Cybercrime kann jeden treffen: den Konzern, der seine Daten erst gegen Zahlung von Lösegeld-Millionen zurückerhält, den Web-Shop, der vom vermeintlichen Besteller reingelegt wird, oder Privatleute, die auf Phishing & Co reinfallen. Ende Mai wurde das bisher größte kriminelle Netz gesprengt, das weltweit Schäden von hunderten Millionen Euro verursacht hatte.
Text: Harald Klöckl
Ein Vormittag im Posteingang wie an fast jedem Werktag: Hello my Friend, Fund Investment! und Paket blieb im Depot hängen und wartet auf Versandzahlung. Plumpe Versuche. Eine E-Mail unterscheidet sich aber: Gewinne einen SPAR-Gutschein von 500 Euro! Man hat die SPAR-App, scheint nicht abwegig. Das Ganze im markanten Design des Einzelhandelsriesen. Weiter unten in der E-Mail: Klicken Sie auf Bestätigen und sichern Sie sich Ihren Preis. Was jetzt, Gewinnspiel, oder habe ich den Preis eh schon sicher? Egal, mal weiterklicken. Meine Daten eingeben? Ok, maxmustermann@hotmail.com. Plötzlich viele Fragen, die gar nichts mit SPAR zu tun haben: Möchten Sie Bunte 6 Wochen gratis lesen? So geht es weiter, irgendwann: Fast geschafft! Für eine erfolgreiche Teilnahme bestätigen Sie bitte die E-Mail, die wir Ihnen gerade geschickt haben. Prüfen Sie auch Ihren Spam-Ordner. Besser Max Mustermann die Gewinnchance überlassen. Kurz später einer der fast schon vertrauten Anrufe: „Hi Harold, this is Jennifer from Amazon“ oder „Good Morning, this is John from Microsoft“, von einer vermeintlich österreichischen Handynummer. Sofort auflegen, die Nummer blockieren. Dann ist vielleicht wieder ein paar Tage Ruhe.
In der Hand von Kriminellen.
Was kann ein Unternehmen wie in diesem Fall SPAR dagegen machen, was kann man gegen solche Anrufe machen? „Praktisch nichts“, weiß Stefan Embacher, Gründer und Geschäftsführer von Foreus, dem 2021 von Stefan Embacher gegründeten Cybersecurity-Unternehmen mit 20 Mitarbeitern und Sitz in Wien. In wenigen Tagen, längst bevor vielleicht der kriminelle Aussender ausfindig gemacht werden kann, ist die Fake-Firmenseite offline und poppt mit einer anderen Fantasie-URL wieder auf, so Embacher. Anrufe gehen mit anderen Fake-Nummern wieder los, sobald die Daten von der nächsten Tätergruppe im Darknet gekauft und verwendet werden. Das sind laut Embacher „typische Beispiele, statt eines Gewinnspiels als Anfrage via E-Mail oder WhatsApp gibt es höchstwahrscheinlich einen Virus“. Die Daten landen im harmlosesten Fall bei Betrügern für weitere Versuche. Oder man bestellt und bekommt nichts oder nur minderwertige Ware.
Weltweit gegen Cybercrime.
Es ist Fakt, dass mit KI-unterstützter Zielgruppenansprache mittlerweile 6 bis 8 % der kontaktierten Personen in die Falle gehen.
Im Alltag von Foreus kommen letztgenannte Fälle kaum mehr vor. Foreus ist zum Beispiel mit rund 500 Rechtsanwaltskanzleien weltweit vernetzt und übernimmt für deren Klienten Heikleres: „Wir machen Trainings für Mitarbeiter großer Unternehmen, Darknet-Scans und technische Analysen, Beweismittelbeschaffung. Auch treten wir in Verhandlungen mit Hackergruppen, wickeln Lösegeldzahlungen ab“, sagt Stefan Embacher. Solche Fälle nehmen zu und werden immer raffinierter: Künstliche Intelligenz (KI) hilft bei der Ansprache der Opfer, sortiert Userprofile nach Alter, Familienstand, Beruf und Vermögen. „Sie arbeiten wie eine Marketingabteilung. Ein CEO würde nie eine E-Mail von einem falschen Gewinnspiel bekommen. Es ist Fakt, dass mit KI-unterstützter Zielgruppenansprache mittlerweile 6 bis 8 % der kontaktierten Personen in die Falle gehen“, so Embacher.
Schurken und Kriminelle.
