Phishing und Trojaner: So entlarven Makler Betrugsmaschen im Internet

Phishing, Trojanische Pferde und Verschlüsselungssoftware: Internet-Betrugsmaschen sind fast so alt wie das Medium selbst. Auch Makler sind immer wieder von Datenklau, Erpressungsversuchen und Schadprogrammen betroffen. Mit diesen Tipps können Immobilienprofis Internet-Kriminalität erkennen und entsprechend handeln.

Niemand ist davor gefeit, aber jeder kann versuchen sich zu schützen: Datenklau und Erpressungen. Schadprogramme und Phishing-Mails richten teilweise großen Schaden an. Auch Makler werden immer wieder Opfer von Betrugsmaschen und geben damit unwissentlich ihre persönlichen Daten und Passwörter weiter. Wir beschreiben die gängigsten Methoden, mit denen Kriminelle arbeiten, und erklären, wie sich Schadprogramme erkennen lassen:

1. Phishing – das Angeln nach Daten und Passwörtern

Phishing setzt sich zusammen aus ‚password‘ und ‚fishing‘ und bedeutet übersetzt ‚Nach Passwörtern angeln‘. Jeder, der über einen E-Mail-Account verfügt, ist demnach der Gefahr ausgesetzt, Phishing-Mails zu erhalten. Dabei versenden die Betrüger Mails mit der Aufforderung, auf einen Link zu klicken und Zugangsdaten, Passwörter oder Kreditkartennummern einzugeben. In den betrügerischen Nachrichten finden sich meist vertraute Firmenlogos sowie Links zu täuschend echt aussehenden Webseiten. Die Kriminellen fangen somit die Zugangsdaten, die bei solchen oder ähnlichen Phishing-Seiten eingegeben werden, ab und verwenden diese für kriminelle Zwecke. Zudem werden Phishing-Mails oft von gefährlichen E-Mail-Anhängen begleitet, die nach dem Öffnen eine Schadsoftware auf dem Computer oder Mobiltelefon installieren, der unbemerkt Passwörter und andere vertrauliche Daten ausspioniert. Selten werden die so erbeuteten Daten allerdings von den Datenfischern selbst genutzt. In der Regel werden die Daten verkauft.

Ähnlich funktioniert Phishing mittels SMS oder WhatsApp: Diese Methode wenden Betrüger oftmals auch bei Maklern an. Um herauszufinden, ob dieser noch aktiv ist, erhält er eine Nachricht mit der Frage, ob eine von ihm angebotene Wohnung noch frei sei. Antwortet der Immobilienprofi darauf, schicken ihm die Betrüger eine weitere Nachricht, in der er entweder um die Aktualisierung seiner Zugangsdaten gebeten wird oder in der ihm mitgeteilt wird, dass sein Immowelt-Konto deaktiviert wurde. In beiden Fällen gelangt der Makler mittels Link auf eine gefälschte Webseite, die der Immowelt-Seite täuschend ähnlichsieht.

2. Trojanische Pferde – versteckte Programme im Hintergrund

Als ein nützlich getarntes Programm oder ein Programm, das ein schädliches mit sich trägt, dringt das Trojanische Pferd in den PC ein. Wer die Software herunterlädt und diese im Anschluss anwendet, installiert das Schadprogramm auf dem PC, mobilen Gerät oder Smartphone. Ist dies geschehen, liest das Trojanische Pferd Passwörter und Daten aus, kann diese verändern, löschen oder an den Angreifer schicken. Zudem ist es in der Lage, eingegebene Tastaturfolgen aufzuzeichnen und so an sensible Daten zu kommen. Zudem sind die Angreifer dank ihnen in der Lage, den Rechner des Geschädigten fernzusteuern. Nachdem Trojanische Pferde häufig zusammen mit offiziellen Programmen installiert werden, bleiben sie oftmals lange Zeit unbemerkt.

3. Lösegeldforderung für Daten: Ransomware, Verschlüsselungs- oder Erpressungstrojaner

Ein unfreiwillig heruntergeladenes Schadprogramm – auch als Ransomeware, Verschlüsselungs- oder Erpressungstrojaner bekannt – sperrt den Zugriff auf einzelne Daten oder gleich den ganzen Computer. Es existieren mehre Varianten von Ransomware, dies sind drei der gängigsten:

