«Social Engineering» – die raffinierten Tricks des Online- und Telefonbetrugs.

Bei «Social Engineering» geht es um die menschliche Beeinflussung einer Person mit betrügerischen Absichten. Das zeigt sich in immer neueren Varianten. Was steckt dahinter? Und wie kann man sich schützen? Die Betrüger versuchen mit allen Social-Engineering-Tricks, die zuverlässig funktionierenden technischen Sicherheitssysteme der Banken zu überlisten. Im Fokus sind Angst, Zeitdruck, Neugier oder Gutgläubigkeit. Dabei manipulieren Kriminelle ihre potenziellen Opfer und bringen sie dazu, Geld zu senden oder sensible Daten preiszugeben (PINs, Passwörter, Konto- oder Kredit- und Debitkarten-Nummern). Mit den erschlichenen Daten lassen sich dann die Sicherheitssysteme umgehen – Stichwort «Identitätsdiebstahl» und «Account Takeover».

 

Phishing

Beim Phishing wird mit gefälschten E-Mail-Nachrichten versucht, persönliche Zugangsdaten zu Konten, Kennwörter oder Kredit- oder Debitkartendaten «abzufischen». Die E-Mails täuschen einen legitimen Grund mit dringendem Handlungsbedarf vor. Beispiele sind: «Ihr Konto wurde vorübergehend gesperrt» oder «Sie müssen Ihre Zugangsdaten aktualisieren». Die Opfer werden aufgefordert, auf einen Link zu klicken und dort die entsprechenden Zugangsdaten einzugeben. Auf den gefälschten, aber täuschend echt aussehenden Webseiten werden diese Daten von Kriminellen abgegriffen, um diese danach betrügerisch einzusetzen. Oftmals beinhalten die «Phishing-E-Mails» auch schädliche Anhänge, die den Betrügern beim Öffnen der Anhänge weiteren Zugang zu wertvollen Daten liefern.

«Smishing» und «Vishing»: Betrug per SMS oder Telefon

Nicht alle Angriffe werden über E-Mail-Nachrichten abgewickelt. Beim Smishing erfolgt die Kontaktaufnahme über SMS mit der Aufforderung, einem Link zu folgen oder eine Telefonnummer anzurufen. Dabei soll beispielsweise das Konto «geprüft» werden. Der Link führt zu einer gefälschten Webseite oder zu einem Anruf bei einer Person, die sich als vermeintliches Teammitglied eines tatsächlich existierenden Unternehmens ausgibt. Beim Vishing erfolgt der Kontakt über einen Telefon-Anruf. Die Anruferin oder der Anrufer wirkt sehr vertrauenswürdig und gibt vor, vermeintliche (Sicherheits-)Probleme lösen zu müssen, wofür die Daten der Kunden gebraucht werden. Sie geben sich dabei als Mitarbeitende eines existierenden Unternehmens aus. Auf mögliche Einwände und Zweifel reagieren sie glaubwürdig und mit verständlichen Argumenten.

«Phishing» debiX+ Beispiel – Was ist passiert und wie werden solche Fälle behandelt?

Im Rahmen von debiX gibt es zwei verschiedene Arten von Phishing:

• Kartendatendiebstahl

• debiX+ Account Takeover

In beiden Fällen verschickt die Täterschaft klassische Phishing-E-Mails an verschiedene E-Mail-Adressen, die in der Regel irgendwo erworben wurden, und hofft darauf, dass sich darunter potenzielle Nutzerinnen und Nutzer von Debit- und Kreditkarten befinden. 

Beim Kartendatendiebstahl werden die Empfängerinnen und Empfänger in der E-Mail-Nachricht aufgefordert, die Kartendaten (PAN, CVC, Ablaufdatum) bekannt zu geben. Ziel des Angriffs ist das Abfangen von Kartendaten und nicht die Übernahme der debiX+ App. Danach versucht die Täterschaft:

• Die Karte in einem Wallet (z. B. Apple Pay) zu hinterlegen.

• Mit den Kartendaten online einzukaufen.

Beim Account Takeover werden die Empfängerinnen und Empfänger in der E-Mail-Nachricht aufgefordert, sich unter einem Vorwand in die debiX+ App einzuloggen. Dabei werden Benutzername und Passwort abgegriffen. Die Täterschaft loggt sich dann mit den Daten in die debiX+ App ein. Die Nutzerin oder der Nutzer der debiX+ App erhält anschliessend einen SMS-Code mit der Aufforderung, diesen Code in der gefälschten Web-Maske einzugeben. Mit diesem Code kann sich die Täterschaft erneut in die debiX+ App einloggen. Danach versucht die Täterschaft, die Karte in einem Wallet (z. B. Apple Pay) zu hinterlegen (Provisionierung aus der App) beziehungsweise mit den in der App ersichtlichen Kartendaten online einzukaufen und die Transaktion im 3-D-Secure-Verfahren freizugeben. Erfahrungen zeigen, dass jede Phishing-Welle in den ersten Tagen eine hohe Intensität aufweist (viele E-Mails werden verschickt) und nachher abebbt.

Wie werden solche Phishing-Fälle behandelt?

Bei Verdacht auf «Phishing» leitet SIX sofort intensive Untersuchungsmassnahmen ein. Die Ergebnisse dieser Analysen und die getroffenen Massnahmen werden der Glarner Kantonalbank und den Finanzinstituten im Allgemeinen per E-Mail mitgeteilt. Die Betreiber der immer neu auftauchenden Internet-Hosts mit den Phishing-Seiten werden kontaktiert und über die Betrugsversuche informiert. SIX fordert diese auf, die betrügerischen Webseiten zu löschen. 

Wenn nötig, gibt es Einschränkungen in der debiX+ App, sodass gewisse Funktionen nicht mehr zur Verfügung stehen. Zudem kann SIX bei Bedarf den Funktionsumfang für Karteninhaber kurzfristig limitieren oder weitere Massnahmen umsetzen.

Da die Fraud-Überwachung laufend diverse suspekte Transaktionen detektiert, können Gegenmassnahmen geplant werden. Die finanziellen Auswirkungen über den Gesamtmarkt betrachtet sind aufgrund dieser Anstrengungen vor dem Hintergrund der Vorteile des Zahlungssystems verkraftbar – für jeden Betroffenen aber selbstverständlich teils gravierend.

 

Wieso kommt es zu solchen Phishing-Fällen? Sind die Systeme und Services von SIX und die debiX+ App sicher? Wieso schützen sie nicht erfolgreich gegen Phishing?

Phishing-Angriffe sind leider Bestandteil des Umfelds für E-Commerce-Zahlungen und eine konstante Bedrohung, der alle Marktteilnehmer ausgesetzt sind. Alle IT-Services und -Systeme von SIX, wie auch die debiX+ App, unterliegen regelmässigen Prüfungen und Audits und gelten als robust und sicher.

Bei klassischen Phishing-Fällen sind nicht die Systeme von SIX das Ziel, sondern die Täterschaft zielt auf die Nachlässigkeit oder Gutgläubigkeit der Empfängerinnen und Empfänger und hofft, dass diese auf die Aufforderung hereinfallen. Nur der Mensch – also die Empfängerin oder der Empfänger von Phishing-Nachrichten – kann mit dem entsprechenden Verhalten dieser Bedrohung entgegenwirken.

 

Wer haftet im Schadenfall?

Die Einhaltung der Sorgfaltspflichten der Karteninhaberinnen und Karteninhaber ist hier entscheidend. In der Regel hängt die Haftung von der Art des Vorfalls ab. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet meistens die Karteninhaberin oder der Karteninhaber. Je nach Art der Transaktion (z. B. non Secure) kann diese u. U. zurückbelastet werden (Beanstandungsformular) und die Kundin oder der Kunde wird so schadlos gehalten. 

Häufig kann sich die Karteninhaberin oder der Karteninhaber nicht mehr an den Vorfall (z. B. Phishing-E-Mail) erinnern – ein Ziel der Täterschaft ist es ja, dass die Angriffe möglichst unverdächtig alltäglich erscheinen. Ein Hacking der SIX- oder Bank-Systeme kann jedoch höchstwahrscheinlich ausgeschlossen werden. Die Täterschaft ist also immer auf eine fahrlässige Verletzung der Sorgfaltspflicht durch die Karteninhaberin oder den Karteninhaber angewiesen.

 

Wie funktioniert die Betrugserkennung?

Aus Sicherheitsgründen werden die Funktionsweise und das Regelwerk der Betrugserkennung von SIX nicht kommentiert. Das System zielt darauf, Verluste aufgrund von Betrug zu limitieren. Bei verdächtigen Transaktionen kann deshalb die Transaktion abgelehnt oder sogar die Karte blockiert werden. Allerdings lässt sich die Sorgfaltspflicht der Karteninhaberin oder des Karteninhabers nicht an ein System delegieren. Es ist daher zwingend notwendig, dass Karteninhaberinnen und Karteninhaber Missbräuche feststellen, melden und sicherstellen, dass Dritte nicht in Kenntnis der sensitiven Kartendaten und Login-Informationen kommen.

 

Wie hat sich in den vergangenen Jahren die Art der Betrugsversuche verändert?

Die Qualität der Phishing-Attacken hat sich stark verbessert. Die falschen Webseiten und die betrügerischen E-Mail-Kommunikationen haben mittlerweile ein professionelles Auftreten, was Design und Sprache anbelangt. Darum ist es immer schwieriger, diese als Betrug zu erkennen. Dank der Zusammenarbeit von Polizei, Finanzinstituten und Massenmedien kann die Bevölkerung schnell auf Phishing-Wellen reagieren und Betrüger demaskieren. Die Bevölkerung ist auf Kartenbetrug sensibilisiert und schützt sich daher besser davor. Darum erfinden die Betrüger immer neue Tatvorgehen. Sie verwenden zum Beispiel Telefonanrufe, personalisieren die E-Mail-Nachrichten und Links sowie ersetzen Massenangriffe mit spezifischen Attacken, die an kleinere Zielgruppen adressiert und daher effizienter sind.

 

Das könnte Sie auch interessieren