Fußball-WM Falsche FIFA-Tickets im Netz

Pünktlich zum Start der Fußball-WM rollt eine neue Welle besonders gefährlicher Spam- und Phishing-Angriffe durch die E-Mail-Postfächer. Was die Nachrichten eint: Sie sind zu gut, um wahr zu sein.

Auf diesen Seiten wollen Betrüger Ihr Bankkonto plündern
Auf den ersten Blick sieht die Webseite aus wie die Seite einer Sparkasse. Wer genauer hinschaut und den Text auch liest, findet jedoch einige schräge Formulierungen. Da ist zum Beispiel die Rede davon, dass "nach Abschluss der Anweisungen zum Konto zu aktualisieren" der Online-Zugang wiederhergestellt werde. Rechtschreibfehler oder grammatikalische Ungenauigkeiten sind typisch für eine Phishing-Seite. Unter Phishing versteht der Bankenverband eine Methode, "bei der ein krimineller Angreifer die E-Mail-Adresse oder die Internetseite einer Bank und eines Dienstleisters vortäuscht". Betrüger bauen dabei Internetseiten von Banken oder auch Versandhändlern täuschend echt nach. Einziges Ziel: Die Kontodaten samt Geheimnummer (PIN), Code für eine Überweisung (Tan-Nummer) und Passwort abzusahnen (phishen). Statt an ihren Händler oder die Bank senden Kunden ihre Zugangsdaten dann an die Kriminellen. Und noch bevor der Kunde es merkt, ist sein Bankkonto geplündert. Wer zum Beispiel bei dieser nachgebauten Sparkassen-Seite oben auf den roten Kasten mit dem Pfeil klickt, landet auf einer Internetseite in Polen. Quelle: Screenshot
Dieses Formular ist dann zu sehen. Dort sollen Sparkassenkunden ihre PIN-Nummer eintippen. Keine Bank würde jedoch etwa per Email nach der PIN-Nummer fragen. Einen zusätzlichen Hinweis auf eine Phishing-Seite liefern in diesem Beispiel die Links. Wer auf das Impressum oder die Sicherheitshinweise klickt, kommt nicht weiter. Die Links funktionieren schlich nicht. Quelle: Screenshot
Die Daten von Kreditkarten sind für Betrüger besonders interessant. Um schneller zum Ziel zu gelangen, üben die Bösewichte Druck aus. Diese VISA-Betrüger etwa geben den Empfängern gerade mal zwei Tage Zeit. Am liebsten aber wäre es ihnen natürlich, wenn die Opfer ihre Karte sofort verifizieren (im Screenshot markiert). Quelle: Screenshot
Die Sparkasse Bielefeld warnt ganz aktuell in ihrem Blog vor Betrügern. Quelle: Screenshot
Die erkennt man dabei manchmal ganz einfach. Es fehlen schlicht Dinge, die auf einer echte Webseite vorhanden wären. Wie eine korrekte Seite ausschaut, macht eine Sparkasse auf ihrer Internetseite deutlich: Wichtig ist etwa das kleine Schloss-Symbol im Browser (siehe Screenshot).  Mehr Sicherheit biete außerdem das Verschlüsselungsmerkmal der URL https:// statt http://. Quelle: Screenshot
Die Sparkassen versuchen nun, die Sicherheit zu steigern, indem sie neue Technik einsetzen. So tauschten Sparkassen vor einigen Monaten die alten Tan-Listen auf Papier gegen das Chip-Tan-System aus. Eine Tan-Nummer ist der Sicherheitscode, mit dem ein Bankkunde eine Überweisung tätigen kann. Früher bekamen Kunden eine Liste mit Dutzenden Tan-Nummern zugeschickt. Heute wird dem Kunden die aktuelle Tan-Nummer für einen Überweisungsauftrag immer erst dann zur Verfügung gestellt, wenn er sie tatsächlich benötigt. Das Chip-Tan-System generiert immer wieder eine neue Tan-Nummer. Betrüger konnten Tan-Nummern früher einfacher abfangen und für eine Überweisung auf das eigene Konto nutzen. Mit dem neuen System soll es für sie nun schwieriger sein, Tan-Nummern abzufangen. Quelle: dpa
Geht es doch mal schief, müssen die Kunden mitunter haften. Der Bundesgerichtshof hat 2012 entschieden, dass ein Kunde, der auf einer gefälschten Webseiten seine Tan-Codes preisgibt, für den Schaden selbst aufkommen muss. Eine seit Herbst 2009 geltende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Doch auch heute dürfte es als fahrlässig gewertet werden, wenn jemand bedenkenlos mehrere Tan-Nummern auf einer fremden Webseite preisgibt. Die neue EU-Gesetzgebung vor, dass Kunden mit 150 Euro haften, wenn ein Betrüger seine Zahlungskarte missbraucht. Der Verband der Sparkassen teilte auf Anfrage mit, dass die Sparkassen über das gesetzliche Niveau hinaus gingen und ihren Kunden den vollen Schaden ersetzten, wenn der Kunde sorgfältig mit der Karte und der Geheimzahl (PIN) umgegangen ist. Beim Phishing, wo keine Bankkarte im Spiel ist, gilt laut Sparkassenverband folgendes: "Sobald ein Kunde sein Online-Banking gesperrt hat, haftet er nicht für eventuelle Schäden durch missbräuchliche Nutzung. Vor der Sperranzeige ist die Haftung auf 150 Euro begrenzt, sofern der Kunde seinen Sorgfaltspflichten entsprochen hat." Viele Karten kann man über den zentralen Sperrnotruf 116 116 sperren. Quelle: Fotolia

