Geschichten zur Cyberkriminalität

Sandra | Steve | Koby | Michelle

Sandras Geschichte

Sandra E. ist eine Personalreferentin aus Miami im US-Bundesstaat Florida.Computer gehören bei ihr seit über zehn Jahren zum Berufsalltag.Am Arbeitsplatz wird ihr Computer von der firmeneigenen IT-Abteilung verwaltet und es gab noch nie Sicherheitsprobleme mit ihrem Arbeitscomputer.

Sandra ist der Meinung, dass sie sich mit Computern gut auskennt und glaubt, dass für sie aus den folgenden Gründen nur ein geringes Risiko besteht, ein Opfer von Internet-Betrügern zu werden:

• Sie kauft nie im Internet ein, weil sie nicht riskieren möchte, ihre Kreditkartendaten preiszugeben. Außerdem ist es ihr unangenehm, dass Daten über ihren Einkauf möglicherweise gespeichert werden und daraus ein Profil ihrer Vorlieben und Abneigungen erstellt wird.
• Sie benutzt ihren Computer zu Hause nur zum Senden von persönlichen E-Mails an Freunde und Familie, zum Surfen im Web nach neuen Entwicklungen in ihrer Branche und einmal monatlich zum Internet-Banking auf der Website ihrer Bank.
• Hin und wieder sucht sie im Netz nach anderen Dingen, doch dies kommt nur selten vor.

Sandra ist ziemlich gut geschützt, oder?

Der Schein trügt.Letzten Sommer hörte sie in der Arbeit von einer neuen Browser-Sicherheitslücke im Internet Explorer. Die Lage war so ernst, dass die IT-Abteilung noch am selben Tag Notfall-Patches an alle Computer der Firma verteilte.Zu Hause wollte sie sicherstellen, dass auch ihr privater Computer geschützt war, also ging sie ins Internet, um sich über die Sicherheitslücke schlau zu machen und zu sehen, ob sie geschützt war.

Mit Hilfe einer häufig verwendeten Suchmaschine stieß sie auf eine Website, die nicht nur Informationen über die Sicherheitslücke zur Verfügung stellte, sondern auch einen Patch anbot, der automatisch heruntergeladen werden konnte.Sandra las sich die Informationen durch, doch sie entschied sich gegen den Download, da sie wusste, dass Daten nur von autorisierten Quellen heruntergeladen werden sollten. Anschließend lud sie den offiziellen Patch von Microsoft herunter.

Was also ist falsch gelaufen?

Während Sandra auf der ersten Website Informationen über die Sicherheitslücke sammelte, machte der kriminelle Designer der Website von eben dieser Sicherheitslücke auf ihrem Computer Gebrauch. Tatsächlich wurde, als sie auf "Nein" klickte (um den angebotenen Download abzulehnen), ohne ihr Wissen ein kleines, aber wirksames Crimeware-Programm automatisch auf ihrem Computer installiert.

Bei dem Programm handelte es sich um einen Tastenaufzeichner (Keystroke Logger).Zum selben Zeitpunkt erhielt der Besitzer der Website bereits eine Benachrichtigung, dass der Tastenaufzeichner unbemerkt auf Sandras Computer installiert wurde. Das Programm war so konzipiert, dass von diesem Moment an heimlich alle Tastenanschläge aufgezeichnet und an den Besitzer der Website gesendet wurden.Das Programm funktionierte einwandfrei und zeichnete alle von Sandra eingegebenen Daten auf: jede besuchte Website, alle gesendeten E-Mails. Anschließend wurde der gestohlene Text an den Internet-Betrüger weitergeleitet.

Sandra erledigte an diesem Abend auch ihr monatliches Internet-Banking.Als sie sich bei ihrem persönlichen Benutzerkonto anmeldete, zeichnete der Tastenaufzeichner auch diese Tastenanschläge auf, einschließlich aller geheimen Daten: Name der Bank, Benutzername, Kennwort sowie die letzten vier Ziffern ihrer Sozialversicherungsnummer und den Mädchennamen ihrer Mutter. Das System der Bank war sicher und die von ihr eingegebenen Daten wurden verschlüsselt, damit niemand auf die Daten zugreifen konnte. Der Tastenaufzeichner speicherte die Daten jedoch in Echtzeit während der Eingabe – bevor sie verschlüsselt werden konnten – und konnte so die Sicherheitsmaßnahmen umgehen.