• Nach dem Neustart des Rechners erscheint eine vermeintlich von der Polizei – oder einer ähnlichen Institution – stammende Meldung, dass der Computer an strafbaren Handlungen beteiligt war und daher nun gesperrt sei. Oftmals werden hierbei Urheberrechtsverletzungen oder Kinderpornografie-Delikte als Grund angeführt. Der Computernutzer wird in der Meldung aufgefordert, für die Freischaltung seines Rechners eine Strafzahlung zu leisten.
• Eine Meldung gibt vor, dass der Rechner einen Virus hat und daher aus Sicherheitsgründen einige wichtige Funktionen und Programme gesperrt wurden. Für die Freischaltung und Bereinigung jener Programme wird ebenfalls eine Zahlung gefordert.
• Der Lösegeld-Trojaner verschlüsselt sämtliche Daten auf dem Computer oder dem Smartphone. Die Daten sind danach nicht mehr nutzbar. Nur wer ein gefordertes Lösegeld zahlt, erhält angeblich den Entschlüsselungs-Code und somit wieder Zugang zu seinen Dateien.

‚Locky‘ ist wohl einer der bekanntesten Erpressungstrojaner und sein Name Programm: Dieser Trojaner aus dem Reich der Ransomware verschlüsselt und sperrt Daten sowie Dateien und gibt sie erst nach einer Lösegeldzahlung wieder frei. Mittels Spammails, die ein Word- oder Excel-Dokument enthalten, infiziert er den Computer. Wer das Dokument öffnet, öffnet zugleich dem Trojaner die Tür. Er verschlüsselt die Daten in hash.locky-Dateien und die einzige Möglichkeit der Wiederherstellung ist der Freikauf mittels der digitalen Währung Bitcoin. Allerdings rät die Polizei davon ab, den geforderten Betrag zu zahlen. „Wenn eine Wiederherstellung der Daten jedoch unumgänglich ist, gibt es dafür aber derzeit kaum Alternativen“, sagt Silvia Kahn, Pressesprecherin des Bundeskriminalamts Österreichs (BK). „Eine letztendliche Entscheidung darüber müssen die Opfer aber für sich selbst treffen.“ Denn eine Garantie, dass die Daten wirklich wiederhergestellt werden, die gibt es nicht.

4. Video Jacking/Öffentliche USB-Ladestation

Wenn der Akku leer ist, das Ladekabel aber zu Hause liegt, bietet es sich an, das Handy an einer öffentlichen USB-Station zu laden. Das kann sehr gefährlich sein: Denn Angreifer sind durch diese Verbindung in der Lage, den gesamten Displayinhalt des Handys als Video zu speichern. Damit haben sie nicht nur Einsicht in das Surfverhalten der Opfer, sondern können zugleich Passwörter, Sicherheitscodes, Texteingaben sowie auch den PIN auslesen. Betroffen hiervon sind alle Smartphones, die an ihrem Micro-USB-Port auch Mobile High Definition Link (MHL) oder einen Slimport-HDMI-Adapter anschließen können.

5. Identitätsmissbrauch bei Facebook und Co.

Facebook und Co. sind Sammelbecken für Betrüger. Nirgendwo sonst findet Internet-Betrug so geballt statt wie in den sozialen Netzwerken. Für Makler, die sich gerade über die sozialen Netzwerke mehr Erfolg in der Vermarktung erhoffen, stellt das ein großes Problem dar. Denn der fatale Klick auf einen vielversprechenden Link ist schnell passiert – gerade, wenn es eine vermeintliche Empfehlung eines Freundes ist. Die versprochenen Inhalte gibt es jedoch nicht, stattdessen allerhand Probleme: unwissentlich abgeschlossene Abos, die Weitergabe persönlicher Daten an Adresshändler, Computerviren oder ein gehacktes Profil sind nur einige Beispiele.

Gerade wenn ein Facebook-Kontakt unerwartet erneut eine Freundschaftseinladung schickt, sollte der Nutzer stutzig werden. Erklärt wird die erneute Anfrage meist damit, dass man sich versehentlich gelöscht hätte oder dass es ein Problem mit Facebook gab. Oftmals reicht ein Blick in die eigene Freundschaftsliste, um herauszufinden, dass es sich um eine dreiste Kopie des bestehenden Profils handelt. Nimmt der Nutzer die Anfrage unbedarft an, macht er sich meist selbst angreifbar für Identitätsmissbrauch. Dabei werden öffentliche Bilder als Profilbild benutzt und der öffentlichen Freundesliste wiederum neue Freundschaftsanfragen geschickt. Meist dauert es nicht lange, dass der vermeintliche Freund persönliche Daten des Nutzers, wie Geburtstag, Handynummer oder Adresse, abfragt. Diese werden dann über Adresshändler verkauft. Außerdem bittet der vermeintliche Freund oftmals um finanzielle Hilfe. Sie bitten um Geld via Paysafecard oder um die Weiterleitung von SMS-Codes, die auf das Handy des Opfers geschickt werden.

