Betrugsversuche erkennen und Schaden vermeiden
Was sich hinter diesen Begriffen versteckt, ist leider wenig belustigend, eher erschreckend. Denn eines haben alle gemeinsam, Ihre Daten und Ihr Geld zu stehlen.
Damit Sie nicht auf diese Betrugsmaschen hereinfallen, informiert die KV Sachsen Sie regelmäßig über aktuelle Wellen von Betrugsversuchen mit Beispielen und Möglichkeiten, diese zu erkennen und damit wirkungslos zu werden.
Was ist Spam?
Spam – nicht nur lästig, sondern auch gefährlich
Viele Spam-E-Mails haben als Anhang Schadsoftware im Gepäck. Öffnen Sie daher bei unbekannten Absendern niemals den E-Mail-Anhang. Außerdem enthält der Text von Spam-E-Mails oftmals einen Link, der auf eine kompromittierte Website führt: Ein unachtsamer Klick öffnet dann im Browserfenster eine gefälschte Webseite, die mit Schadsoftware infiziert sein kann. Spam-Nachrichten im HTML-Format können zudem potenziell gefährliche Skripte enthalten, die eventuell Schadsoftware auf Ihrem PC oder Tablet-Computer installieren. Spam-E-Mails sind auch ein wichtiger Verbreitungsweg für Ransomware (z. B. Verschlüsselungssoftware, um den Nutzer erpressen zu können, damit dieser wieder an seine durch die Betrüger verschlüsselten Daten kommt).
Beispiel für Spam (siehe Bilder): Ein versteckter Link hinter dem Bild verweist auf eine Webseite, die ggf. nur beim Anklicken schon Schadcode auf Ihren Computer übertragen kann.
Was ist Phishing?
Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben, um vertrauliche Daten zu stehlen.
Ziel sind in der Regel persönliche Informationen und Zugangsdaten, mit denen dann weitere betrügerische Aktivitäten, wie z. B. Kontoplünderungen, Identitätsdiebstähle, Schadsoftwareverbreitung oder Erpressung, durchgeführt werden.
Beispiel für Phishing per Post (siehe Bilder): Der QR-Code leitet Sie weiter zu einer täuschend echt aussehenden gefälschten Webseite (gelbe Markierung), auf der Sie ihre Logindaten eingeben sollen.
Bild: Kassenärztliche Bundesvereinigung
Was ist Smishing?
Beim Smishing, eine Kombination aus den Wörtern „SMS“ und „Phishing“, verwenden die Betrüger Textnachrichten (SMS oder Messaging-Dienste), um persönliche und vertrauliche Informationen von ihren Opfern zu stehlen.
Beispiel für Smishing: siehe Bild
Was ist Vishing?
Beim Vishing, eine Kombination der Wörter „Voice“ und „Phishing“, versuchen die Betrüger telefonisch, persönliche und vertrauliche Informationen von ihren Opfern zu erhalten. In den letzten Jahren wurden auch Vishing-Angriffe mit Sprachnachrichten (wie z. B. in WhatsApp) durchgeführt. Durch die Verbreitung von KI wird das Imitieren von Stimmen bereits als gängige Methode von Betrügern genutzt.
Dazu zählen auch die bekannten Betrugsversuche wie: vermeintliche Microsoft-Mitarbeiter haben ein Problem auf Ihrem Computer entdeckt und wollen Sie dazu bewegen, den Zugriff auf Ihren Computer zu bekommen.
Und JA, Betrüger nutzen auch KI, nicht nur um ihre Texte zu erstellen, sondern auch um Sprache/Stimmen/Videos (Anrufe, Voicemails, Videocalls, usw.) zu imitieren.
Beispiele für Vishing:
Deepfake-KI-Beispiel: Im Juni 2022 wurde in Videokonferenzen mehreren Politikern gegenüber vorgetäuscht, dass sie ein Gespräch mit dem Kiewer Bürgermeister Vitali Klitschko führen würden. Die Konferenzen wurden unter anderem mit der EU-Innenkommissarin Ylva Johansson, der Berliner Bürgermeisterin Franziska Giffey, dem Bürgermeister von Madrid José Luis Martínez-Almeida, dem Budapester Bürgermeister Gergely Karácsony, dem Warschauer Stadtpräsiden-ten Rafał Trzaskowski und dem Wiener Bürgermeister Michael Ludwig geführt und durch die ersten beiden Bürgermeister vorzeitig abgebrochen. Das Video zum Deepfake finden Sie auf den bekannten Plattformen.
Bild: Kassenärztliche Bundesvereinigung
Bild: Verbraucherzentrale
Bild: Verbraucherzentrale
Was ist Quishing?
Quishing ist eine relativ neue Form des Phishings, bei der QR-Codes verwendet werden, um Opfer auf betrügeri-sche Webseiten zu leiten. Der Begriff „Quishing“ ist eine Kombination aus „QR“ (Quick Response) und „Phishing“. Angreifer generieren QR-Codes, die auf betrügerische Webseiten verlinken. Sie verteilen die Codes analog auf Flyern und Postern oder auch digital in E-Mails.
