsbetrug zu schützen. Dieser Dienst ist völlig kostenlos. Wie die Einmeldung funktioniert, lesen Sie hier.
  • Datenklau kann jeden treffen, der sich im Internet bewegt: Den falschen E-Mail-Anhang geöffnet, eine gefälschte Nachricht im Messenger angeklickt oder die Zugangsdaten auf einer manipulierten Seite eingegeben – und schon haben Kriminelle Zugang zu Ihren persönlichen Informationen. Mehr Informationen zu wirksamen Maßnahmen zum Schutz Ihrer Identität und persönlichen Daten im Internet finden Sie auch hier.

Identitätsschutz: SCHUFA-Lösungen für Verbraucher