Phishing-Mails:Google-Studie untersucht die Tricks der Betrüger

Drei Minuten entscheiden darüber, ob man digital abgezockt wird. Das ist das Ergebnis einer Studie von Google-Mitarbeitern. Gehen die Fälscher professionell vor, fällt fast jeder zweite Nutzer auf die Betrüger herein.

Von Hakan Tanriverdi

Drei Minuten können darüber entscheiden, ob man im Internet abgezockt wird. In dieser Zeit wühlen sich Kriminelle durch fremde E-Mail-Konten und suchen nach Material, das Geld verspricht. Das können Bankdaten sein, anzügliche Bilder oder das Adressbuch. Glauben die Kriminellen, dass sie damit Kasse machen können, beginnen sie eine ausgeklügelte Betrugsmasche. Wie sie tricksen, steht in einer aktuellen Studie von Google-Mitarbeitern. Und: Die Betrüger haben offenbar feste Bürozeiten: Fünf Tage pro Woche, Mittagspause, am Wochenende ist frei. Google als Betreiber der Seiten, die von den Hackern benutzt werden, kann die Arbeitszeiten der Kriminellen problemlos nachverfolgen. Das Vorgehen ist simpel - und doch kann jeder Internet-Nutzer leicht zum Opfer werden.

Die Abzocke beginnt mit einer E-Mail und endet mit Geldforderungen. Die Nachricht im Postfach dient allein dem Zweck, sich das Passwort des Nutzers zu angeln. Daher der Fachbegriff: "Phishing-Mail." Das Konto sei in Gefahr, man solle sicherheitshalber die Zugangsdaten mitteilen. Entweder, indem man direkt auf die E-Mail antwortet oder aber einen beigefügten Link anklickt und auf der neuen Seite die Daten eingibt. Die Adresse, von der die Mail kommt, scheint seriös zu sein. Statt Kundenhilfe@ihrebank.de steht da Kundenhilfe@ihre-bank.de - ein kleiner Bindestrich mit großer Wirkung. Auch die Adresse, zu der man per Link hingeführt wird, ist minimal verändert. Die Verfasser der Studie haben festgestellt: Je authentischer die Betrugsmail geschrieben ist, desto mehr Leute geben die Daten preis. Im Durchschnitt gelingt es den Kriminellen, 14 Prozent der Angeschriebenen auszutricksen. Besonders authentisch wirkende Seiten haben laut der Untersuchung sogar eine Erfolgsquote von 45 Prozent.

Der erste Schritt: Neues Passwort

Haben die Kriminellen Zugriff zum Postfach, nutzen sie die interne Suchfunktion: Die drei Minuten beginnen. Wird Geld gewittert, ist der erste Schritt oft, das Passwort zu ändern. Damit wird der Besitzer ausgesperrt. Bis er den Betrug bemerkt und meldet, vergeht wichtige Zeit.

Eine der Varianten, um an Geld zu kommen, ist eine Art digitaler Enkeltrick: Es ist ein Leichtes, Personen ausfindig zu machen, die dem Inhaber nahestehen, vor allem Angehörige. An diese werden E-Mails verschickt, die Nachricht ist persönlich gehalten. Man sei gerade im Urlaub und ausgeraubt worden. Es sei einem unangenehm, aber Geld werde dringend gebraucht, man werde es bald zurückzahlen. Es gibt der Studie zufolge eine Vielzahl an Geschichten, sie alle zielen auf die Emotionen der angeschriebenen Opfer - und natürlich auf das Geld. Postfächer, die man lange benutzt, sind oft voller persönlicher Daten. Haben sich Kriminelle erst einmal den Zugang verschafft, treten sie ein in eine intime Welt. So intim, dass sich die Besitzer erpressen lassen. Sie erhalten eine Nachricht von den Hackern und sollen Geld zahlen, um sich ihren Zugang zurückzukaufen.

Wie sich Nutzer schützen können

Nutzer können sich vor den Betrügereien schützen, wenn sie zwei Regeln beachten: Seriöse Unternehmen verlangen niemals vertrauliche Daten per E-Mail. Und statt Links anzuklicken, sollte man die Webseite lieber manuell eingeben. Sicher ist sicher.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: