Sicherheit
Cyberkriminelle werden immer raffinierter
Haben Sie sich schon einmal gefragt, wie Sie Ihr Geschäft vor Betrügern schützen können? Betrug aufzudecken, ist nicht immer leicht, besonders dann nicht, wenn man in Eile oder anderweitig beschäftigt ist. Außerdem gehen Cyberkriminelle bei ihren Versuchen, Sie und Ihr Unternehmen zu bestehlen, immer raffinierter vor.
Was ist Spoofing?
Von Spoofing spricht man, wenn Betrüger ihre Mitteilungen so gestalten, dass sie aussehen, wirken und klingen, als kämen sie von einem anderen Unternehmen. Cyberkriminelle tarnen sich dabei oft als seriöse Marken, um Menschen dazu zu bringen, persönliche Informationen wie Passwörter oder Kreditkarten- und Bankdaten preiszugeben. Spoofing wird außerdem dazu benutzt, Menschen zu Handlungen zu verleiten, von denen sich die Kriminellen einen Vorteil versprechen, etwa dem Öffnen eines E-Mail-Anhangs, der einen Virus enthält, oder dem Klicken auf einen Link, der die Sicherheit des Unternehmens gefährdet.
Was ist Phishing?
Phishing ist eine Spezialform von Spoofing, bei der versucht wird, Ihre vertraulichen Daten über gefälschte E-Mails, Websites, Textnachrichten oder Voicemails abzufangen. Mit authentisch wirkenden Mitteilungen ermutigen Kriminelle unaufmerksame Opfer, ihre PINs, Passwörter, Bank- und Kreditkartendaten preiszugeben. Phishing-Angriffe können aber auch auf persönliche Informationen nicht finanzieller Natur wie Ihr Geburtsdatum oder Ihre Reisepass- beziehungsweise Personalausweisnummer abzielen, die in Verbindung mit anderen Informationen zu Zwecken des Identitätsdiebstahls genutzt werden können. Lesen Sie hier mehr zu Phishing.
Was ist Spear-Phishing?
Spear-Phishing ist eine gezieltere Form von Phishing. Dabei werden oft vertrauliche Informationen aus anderen Online-Quellen (z. B. von Social-Media-Seiten) verwendet, um Phishing-Angriffe individuell auf die Opfer zuzuschneiden. Die vermehrte Verwendung vertraulichen Informationen verleiht den von Betrügern verwendeten E-Mails, Textnachrichten und ähnlichem mehr Legitimität und erhöht so die Wahrscheinlichkeit, dass ihre Opfer unvorsichtiger handeln und auf den Betrug hereinfallen.
Nachfolgende Tipps können Ihnen dabei helfen, diese Arten von Betrug zu vermeiden.
1. Phishing-E-Mails
Zu den häufigsten Phishing-Betrugsmaschen gehört das Versenden von E-Mails, die vorgeben, von einem bekannten Unternehmen wie PayPal zu stammen. Darin werden Sie beispielsweise zu folgenden Handlungen aufgefordert:
- Besuch einer gefälschten oder „Spoof“-Website
- Anruf bei einer gefälschten Kundenservice-Nummer
- Öffnen von Anhängen, die Schadsoftware auf Ihrem Computer installieren
Bestimmt haben Sie bereits ein gutes Gespür für gefälschte oder Phishing-E-Mails. Bei E-Mails mit folgenden Eigenschaften sollten Sie aber vorsichtshalber noch einmal genauer hinsehen:
- Standardbegrüßung anstatt Ihres Namens
- Schlechte Grammatik oder viele Rechtschreibfehler
- Aufforderung zu dringendem Handeln
Besonders die Aufforderung zur Bestätigung personenbezogener Daten wie Kredit- oder Debitkartennummern, Bankverbindungen, Personalausweisnummern, Passwörtern oder Ihrem vollständigen Namen sollte Sie in Alarmbereitschaft versetzen. PayPal würde Sie in einer E-Mail nie um vertrauliche Informationen bitten.
Wenn Sie den Verdacht haben, dass eine E-Mail gefälscht ist, sollten Sie diese auf keinen Fall öffnen, darauf antworten, auf darin enthaltene Links klicken oder Anhänge herunterladen.