Jetzt war es nur eine Frage der Zeit, bis der Name ihrer Bank, ihr Benutzername, ihr Kennwort und der Mädchenname ihrer Mutter im Besitz des Internet-Betrügers waren. Er fügte ihren Namen und die dazugehörigen Daten zu einer langen Namenliste anderer nichtsahnender Benutzer hinzu und verkaufte diese Liste an eine Internetbekanntschaft, die sich darauf spezialisiert hatte, mit gestohlenen Bankdaten illegal Geld abzuheben.Als Sandra einige Wochen später Geld in ihr Konto einzahlte und einen Kontoauszug verlangte, stellte sie zu ihrem Entsetzen fest, dass ihr Bankkonto so gut wie leergeräumt war.Sandra war ein Opfer der Cyberkriminalität geworden. Diese Geschichte über Cyberkriminalität ist besonders typisch und kommt den meisten Menschen nur allzu bekannt vor.Lesen Sie auch die anderen Geschichten, um mehr über Cyberkriminalität zu erfahren.

Steves Geschichte

Steve F. ist ein pensionierter Regierungsangestellter aus einem Vorort von Kansas City, Missouri. Er hatte eine Virenschutzsoftware und eine Firewall installiert und aktualisierte diese regelmäßig. Er wusste, dass man unbekannte E-Mail-Anhänge nicht öffnen sollte und ihm war auch klar, dass dies sowohl für E-Mails von Freunden als auch für "unbekannte" Absender galt.

Letzten September erhielt Steve eine E-Mail, die von seiner Bank zu stammen schien. In dieser E-Mail wurde er gebeten, sich bei seinem Konto bei der Bank anzumelden, um persönliche Daten zu aktualisieren.Er klickte auf den Link in der E-Mail und wurde direkt auf die Website seiner Bank weitergeleitet – so dachte er zumindest. In Wahrheit wurde Steve durch den Link in der E-Mail zu einer identisch aussehenden Website weitergeleitet. Die Website sah der seiner Bank zum Verwechseln ähnlich, so dass er bei der Aufforderung, seine Kontonummer, den Benutzernamen und das Kennwort einzugeben, automatisch anfing zu tippen.Dann fiel im plötzlich eine Rede ein, die er zwei Monate vorher im Rotary-Club gehört hatte.

Der Redner hatte über Phishing-Angriffe gesprochen und erwähnte in diesem Zusammenhang auch diese täuschend echt aussehenden Websites. Steve erinnerte sich, dass das Hauptmerkmal einer solchen gefälschten E-Mail war, dass eine Bank ihren Kunden niemals eine E-Mail mit einem Link zur Anmeldung bei ihrem Konto schicken würde."Wenn Sie eine solche E-Mail erhalten", hatte der Redner gesagt, "löschen Sie sie einfach". Also löschte er die E-Mail.

Steve wäre fast einem dieser in der Rede erwähnten Phishing-Angriffe ins Netz gegangen. Er konnte sich aber gerade noch rechtzeitig an die einfache Regel erinnern, dass eine Bank niemals in einer E-Mail mit einem Web-Link persönliche Daten anfragen sollte.Hätte er die Daten eingegeben, wären die Internet-Betrüger in der Lage gewesen, sein Bankkonto beliebig zu manipulieren.

Kobys Geschichte

Manche Phishing-Methoden sind ganz schön raffiniert. Der Schullehrer Koby wurde vor kurzem Opfer eines solchen Angriffs.Koby bot ein Fahrzeug bei eBay zum Verkauf an und fand innerhalb von wenigen Tagen einen Käufer.Der Käufer bezahlte den Wagen und das Angebot wurde aus eBay entfernt.

Als er sich wieder bei seinem eBay-Benutzerkonto anmeldete, wurde er zu seiner Überraschung informiert, dass er einen Artikel zum Verkauf hatte.Er sah sich die Seite an, und was musste er feststellen? Da wurde das gerade erst von ihm verkaufte Fahrzeug erneut zum Kauf angeboten. Dann fiel ihm etwas Seltsames auf.Die als Kontakt angegebene E-Mail-Adresse war nicht die seine.Sie war zwar der seinen extrem ähnlich – so ähnlich dass die meisten Leute keinen Verdacht geschöpft hätten – doch Koby bemerkte den Unterschied und wusste sofort, dass etwas nicht stimmte.

Er schickte dem "Verkäufer" eine E-Mail und bot an, das Fahrzeug zu kaufen und das Geld zu überweisen.Es stellte sich heraus, dass sich der "Verkäufer" in Chicago befand.Koby übergab diese Informationen dem FBI und die Betrüger wurden geschnappt.Doch wie konnten sich die Betrüger überhaupt Zugriff auf Kobys Benutzerkonto verschaffen? Eine Phishing-E-Mail, die besagte, dass mit seinem Benutzerkonto etwas nicht in Ordnung sei, hatte ihn dazu aufgefordert, auf einen Link zu klicken, um zu seinem eBay-Benutzerkonto zu gelangen.Er hatte auf den Link geklickt und war auf einer Seite gelandet, die der eBay-Seite unverwechselbar ähnlich sah und auf der er seine Anmeldeinformationen eingab.Die Betrüger konnten sich mit diesen Informationen bei seinem legitimen Konto anmelden und die angegebene Telefonnummer des Verkäufers ändern.