Embacher unterscheidet zwischen Cyberkriminellen und Cyberschurken: „Erstere sind bestens organisiert, da ist viel Technik dahinter. Sie sitzen meist in Russland, China oder anderen asiatischen Ländern, werden oft zumindest indirekt staatlich unterstützt.“ Cyberkriminelle bauen bestehende Homepages von renommierten Handelsunternehmen nach oder um. Anfragen oder auch Zahlungen gehen dann an die Kriminellen statt an das Unternehmen – und der Kunde bezahlt, bekommt aber nicht wie vereinbart die gewünschte Ware. Um ganz andere Dimensionen geht es bei Erpressungen großer, oft global bekannter Unternehmen. Vor allem Banken sind betroffen. „Von zehn von Hackern attackierten Unternehmen zahlen im deutschen Sprachraum sechs Firmen Lösegelder. Die Alternative wäre, dass die Firma stillsteht. Denn die Täter sind im Normalfall seit zwei bis 24 Monaten im System, und die Hacker haben alle sensiblen Daten längst abgegriffen.“
Die Cyberschurken hingegen kaufen im Darknet von den Cyberkriminellen die Daten realer Menschen (die zum Beispiel mit oben geschilderten Praktiken erlangt wurden), versuchen damit Erpressungen im kleinen Rahmen bei der breiten Masse der User und verlangen vielleicht 500 oder 1.000 Euro. Ob die Opfer bei so einer Erpressung ein paar 1.000 Euro zahlen oder nicht, ist den Tätern ziemlich egal: „Mit dem Verkauf von Datenbanken können sie mehrere 100.000 Euro erlösen, meist viel mehr als mit dem Lösegeld.“
„Operation Endgame“: 140 Millionen Euro beschlagnahmt.
Vor wenigen Wochen gelang der bisher größte Schlag gegen die globalen Cyberkriminellen: Behörden aus Österreich, weiteren acht EU-Ländern sowie aus Großbritannien, den USA, der Schweiz und der Ukraine hoben in der „Operation Endgame“ eine Gruppe aus, die mit sechs sogenannten Bot-Familien seit 2014 hunderte Millionen Euro Schaden bei Regierungen, Unternehmen und Privatleuten verursacht hat. Die Anzahl der Opfer soll in die Millionen gehen, Vermögen der Kriminellen im Wert von 140 Millionen Euro vor allem auf Konten und in Krypto-Wallets wurde beschlagnahmt. Die wenigen dazu von den Polizeibehörden am 30. Mai veröffentlichten Angaben illustrieren auch, wie international Cybercrime besetzt ist. Als einer von zehn Haupttätern wurde ein Chinese verhaftet, weitere Festnahmen gab es in Armenien und in der Ukraine.
Falsche Identitäten und Fake-Shops.
Laut Cybercrime Report von Mai 2023 stiegen die Betrugshandlungen jeglicher Art im Online-Handel weiter stark an. Unter Bestellbetrug etwa versteht man alle Betrugsdelikte, bei denen die Täter entweder als Besteller oder als Verkäufer widerrechtlich handeln. Sie bestellen mit gestohlenen Identitäten Waren, ohne diese auch zu bezahlen. Oder Fake-Shops, die wie eine seriöse Plattform wirken, entpuppen sich als Betrugsfalle. Für die Überprüfung der Identität eines Kunden etwa hat der KSV1870 probate und schnelle Hilfe im Angebot. Robert Staubmann, Prokurist der KSV1870 Information GmbH: „Die Kombination aus Technik und Daten gibt uns die Möglichkeit, innerhalb weniger Sekunden einen ersten Check durchzuführen, der den Unternehmen in sehr vielen Fällen bereits ein sicheres Gefühl gibt, um ein Geschäft abzuschließen.“ Denn schon mithilfe von Namen, Geburtsdatum und Adresse könne direkt beim Bestellvorgang mittels FastCheck geklärt werden, ob der Kunde tatsächlich existiere. Die Auswahl der Zahlungsarten kann dann bonitätsgesteuert erfolgen, auf Basis der Parameter des Risikomanagements des Kunden. Auch handelsrechtliche Funktionen oder Informationen aus dem Grundbuch können unkompliziert angebunden werden. Wenn man eine Identität auf Anhieb nicht finde, heiße das aber nicht, dass es diese Person real nicht gebe und es sich zwangsläufig um einen Betrugsversuch handle.
Lieber auf Nummer sicher gehen.
Doch es gibt auch Fälle, wo Unternehmen mehr wissen möchten, um ein Geschäft abzuschließen. Oder das Ergebnis des FastChecks ist ein Grenzfall, und das Unternehmen möchte lieber auf Nummer sicher gehen. Das allerletzte Mittel, abhängig vom Warenwert und dem wirtschaftlichen Risiko, ist der sogenannte KontoCheck auf PSD2-Basis. „Unser Ziel ist es immer, das Zahlungsausfallrisiko unserer Kunden zu minimieren“, so Staubmann. Aufgrund von Kontobewegungen kann sich das Unternehmen über die Zahlungsmoral des potenziellen Kunden informieren und sich ein Bild über dessen wirtschaftliche Situation machen – natürlich nur nach erfolgter Freigabe seitens des Kunden selbst.
Aus dem Magazin forum.ksv - Ausgabe 02/2024.