Vertrauen Sie einer scheinbar echten E-Mail, in der wir aufgefordert werden, Bankdaten und -codes zu bestätigen? Jetzt fallen nur noch ein paar unheilbare Dummköpfe hinein. Aber die Technologie des Phishing (das Fischen nach den mehr oder weniger unschuldigen Opfern von webbasiertem Betrug) schreitet voran. Die neue Grenze des Telematik-Betrugs wird "Caller-ID-Spoofing" genannt. Der Betrüger schickt uns eine SMS, WhatsApp-Nachricht oder ruft uns einfach an. Auf unserem Display erscheint die Nummer der Bank, unseres Finanzinstituts, einer Wohltätigkeitsorganisation oder eines Unternehmens, das wir sehr gut kennen und mit dem wir konsolidierte Beziehungen unterhalten. Wir antworten, wir vertrauen, wir führen aus. Es kann ein Betrug sein. Dies geschieht mit einem wirklich raffinierten Verfahren, das manchmal mit einem anderen technologischen Trick der neuesten Generation kombiniert wird: dem Klonen unserer Mobiltelefonnummer (oder genauer gesagt, ihrer Übertragung, vielleicht vorübergehend und nur für die zum Betrügen erforderliche Zeit) auf einen Sim in die Hände des Betrügers, der uns damit auch im endgültigen OK einer Banktransaktion ersetzen kann, indem er die inzwischen weit verbreiteten Sicherheitsverfahren simuliert, die die Generierung einer a Einwegstift. Doch wie funktioniert die neue Betrugstechnik im Detail? Wie kann man es erkennen? Wie kann man sich verteidigen?
Spoofing und Sim-Swapping
Um die auf unserem Display angezeigte Rufnummer zu ändern, indem sie sich als unsere Bank ausgeben, die verifiziert werden muss, oder vielleicht als eine Wohltätigkeitsorganisation, die uns um einen Beitrag bittet, greifen Betrüger auf Verfahren zurück, die von IP-VoIP-Vermittlungssystemen zugelassen werden (jene, die nur das Internet nutzen und nicht die alten Telefonanlagen auch für Sprachanrufe) mit normalen Anwendungen manipuliert auch für Laien zugänglich: Jeder kann dies durch eine normale Suche in Internetshops überprüfen. Das Verfahren ist relativ einfach, so sehr, dass sogar Betrüger, die nicht besonders Meister der Technologie und sogar ein wenig chaotisch sind, anfangen, es zu benutzen.
Ein Beispiel: Ein Unternehmen, das Haushaltsgeräte zur Wasserreinigung verkauft, hat sich in den letzten Wochen hinter der Telefonnummer einer Restaurant-Pizzeria in der Provinz Neapel versteckt. Welche Verbindung zwischen den beiden bestand, ist unbekannt. Noch beunruhigender sind zwei weitere Beispiele für „Spoofing“-Betrug, die in den letzten Monaten implementiert wurden. Die erste betrifft a Ausweisdiebstahl um eine Verbindung zu den Websites der italienischen Post herzustellen, insbesondere zu denen, die mit PostePay (Bankdienstleistungen) verbunden sind. In einer SMS informieren diensthabende Betrüger Nutzer über ein Problem mit den persönlichen Daten ihres Kontos und fordern sie auf, diese zu wiederholen oder zu korrigieren, indem sie auf einen Link klicken, der einen scheinbar wahrscheinlichen Bildschirm zeigt. Um Zeit zum Handeln zu haben, bitten die Kriminellen Sie, nicht auf das Konto zuzugreifen, das für einige Stunden gesperrt bleiben würde, bis der Fehler behoben ist. In seiner Dynamik sehr ähnlich dem Betrug, der unter dem Deckmantel der Revenue Agency durchgeführt wird schwer fassbares "Betreibungsamt", die dazu einlädt (wieder versteckt hinter einer sehr wahrscheinlichen Telefonnummer, die auf dem Display erscheint), eine Steuerrückstandsschuld auf erleichterte Weise zu begleichen, indem sie unsere vertraulichen Finanzdaten übermittelt oder auf einen bestimmten Link klickt, der uns zugesandt wurde an der Postadresse Elektronik, die wir unvorsichtigerweise unserem Gesprächspartner angegeben haben.
In all diesen Fällen gibt es auch noch den zweiten Trick, den „Sim-Tausch“, also den vielleicht vorübergehenden Austausch unseres Sims, der es dem Betrüger ermöglicht unsere Zahlungen direkt validieren zu seinen Gunsten. Eine Praxis, die glücklicherweise nur möglich ist, wenn der Betrüger im Besitz der Seriennummer der zu klonenden SIM-Karte ist, die theoretisch von unserem Telekommunikationsanbieter eifersüchtig gehütet werden sollte. Theoretisch, denn in den letzten Monaten hat mehr als ein Leak dieser Listen Schlagzeilen gemacht, die dann in die Hände von Kriminellen fielen. In einigen Fällen informierten die gewissenhaftesten Telefonisten die Kunden sofort, indem sie den SIM-Seriencode aus der Ferne regenerierten oder ihn physisch ersetzten. Aber niemand schließt aus, dass noch einige Listen im Umlauf sind, die Cheater zur Verfügung stehen.