Michelles Geschichte

Die Kosmetikerin Michelle aus Kansas hatte ihren Computer seit drei Jahren und benutzte ihn, um mit ihren alten Schulfreunden in Kontakt zu bleiben. Sie sah sich außerdem gerne Kosmetikprodukte im Internet an, hatte jedoch noch nie etwas gekauft.Sie ist alleinerziehende Mutter von zwei Söhnen, die den Computer in erster Linie zur Recherche für Hausarbeiten benutzten.

Im Laufe des letzten Jahres bemerkte Michelle jedoch, dass ihr Computer langsamer arbeitete als bisher.Zum Zeitpunkt unserer Umfrage hatten ihre beiden Söhne schon ganz aufgegeben, mit dem Computer zu arbeiten, weil dieser so langsam war, dass er für sie nicht mehr zu gebrauchen war.

Zur Weihnachtszeit wollte Michelle einige kleine Aufmerksamkeiten für ein paar Arbeitskollegen einkaufen.Als besonderes Geschenk wollte sie für ihre Arbeitskollegin im Internet einen speziell gefertigten Anhänger bestellen.Da ihr Computer zu Hause nicht zu verwenden war, bestellte sie das Schmuckstück von dem Computer ihrer Schwester aus.Schon bald fiel ihr auf, dass auch der Computer ihrer Schwester sehr langsam arbeitete, und schloss daraus, dass Computer einfach nicht das Richtige für sie waren.

Doch war Michelles neuer Freund ein Informatikstudent, und als sie ihm von den langsamen Computern erzählte, schloss er sofort auf Spyware. Er lud ein Erkennungsprogramm für Spyware herunter und seine Ahnung wurde bestätigt.Es dauerte mehrere Tage, bis er das Chaos auf den Computern beseitigt hatte und die Spionageprogramme entfernen konnte, doch letztendlich waren sie wieder arbeitstüchtig.Zusätzlich installierte er noch Virenschutz- und Sicherheitssoftware auf den Computern von Michelle und ihrer Schwester, und die beiden surften schon bald wieder im Netz.Doch die Geschichte ist hier noch nicht zu Ende.

Während Michelle mit dem Computer ihrer Schwester im Internet war, hatte sie eine Popup-Werbung gesehen, in der ihr verkündet wurde, sie hätte 500 Dollar gewonnen. Sie müsse lediglich einige Fragen beantworten und hätte dann Anspruch auf einen Einkaufsgutschein für ein örtliches Kaufhaus im Wert von 500 Dollar.Michelle beantwortete die Fragen und erfuhr dann, dass sie erst zwei kleine Artikel kaufen müsste, um den Gutschein zu erhalten.Sie bestellte die zwei billigsten der zur Auswahl stehenden Artikel und gab dazu ihre Kreditkartendaten an. Im Anschluss versuchte sie, sich den Einkaufsgutschein zu holen.

Doch die Website nahm die von ihr eingegebenen Daten nicht an, und nach mehreren missglückten Versuchen gab Michelle auf und schrieb eine E-Mail an die Besitzer der Website, in der Hoffnung, dass diese ihr helfen würden.Sie schrieb zwei E-Mails, doch sie erhielt keine Antwort.Ihre Kreditkarte wurde für den Kauf der zwei "kleinen Artikel" belastet, doch von den 500 Dollar bekam sie nichts zu sehen. Diese Beispiele von Cyberkriminalität verdeutlichen, wie gerissene Internet-Betrüger nicht nur die Technologie (zum Beispiel Sandras Browser-Sicherheitslücke oder die fehlende Sicherheitssoftware auf Michelles Computer) auszunutzen wissen, sondern auch menschliche Unkenntnis schamlos ausbeuten.Die meisten Menschen vertrauen den Informationen, die sie im Internet sehen, und befolgen Aufforderungen zur Preisgabe persönlicher Daten oft blind.

Durch Aufklärung der Benutzer, wie sie gegen Cyberkriminalität ankämpfen können, lernen diese, die richtigen Entscheidungen zu treffen. Dadurch können sie nicht nur sich selbst, sondern andere in ihrem Umfeld schützen, die andernfalls von solchen Angriffen betroffen sein könnten.