Hinweis: Bei unerwarteten Zahlungsbenachrichtigungen per E-Mail ist Vorsicht geboten. Überprüfen Sie jede Zahlungsbenachrichtigung, indem Sie sich in Ihr PayPal-Konto einloggen (aber nie über einen Link in einer verdächtigen E-Mail) und dort nach der jeweiligen Transaktion suchen. Sämtliche Transaktionen (auch vorgemerkte oder offene Transaktionen), die von Ihnen oder zu Ihren Gunsten getätigt wurden, werden in Ihrer Kontoübersicht angezeigt.
2. Gefälschte Websites
Gefälschte Websites gehen in der Regel mit Phishing-E-Mails einher. Ein Link in der E-Mail führt Sie zu einer Website, die einen legitimen Anschein hat, und bittet Sie um Ihr Passwort bzw. Ihre Kreditkarten- oder Bankdaten.
Bei folgenden Anzeichen ist besondere Vorsicht geboten:
- Die URL enthält unsichere Links. Einen sicheren Link erkennen Sie an der Bezeichnung „https“ am Anfang der URL, zum Beispiel: https://www.paypal.com. Achten Sie auch auf das Vorhängeschloss-Symbol in der Adresszeile oder der rechten unteren Ecke Ihres Browsers. Dieses Symbol zeigt an, dass Sie sich auf einer sicheren Seite befinden.
- Die URL führt zu einer völlig anderen Website.
3. Gefälschte Textnachrichten
Auch falsche Text- bzw. SMS-Nachrichten werden für Phishing verwendet (manchmal auch als Smishing bezeichnet). In solchen Fällen erhalten Sie dringlich formulierte Textnachrichten mit einer gefälschten Telefonnummer oder URL, die wie folgt aussehen können:
„Ihr PayPal-Konto wurde aufgrund verdächtiger Aktivitäten gesperrt. Bitte kontaktieren Sie uns umgehend unter 069 123 4567. Wir müssen unbedingt so schnell wie möglich mit Ihnen sprechen.“
Indem Sie diese Telefonnummer wählen, bestätigen Sie dem Betrüger, dass Sie ein PayPal-Konto haben, und werden nach Ihren Kontoinformationen gefragt. Anstatt einer Telefonnummer kann die Textnachricht auch eine gefälschte URL enthalten.
4. Gefälschte Sprachnachrichten
Gefälschten Sprachnachrichten auch als „Vishing“ bekannt, damit sind Sprachanrufe eines Betrügers über ein automatisiertes System gemeint. In der Regel wird in den Anrufen auf ein „dringendes Problem mit Ihrem Konto“ hingewiesen, und Sie werden gebeten, Kontoinformationen preiszugeben, um dieses Problem zu lösen. Hier ein Beispiel für einen Vishing-Versuch:
„Dies ist ein Anruf von PayPal in Bezug auf eine mögliche betrügerische Transaktion in Ihrem Konto. Bitte geben Sie jetzt Ihre PIN ein, um mehr über diese Transaktion zu erfahren.“
Sobald Sie Ihre PIN eingeben, erhält der Betrüger den Schlüssel für den Zugriff auf Ihr Konto. Geben Sie grundsätzlich keine Kontoinformationen preis, es sei denn, der Anruf ging von Ihnen selbst aus. Auf dem Display angezeigte Rufnummern lassen sich leicht fälschen. Verlassen Sie sich also nicht darauf, dass sie die Echtheit eines eingehenden Anrufs bestätigen.
So schützen Sie sich vor Phishing und Spoofing
Wenn Sie glauben, einen schädlichen Link angeklickt zu haben, schließen Sie sofort Ihren Browser, führen Sie einen Virenscan durch und ändern Sie dann Ihr Passwort und Ihre Sicherheitsfragen. Denken Sie daran, zuerst einen Virenscan durchzuführen, da beim Klicken auf den Link möglicherweise Malware übertragen wurde, die auch Ihr neues Passwort auslesen könnte. Kontaktieren Sie anschließend Ihre Bank oder Ihren Kartenaussteller und schildern Sie Ihre Situation. Überprüfen Sie in den darauffolgenden Wochen auch unbedingt regelmäßig Ihre Kontoübersicht auf etwaige nicht autorisierte Transaktionen und melden Sie diese umgehend.
Ist da vielleicht etwas faul?