Wie man den Trick herausfindet und was zu tun ist
Erste Regel: Geben Sie niemals unsere persönlichen Daten an direkt auf eine Anfrage reagieren, sei es ein Telefonanruf, eine E-Mail, eine SMS, eine WhatsApp-Nachricht. Angesichts der kursierenden Betrügereien würde keine seriöse Bank im Geringsten telefonisch eine Bestätigung der persönlichen Daten verlangen. Der Gegenzug ist in diesem Fall trivial und effektiv: Rufen Sie Ihre Bank zurück und bitten Sie um Bestätigungen, Erklärungen und Hinweise im Falle eines nachgewiesenen Betrugsversuchs. Identische Vorsicht ist auch geboten bei der Flut von Telefonanrufen, die jeden von uns erhalten, um uns zu einem Wechsel des Telekommunikations- oder Energiedienstleisters zu überreden.
Zweite Regel: In jedem Fall überprüfen wir mit Sicherheit die Identität derjenigen, die uns kontaktieren, indem wir die Adresse durchsuchen, von der die E-Mail an uns gesendet wird, oder noch mehr die Telefonnummer, die wir auf dem Display sehen. Für Authentizität überprüfen der erhaltenen E-Mail oder der SMS- oder WhatsApp-Nachricht, die einen verdächtigen Link enthält, verfügen IT-Experten über viele Waffen, angefangen bei der Überprüfung der digitalen Zertifikate, die komplexe Nachrichten begleiten. Die Normalsterblichen, denen dieses Tutorial gewidmet ist, müssen sich mit weniger ausgefeilten Verfahren begnügen. Als?
Zunächst einmal können sie eine grobe Überprüfung durchführen, indem sie die erscheinende E-Mail-Adresse mit der Maus definieren und dann mit dem Modus „Nur den Text behalten“ in eine Word-Datei kopieren: ob die Adresse nach der Operation erscheint anders ist, wird es sagen, dass es eins ist getarnte E-Mail und damit irreführend. Aber selbst wenn es so aussieht, wie es ist, können wir uns nicht darauf verlassen. In diesem Fall senden wir an dieselbe Adresse eine E-Mail, die wir in unserem E-Mail-Programm sorgfältig und vollständig ausfüllen (kein „Ausschneiden und Einfügen“, insbesondere in diesem Fall) und um Bestätigung der erhaltenen Kontaktaufnahme bitten.
Um die Echtheit der auf dem Display angezeigten Telefonnummer zu überprüfen, ist das Verfahren einfach und unmittelbar: Wir rufen die gleiche Nummer zurück, möglicherweise von einem Mobiltelefon (um eine entfernte Manipulation unseres Festnetzes durch die Bereichszentrale zu vermeiden). Die Antwort wird sofort zeigen, wie die Dinge sind.
Falls unsere erste Verteidigungslinie nicht sofort einen Betrug aufgedeckt hat, wollen wir den Vorschlag prüfen, den sie uns unterbreiten wollen? Wir bitten Sie trotzdem zu kommen schriftlich formuliert per E-Mail oder auf dem Postweg, ohne jedoch einen Hinweis anzugeben: Wenn sie uns angerufen haben, müssen sie auch unsere Adresse oder unsere E-Mail-Adresse haben, sonst handelt es sich wahrscheinlich um Betrüger oder auf jeden Fall um die Vielzahl von Händlern, die arbeiten auf Provisionsbasis mit allzu oft unlauteren Praktiken.
Eine gute Regel würde sogar Aufmerksamkeit beim Aussprechen einiger Begriffe während eines Gesprächs mit unserem nicht identifizierten Gesprächspartner auferlegen: das Einfache Wort „Ja“ kann extrapoliert werden (das kommt auch vor), um eine mündliche Zustimmung zum Vertragsvorschlag über die Versendung von Waren oder den Wechsel des Geschäftsführers vorzubereiten. Und in der Zwischenzeit sollten Sie ernsthaft überlegen, ob Sie die abonnieren möchten Register der Widersprüche auf jeden kommerziellen Anruf, der in wenigen Tagen endlich auch auf Mobiltelefone ausgedehnt werden sollte, wie durch eine im vergangenen Januar verabschiedete gesetzliche Bestimmung festgelegt.
Letzte Empfehlung: Wenn Sie ausreichende Beweise für einen Betrug oder einen versuchten Telematikbetrug haben, melden Sie dies direkt der Polizeibehörde. Du kannst auch übers Netz.