Man kann Hackern und Cyberkriminellen manches vorwerfen, nicht aber, dass ihnen Gespür für den optimalen Zeitpunkt ihrer Online-Attacken fehlt. So ist es kein Wunder, dass sich aktuell perfekt getimte Spam- und Phishing-Nachrichten unter die übliche Flut der gefälschten Telefonrechnungen, Gewinnbenachrichtigungen südeuropäischer Millionen-Lotterien und Kontaktanfragen afrikanischer oder asiatischer Multimilliardäre mischen: Jubelschreiben, die zum Gewinn exklusiver FIFA-VIP-Eintrittskarten zur heute beginnenden Fußball-WM gratulieren, beispielsweise. Oder gleich Tickets für komplette Kurztrips zum Finale. Oder wenigstens eines handsignierten WM-Balles vom Bundestrainer.

Nur ein Zweck
Dumm nur, dass alle eines eint - sie sind durchweg gefälscht und dienen nur dem Zweck, den Empfänger im Moment der Euphorie dazu zu bewegen, den mitgeschickten Dateianhang zu öffnen. Darin soll sich wahlweise, das begehrte Ticket, der Fluggutschein oder sonst irgendeine Verlockung verbergen. Tatsächlich aber steckt in den Dateien ein gefährlicher Programm-Code, der sich beim Öffnen - zumindest auf schlecht oder ungeschützten Rechnern - automatisch installiert. Anschließend protokolliert er Passwörter, PIN-Codes oder andere sensible Daten.

So lesen Deutsche Behörden mit

Anstatt eines angeblichen WM-Tickets holten sich Internet-Nutzer so beispielsweise schon den Cyberwurm Worm. VBS.Dinihou auf ihren Computer. Der öffnet auf dem Rechner eine sogenannte Backdoor, eine digitale Hintertür, über die Hacker unbemerkt vom Anwender in den PC eindringen und darüber beispielsweise weitere Spam-Mails verschicken oder andere Online-Angriffe lancieren können.

Unverdächtige Wirkung
Alternativ versuchen die Cyberkriminellen, ihre Opfer mithilfe von unverdächtig wirkenden Links in den E-Mails auf gefälschte Webseiten zu lotsen. Dort sollen die Fußball-Begeisterten Name, Adresse und Kreditkartendaten hinterlegen, um die begehrten Tickets oder Gewinne erhalten zu können. Stattdessen gehen die Online-Gangster mit den Daten ihrerseits im Netz auf Einkaufstour.
Besonders brisant an den jüngsten Attacken im WM-Umfeld: Offensichtlich ist es den Hackern gelungen, in den Besitz regulärer SSL-Kennzeichnungen von offiziellen Zertifizierungsstellen wie Comodo, EssentialSSL, Starfield oder Register.com zu kommen.

Mit deren Hilfe erreichen die Kriminellen, dass selbst gefälschte Webseiten im Browser als "sicher" angezeigt werden, warnt beispielsweise Fabio Assolini, Phishing-Experte beim Sicherheits-Dienstleister Kaspersky. Als Folge davon werden selbst Internetadressen mancher Phishing-Seiten mit dem eigentlich für Sicherheit stehenden Präfix "https" angezeigt. Alleine in Brasilien entdecken die digitalen Schädlingsvernichter aktuell 50 bis 60 neue Phishing-Seiten, die sich auf diese Weise den Anschein geprüfter Sicherheit geben.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Zwar aktualisieren die Anbieter von Schutzsoftware kontinuierlich ihre Filter. Deshalb sind regelmäßige, idealerweise mehrmals tägliche Updates der Programme eigentlich Pflicht. Aber blind sollte sich dennoch niemand auf die Qualität seiner Firewalls verlassen. Nicht umsonst mahnen Sicherheitsexperten, dass die größte Gefahr für die IT-Sicherheit nicht die gut gemachten Spitzelprogramme selbst sind, sondern die klickfreudigen Zeigefinger allzu unbedachter oder gieriger Onliner.

Insofern gilt auch für die ach so verlockenden Finaltickets, die plötzlich aus dem Posteingang winken: Was zu gut ist, um wahr zu sein, gehört ungelesen gelöscht. Anhand welcher Merkmale Sie Spam- und Phishing-Nachrichten außerdem erkennen und, wie Sie die Angriffsrisiken minimieren können, lesen Sie hier.

Dem Autor auf Twitter folgen:

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%