Wenn Sie vermuten, dass Sie eine Phishing-E-Mail erhalten haben, sollten Sie diese auf keinen Fall beantworten und keine der enthaltenen Links anklicken oder Anhänge öffnen. Leiten Sie die E-Mail stattdessen einfach an spoof@paypal.com weiter. Bitte lassen Sie dabei die Betreffzeile unverändert und senden Sie die verdächtige E-Mail nicht als Anhang, damit wir die E-Mail so prüfen können, wie Sie sie erhalten haben. Löschen Sie die E-Mail aus Ihrem Konto, nachdem Sie sie an uns weitergeleitet haben, damit keine weitere Gefahr für Sie besteht.
Woran erkennt man, dass eine eingegangene Nachricht tatsächlich von PayPal stammt?
Wir fragen Sie per E-Mail grundsätzlich nicht nach Informationen. Stattdessen bitten wir Kontoinhaber, sich in ihr Konto einzuloggen und im Hilfe-Bereich auf „Konfliktlösungen“ zu klicken. Dass Sie sich auf der echten PayPal-Website befinden, erkennen Sie an der URL https://www.paypal.com.
Weitere Tools
Um zu verhindern, dass Phishing-Informationen bei einer Transaktion mit Ihrem Unternehmen verwendet werden, können Sie folgende Tools verwenden, die über PayPal und andere Anbieter von Betrugsverwaltungslösungen erhältlich sind:
- Adressverifizierung. Nutzen Sie einen Adressverifizierungsservice (Address Verification Service, AVS), um zu überprüfen, ob die Rechnungsanschrift mit der Adresse übereinstimmt, die im System des Kartenausstellers hinterlegt ist. AVS kommt hauptsächlich in den USA, im Vereinigten Königreich und in Kanada zum Einsatz.
- Kartenprüfnummer. Die Kartenprüfnummer (Card Security Code, CSC – oder auch als CVC bzw. CVV bekannt) ist die drei- oder vierstellige Nummer auf der Rückseite der Karte, über die sichergestellt werden kann, dass sich die Karte tatsächlich im Besitz des Kunden befindet.
- Bank Identification Number (BIN). Hierbei handelt es sich um die ersten sechs Ziffern der Kartennummer, über die der Kartenaussteller identifiziert werden kann.
- IP-Geolokalisierung. Durch IP-Geolokalisierung lässt sich der Standort des für die Transaktion verwendeten Geräts bestimmen. Ein Abgleich der Geolokalisierungsdaten mit der von Ihrem Kunden angegebenen Rechnungs- und Lieferadresse kann möglicherweise Hinweise auf betrügerische Transaktionen liefern.
Selbst wenn Sie noch so vorsichtig sind, ist die Wahrscheinlichkeit, irgendwann einmal auf einen unsicheren Link zu klicken, groß. Um sich beim Surfen zu schützen (und um sich ein sichereres Gefühl zu geben), können Sie Tools verwenden, die die Sicherheit von Websites bewerten1 und Ihnen helfen, Spoofing- und Phishing-Websites zu erkennen, wie zum Beispiel:
Diese Dienste sammeln Meldungen verdächtiger Websites und bewerten sie. Sie können natürlich nicht jeden schädlichen Link oder jede Spoofing-Website erkennen, liefern aber eine gute erste Verteidigungsstrategie. Wir möchten, dass Ihre personenbezogenen Daten geschützt bleiben. Indem Sie uns auf mögliche Betrugsversuche oder verdächtige Mitteilungen aufmerksam machen, leisten Sie einen Beitrag zum Schutz der PayPal-Community. Weitere Informationen zur Online-Sicherheit finden Sie unten auf dieser Seite in unseren Häufigen Fragen.
1Diese Produkte haben keinerlei Verbindung zu PayPal. Deshalb können möglicherweise zusätzliche Kosten anfallen.
Die Informationen in diesen Artikeln stellen keine Finanz-, Geschäfts- oder Anlageberatung jeglicher Art dar und dienen nicht als Ersatz für eine professionelle Beratung. Führen Sie immer Ihre eigenen Recherchen durch und holen Sie professionellen Rat ein, wenn Sie sichergehen wollen, dass Sie Ihren individuellen Umständen entsprechend angemessen handeln. Wir übernehmen keine Verantwortung für die Inhalte von Websites Dritter, auf die wir per Link verweisen.