6. Gefälschte Rechnungen und Abmahnungen per E-Mail

Ab und zu trudeln auch dubiose Rechnungen ins E-Mail-Postfach ein, die vom Nutzer nicht zugeordnet werden können. Absender sind meist Inkassobüros beziehungsweise vermeintliche Anwälte, die ausstehende Zahlungen einfordern. Meist begleitet von der Androhung rechtlicher Schritte, wenn die Forderung nicht unverzüglich beglichen wird. Details zum Grund der Rechnung befinden sich angeblich in einer angehängten ZIP-Datei. Stattdessen enthält diese mit aller Wahrscheinlichkeit eher eine Schadsoftware, die sich im Hintergrund selbst installiert. Häufig werden auch bekannte Unternehmen als Auftraggeber des Inkassobüros oder des Anwalts angeführt.
Bei gefälschten Rechnungen sollten Makler nicht reagieren, auch nicht um sich zu beschweren. Damit geben sie den Betrügern nur die Rückmeldung, dass die E-Mail-Adresse noch aktiv ist und für weitere Angriffe offen. Dubiose Absender können auch über Suchmaschinen kontrolliert werden, denn meist ist man nicht das erste Opfer dieser Betrugsmasche.

Besonders bei Maklern gibt es häufig gefälschte Abmahnungen, wegen angeblicher Urheberrechtsverletzungen. Auch darin werden die Empfänger aufgefordert, Geldbeträge zu zahlen, um einem Gerichtsverfahren zu entgehen. Diese E-Mails kommen meist von vermeintlichen Rechtsanwälten, manchmal auch von Unternehmen, die angeblich Rechte- beziehungsweise Lizenzinhaber vertreten. Zum Teil scheinen die E-Mails aus Deutschland zu kommen, da dort das Abmahnwesen wesentlich ausgeprägter ist, als es in Österreich der Fall ist. Eine falsche Abmahnung ist aber schon daran zu erkennen, dass sie nur per E-Mail und nicht per Post zugestellt wird. Oftmals soll außerdem das Geld mittels Prepaid-Karte oder Online-Banktransfer ins Ausland überwiesen werden. Davon rät die österreichische Polizei dringend ab. „Die Opfer von illegalem Abmahnungen sollten die Sache am besten aussitzen. Denn auf ein Gerichtsverfahren werden die Betrüger es nicht ankommen lassen“, rät Claus Kahn, Leiter des Bereichs Betrug, Fälschung und Wirtschaftskriminalität des BK.

Die Gefahren scheinen allgegenwärtig, aber das bedeutet nicht, dass Nutzer ihnen schutzlos ausgeliefert sind. Denn es gibt einige Anhaltspunkte, an denen sie erkennen können, ob ihre Daten in Gefahr sind.

So erkennen Makler Phishing, Trojaner und Malware

Noch vor kurzer Zeit zeichneten sich Phishing-Mails vor allem durch mangelhaftes Deutsch, Satzzeichenfehler oder fehlende Umlaute aus. Meist sitzen die Betrüger im Ausland und sprechen selbst kein Deutsch. Die Texte werden dann mit Übersetzungsprogrammen übersetzt. Auch unpersönliche Anreden (‚Sehr geehrte Damen und Herren‘/‘Sehr geehrter Kunde‘) waren sehr lange ein sicheres Erkennungszeichen. Dies ist zwar nach wie vor ein Zeichen von betrügerischen Mails, jedoch weisen sich einige E-Mails mittlerweile auch durch sehr gute Sprache und persönliche Anreden aus. Dennoch gibt es weiterhin genügend Merkmale, die eine Phishing-Mail als solche entlarven:

• Die Absenderadresse unterscheidet sich von der bekannten Firmenadresse (zum Beispiel: info@service-immowelt.com statt info@immowelt.at) Allerdings ist auch hier Vorsicht geboten, da sich Absenderangaben ebenfalls fälschen lassen.
• Der Absender drängt den Empfänger zum schnellen Handeln („Wenn Sie nicht sofort Ihre Daten aktualisieren, gehen diese leider verloren …“)
• Drohungen werden ausgesprochen („Sollten Sie diese Schritte nicht ausführen, müssen wir Ihr Konto sperren …“)
• Die Mail enthält eine Aufforderung, Zugangsdaten oder Passwörter einzugeben
• Der Empfänger wird dazu aufgefordert, eine Datei zu öffnen – entweder mittels beigefügten Link oder einer angehängten Datei
• Die angehängte Datei ist im .exe-, zip- oder cab-Format
• In der URL steht http:// statt https:// – das fehlende ‚s‘ weist auf eine ungesicherte Verbindung hin.
• Die URL unterscheidet sich von der echten Adresse, indem sie zusätzliche Zahlen oder Buchstaben enthält (zum Beispiel www.23-a-immowelt.at) oder es steht statt www.immowelt.at beziehungsweise den Länder-Domains für Österreich (*at) oder Schweiz (*ch) www.imnowelt.com in der Adresszeile.