QR-Codes sind für das menschliche Auge nicht lesbar, sodass man nicht sofort erkennt, ob sie maliziös sind. Erst nach dem Scannen wird der hinterlegte Link sichtbar.
Gefälschte QR-Codes lauern überall:
Falsche QR-Codes an Ladesäulen für E-Autos
Falsche Briefe von angeblichen Banken
Falsche Plakate in Bussen und Bahnen
Falsche QR-Codes auf Parkscheinautomaten
Falsche Strafzettel für Falschparker
Wichtiger Hinweis:
Scannen Sie einen QR-Code nur, wenn Sie sich sicher sind, dass er seriös ist. Inzwischen erkennen viele Smartphones einen QR-Code über die Kamera-App. Die sollten Sie aber nur nutzen, wenn die Infos des Codes (z. B. Internet-Adresse) zunächst angezeigt und nicht direkt geöffnet werden. Sehen Sie sich die Adresse genau an und lassen Sie die Internetseite nur dann öffnen, wenn Sie sicher sind, dass sie dem echten Anbieter gehört.
Beispiele für Quishing: siehe Bilder
Wie erkennen Sie Betrugsversuche?
Anfragen: Legitime Unternehmen fordern Sie normalerweise nicht per E-Mail oder Telefon auf, vertrauliche Informationen wie Passwörter oder Kreditkartendaten preiszugeben.
Links: Prüfen Sie Links, bevor Sie die Webseite aufrufen. Verdächtige URLs weichen oft leicht von den echten URLs ab (z. B. www.kbv.de [echter Link] vs. www.kbv.yourluckydedrty.com [manipulierter Link]).
Design: Phishing-Websites können das Design legitimer Seiten nachahmen, aber es gibt oft subtile Unterschiede oder Anzeichen, dass die Seite nicht echt ist.
Die „goldenen 3 Sekunden“:
Nehmen Sie sich am besten immer Zeit für den 3-Sekunden-Check (vorher auf keinen Fall auf einen Link, Anhang klicken oder dem Absender antworten):
Ist der Nachrichtenübermittler bekannt?
Ist der Inhalt der Nachricht wirklich sinnvoll?
Werden Links oder Aufforderungen von diesem Nachrichtenübermittler erwartet?
Falls Sie sich nicht sicher sind, ob es sich um eine legitime Anfrage handelt, nutzen Sie das Zwei-Quellen-Prinzip:
Kontaktieren Sie die Absenderin oder den Absender über einen anderen Kommunikationskanal (z. B. per Telefon) und fragen Sie nach, ob die Nachricht wirklich von ihr/ihm stammt oder gehen Sie auf die Webseite über den gewohnten Link.
Beispiel: Sie erhalten eine Nachricht, dass Ihr PVS-Hersteller eine neue Plattform eingeführt hat und Sie sich dort mit Ihren Zugangsdaten anmelden sollen. Kontaktieren Sie den PVS-Hersteller und fragen dort nach, bevor Sie dem Link in der Nachricht zur neuen Plattform folgen.
Sofortmaßnahmen:
Wenn Sie den Verdacht haben, dass Sie Opfer eines Phishing-Angriffs geworden sind, sollten Sie folgende Schritte unternehmen:
Wenn der Angriff im beruflichen Umfeld geschehen ist, melden Sie dies den entsprechenden Vorgesetzten in Ihrer Praxis. (z. B. versehentlich einen Link in einer Spam-E-Mail angeklickt)
Sollten Sie Ihr Passwort beim Phishing-Angriff eingegeben haben (wie bei vermeintlichen Aufforderungen, Ihr Passwort für Ihren Account zu ändern), ändern Sie das alte Passwort umgehend. Überprüfen Sie zudem, ob Sie das Passwort auf anderen Plattformen auch nutzen. Ändern Sie diese ebenfalls. (z. B. Bankportal, Social-Media Accounts)
Falls Sie Ihre Bankkonto- oder Kreditkartendaten eingegeben haben, informieren Sie Ihre Bank über diesen Vorfall und lassen Sie ggf. Ihre Karte sperren. Achten Sie auf ungewöhnliche Aktivitäten (nicht authorisierte Überweisungen, Mikrotransaktionen von sehr kleinen Beträgen).
Wann kommen wir ins Spiel?
Bei generischen Phishing-E-Mails ist keine Meldung notwendig (leicht zu erkennen). Diese können einfach gelöscht werden.
Sollten Phishing-Angriffe jedoch persönliche oder Informationen ihrer Praxis enthalten, melden Sie diese bitte an die entsprechende Stelle in Ihrer Praxis und an uns (siehe Kontakt). Auch besonders clevere Angriffe sollten gemeldet werden. Dadurch können Kolleginnen und Kollegen von uns gewarnt werden.
Weiterführende Informationen:
Fachbereich IT-Management/see