Während Phishingmails zum Handeln auffordern, agieren Trojanische Pferde zumeist im Hintergrund und geben sich dadurch zu erkennen, dass sich Programme selbstständig öffnen, Werbefenster eingeblendet werden oder der Computer plötzlich sehr langsam arbeitet.

Verschlüsselungstrojaner finden ihren Weg auf den PC über Dateianhänge – ob .jpg, .doc, .xls, .ppt, .exe, .zip,, mp3, .rar oder .pdf: Ist der Absender unbekannt, sollte der Empfänger die Datei keinesfalls öffnen. Im Gegensatz zu vielen anderen Trojanischen Pferden treten Verschlüsselungstrojaner beziehungsweise Ransomware aktiv in Erscheinung, indem sie Daten verschlüsseln und den Nutzer zu Lösegeld-Zahlungen auffordern.

Tatsächlich sind die Gefahren allgegenwärtig, aber niemand ist ihnen schutzlos ausgeliefert – jeder Nutzer kann sich ohne großen Aufwand vor Datenklau und Betrugsmaschen schützen.

Regeln und Tipps zum Schutz vor Betrugsmaschen

„Zu hundert Prozent kann sich der Nutzer nie schützen“, sagt Claus Kahn vom BK. Prinzipiell sollten sich Betroffene immer fragen, wer will da welche Informationen beziehungsweise Geld von mir und warum? Aufmerksamkeit und die richtigen Reaktionen stellen daher bereits einen effektiven Schutz vor Trojanischen Pferden, Phishingmails oder Malware dar und sind mit wenig Aufwand verbunden – verglichen mit der Schadensbegrenzung oder finanziellen Einbußen nach erfolgreichem Angriff. Nutzer sollten sich vorm Öffnen jeder Mail folgende Fragen stellen: Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet? Sind die drei Punkte Absender, Betreff und Anhang nicht stimmig, sollte der Nutzer die Mail ungeöffnet löschen. Eine gewisse Sicherheit vor Viren und Trojanern bietet außerdem ein stets aktuelles Antivirenprogramm mit Phishing-Filter.

Weiteren Schutz bieten zudem folgende Verhaltensweisen:

• Keine Links in E-Mails anklicken und danach womöglich die eigenen Zugangsdaten eingeben – außer, der Makler kann sich zu 100 Prozent sicher sein, dass er der Verbindung vertrauen kann.
• Links in Mails lassen sich dahingehend auf Seriosität überprüfen, indem Nutzer mit der Maus über den Link fahren. Steht hier statt www.immowelt.de beispielsweise www.immowelt.phishingdomain.de, zeigt dies einen gefälschten Link an.
• Niemals persönliche Daten wie Login-Daten, Passwörter und TANS preisgeben, egal ob per E-Mai, Chat oder Telefon.
• Keine unbekannten Datei-Anhänge öffnen. Darin sind oft Viren versteckt.
• Nutzer von sozialen Netzwerken sollten die dortigen Sicherheitseinstellungen kontrollieren und gegebenenfalls ändern, beispielsweise Bilder und Freundeslisten nicht mehr öffentlich zugänglich machen.
• Makler sollten ihre E-Mail-Adresse nicht im Exposé veröffentlichen, sondern Kontaktformulare verwenden. Diese erschweren es Betrügern, Phishing-Mails an die Immobilienprofis zu senden beziehungsweise in ihrem Namen E-Mails zu versenden.
• Der Rechner und die Programme sollten immer auf dem neuesten Stand sein. Ein aktuelles Virenschutzprogramm ist Pflicht. Auch die Sicherheits-Updates des genutzten Internet-Browsers sollten stets aktuell sein.
• Jedes Betriebssystem bietet die Möglichkeit, ein Administratorenkonto anzulegen. Dieses hat den Vorteil, dass sich die Schadsoftware nicht unbemerkt installieren kann.
• Der Nutzer sollte seine Passwörter in regelmäßigen Abständen ändern.
• Um einen Datenverlust im Falle von Verschlüsselungstrojanern vorzubeugen, sollte ein regelmäßiges Backup stattfinden. Externe Festplatten müssen nach dem Backup vom PC getrennt werden, damit Trojanische Pferde nicht auch noch auf diese Daten zugreifen können.

Bestehen Unsicherheiten bezüglich des Absenders beziehungsweise sind sich Makler unsicher, ob die E-Mail tatsächlich vom Absender stammt, sollten sie auf jeden Fall Kontakt mit dem Unternehmen aufnehmen. Auch eine überraschende Änderung der vertrauten Login-Seite sollte sofort gemeldet werden. Kunden von immowelt finden hier Hilfe.

Trotz aller Vorsichtsmaßnahmen kann es passieren, dass die Phishing-Mail Erfolg hatte oder ein Trojanisches Pferd sich eingenistet hat. In diesen Fällen müssen Nutzer schnell handeln.

Maßnahmen für Opfer von Phishing-Mails und Trojanern

Wenn plötzlich kein Zugriff auf Dateien möglich ist und Internet-Betrüger ein ‚Lösegeld‘ verlangen oder die Drohung nach Sperrung des Accounts so eindringlich war, dass der Nutzer aus Angst seine Zugangsdaten eingegeben hat, muss schnell gehandelt werden. Der Betroffene sollte

• sein Virenschutzprogramm umgehend aktualisieren.
• seine Passwörter, Zugangsdaten und Sicherheitsfragen ändern.
• seinen Rechner erst wieder nutzen, wenn er neu aufgesetzt wurde. Dann ist in der Regel die Schadsoftware restlos entfernt.
• sich Unterstützung von einem Fachmann holen.

Zudem sollten Nutzer ihre Bankkonten besonders sorgfältig überprüfen beziehungsweise sperren lassen, wenn sie ihre Kreditkartennummer oder PIN- und TAN-Nummer preisgegeben haben. Wurde auf die Geldforderung eingegangen und dann festgestellt, dass es sich um Betrüger handelt, sollten die Betroffenen versuchen, die Zahlung bei der Bank zu stoppen oder rückgängig zu machen. „Generell ist der Kontakt mit der Bank der erste Schritt, erst im Anschluss sollte der Gang zur Polizei erfolgen“, rät Claus Kahn. Oftmals schämen sich die Opfer aber, schließlich sind sie auf Betrüger reingefallen, was im Nachhinein den meisten als dumm erscheint. „Einige sagen sich dann ‚selbst schuld“ und gehen deshalb nicht zur Polizei“, weiß Claus Kahn. Doch eine Anzeige sollte auf jeden Fall erfolgen!

Um alle Beweise zu sichern, ist es von Vorteil, wenn Phishing-Betroffene einen Screenshot von der gefälschten Webseite machen. Außerdem sollten der Polizei jegliche Korrespondenz sowie mögliche Zahlungsbelege übergeben werden.

Die Aufklärung solcher Fälle ist jedoch meist schwierig. Die unsichtbaren Täter machen es der Polizei nicht leicht. Betrüger nutzen meist zahlreiche unterschiedliche E-Mail-Adressen oder Messenger-Dienste. Sie versuchen, so gut es geht, keine Datenspuren im Internet zu hinterlassen, die Rückschlüsse auf ihre wahre Identität zulassen. Ein weiteres Problem für die Ermittler ist, dass es weder einen klassischen Tatort geschweige denn Augenzeugen gibt. Außerdem arbeiten die Betrüger meist international, was für die Polizei einen enormen bürokratischen Aufwand bedeutet.

Um der Internet-Kriminalität mehr entgegensetzen zu können, hat das Bundesministerium für Inneres das Cyber-Crime-Competence-Center (C4) gegründet. Ein Schwerpunkt der Arbeit liegt dabei auf dem internationalen Austausch. Es wurde zudem eine Cybercrime-Meldestelle eingerichtet. Wer Hilfe oder Informationen benötigt, kann sich an against-cybercrime@bmi.gv.at wenden. Anzeigen sind über die Meldestelle noch nicht möglich. Diese werden von den örtlichen Polizeistellen aufgenommen.

Opfer von Verschlüsselungstrojanern müssen im schlimmsten Fall damit rechnen, ihre Daten nicht mehr wiederzubekommen – wenn sie nicht über aktuelle Backups verfügen. Ist der Trojaner schon etwas älter, gibt es teilweise Programme, die die Daten entschlüsseln können. Je jünger die Malware, desto schwieriger gestaltet sich eine Entschlüsselung. Wer die Hoffnung nicht ganz aufgeben möchte, baut seine Festplatte aus und wartet auf weitere Fortschritte in der Entschlüsselung von Erpressungstrojanern.