"Wenn Druck aufgebaut wird, sollten die Alarmglocken klingeln"
Interview mit Maciej Ewertowski, Fraud-Experte bei Barclays
Hamburg, 6. Februar 2024
Phishing, Social Engineering oder Deepfakes: Der Kreativität von Kriminellen, um an sensible Daten zu gelangen, scheinen keine Grenzen gesetzt. Zum weltweiten Aktionstag für mehr Sicherheit im Netz klärt Fraud-Experte Maciej Ewertowski, verantwortlich für Betrugsprävention und -bekämpfung bei Barclays, über aktuelle Betrugsversuche auf und sagt, wie Kund:innen ihr Geld am besten schützen können.
Maciej, welche Situationen sind besonders riskant und wie können sich Bankkund:innen am besten vor Online-Betrug schützen?
Ewertowski: Das Ziel von Betrüger:innen ist es, an Kreditkartendaten oder andere besonders sensible Daten wie z.B. Sicherheitscodes, Passwörter, Benutzernamen zu gelangen. Damit können dann unter anderem unberechtigte Online-Zahlungen getätigt werden oder versucht werden Zugriff auf Konten zu erlangen. Es gibt verschiedene Wege, wie diese Daten gestohlen werden können.
Aktuell beobachten wir verstärkt Fälle, die auf Schadsoftware zurückzuführen sind. Das betrifft nicht nur Computer, sondern auch Android-Smartphones oder -Tablets. Nutzern von Android-Geräten empfehlen wir Apps nur über den Google Play Store herunterzuladen und die Funktion „Play Protect“ zu verwenden. Am Computer sollten unbedingt Firewall und Virenscanner verwendet werden. Der Virenscanner sollte regelmäßig aktualisiert werden und nach Sicherheitslücken suchen. Unabhängig von der Art des Gerätes sollte man darauf achten, dass das System und sonstige Software auf dem aktuellen Stand sind.
Maciej Ewertowski verantwortet unter anderem die Betrugsprävention bei Barclays.
Was beobachtest du in deinem Job aktuell? Welcher Betrugsart fallen derzeit die meisten zum Opfer?
Ewertowski: Der Klassiker ist natürlich Phishing: Über die Verlinkung auf gefakte Webseiten versuchen Betrüger:innen persönliche oder sensible Daten abzufangen. Gerade bei Bankingthemen oder Zahlungsaufforderungen sollte man deshalb besonders aufpassen und genau prüfen, ob die Mail echt ist. Häufig geht es um Aufforderungen, die persönlichen Daten zu aktualisieren oder durch den Klick auf einen Link eine “vorübergehende Kontoeinschränkung” zu verhindern. Wenn Druck aufgebaut wird, sollten die Alarmglocken klingeln. Auch bei Nachrichten per SMS oder WhatsApp gilt es vorsichtig zu sein.
In letzter Zeit hat es außerdem Fälle bei Reiseportalen wie Booking.com gegeben. Dort hieß es, die Zahlung der Unterkunft habe nicht geklappt, weil die Kreditkarte nicht verifiziert werden konnte. Das Perfide daran: In der Mail sind die korrekten Buchungsdaten aufgeführt, inklusive Reisende, Unterkunft und Reisezeitraum. Hier waren dann in der Regel zuvor die Hotels – also die Booking.com-Geschäftspartner:innen – Opfer einer Phishingattacke geworden, sodass die Betrüger:innen an die Daten der Übernachtungsgäste gekommen sind.
Welche psychologischen Tricks wenden Betrüger:innen dabei an?
Ewertowski: Ein psychologisch mieser Trick ist, Druck aufzubauen. Immer, wenn unser erster Reflex ist “Oh, jetzt muss ich schnell bezahlen, antworten, handeln, damit nicht dies oder das passiert ...”, heißt es: Lieber immer erst einmal eine Pause machen und in Ruhe über die nächste Handlung nachdenken. Es ist auch sinnvoll, mit jemand anderem darüber zu reden, der nicht persönlich betroffen ist. So lässt sich der Seriositätscheck zu zweit machen. Wenn wir uns diese kleine Auszeit nicht nehmen, können wir schnell in die Falle tappen. Das lässt sich dann nicht mehr zurücknehmen. Und: Wir sollten immer misstrauisch sein, wenn sich jemand unser Vertrauen erschleicht, unser Mitleid erregt, uns mit persönlichen Informationen überrascht oder mit unglaublich guten Angeboten lockt. Wenn es zu gut wirkt um wahr zu sein, ist es das wahrscheinlich nicht.
Können Kriminelle die Zwei-Faktor-Authentifizierung aushebeln?
Ewertowski: Eine Zwei-Faktor-Authentifizierung ist eigentlich wie ein “doppelter Boden”, weil das Verfahren die Bestätigung über zwei unterschiedliche Wege verlangt. Zum Beispiel den Login per Passwort im Online-Banking und die zusätzliche Eingabe eines per SMS übermittelten Sicherheitscodes. Das Problem ist hier oft der Faktor Mensch: Geben Kund:innen den Sicherheitscode Preis, weil Sie unter scheinheiligen Gründen dazu per WhatsApp oder Anruf aufgefordert wurden, dann hat zwar die Zwei-Faktor-Authentifizierung funktioniert, aber der Mensch versagt. Man spricht hier vom sogenannten Social Engineering. Sicherheitscodes sollten grundsätzlich nicht an Dritte weitergegen werden, auch nicht an Anrufer die behaupten Mitarbeiter:in einer Bank zu sein.
Welche Maßnahmen ergreift Barclays als Bank, um Kund:innen bestmöglich vor Betrug zu schützen?
Ewertowski: Prävention steht immer an erster Stelle. Deshalb informieren wir Kund:innen über unsere Website und in regelmäßigen Abständen in Aufklärungskampagnen per E-Mail, aber auch über die App, im Online Banking und auf unseren sozialen Kanälen. Weiterhin informieren wir Kund:innen über kritische Änderungen per SMS oder Brief und über eine Nachricht im Kundenkonto. Hierbei ist es wichtig, dass wir im Falle einer unberechtigten Änderung umgehend kontaktiert werden um möglichst einen Schaden abwenden zu können.
Darüber hinaus arbeiten im Hintergrund aber auch immer komplexe Sicherheitssysteme, von der die meisten Betrugsversuche verhindert werden können. Sollte es tatsächlich zu einer unberechtigten Zahlung gekommen sein, dann kommt es darauf an, dass diese schnell bemerkt und gemeldet wird. Schnelligkeit ist in solchen Fällen das A und O. Wir unterstützen unsere Kund:innen mit ein paar einfachen, aber wirksamen Mechanismen dabei, möglichen Kreditkartenbetrug festzustellen. So werden in der Umsatzübersicht innerhalb der App alle Kontobewegungen angezeigt und der Konto-Infoservice gibt bei Kreditkartentransaktionen eine Push-Nachricht ab.
Künstliche Intelligenz (KI) ist in aller Munde. Welche Risiken birgt das in Bezug auf Betrug?
Ewertowski: Viele von uns verwenden bereits KI-Lösungen im Alltag, Kriminelle sind da leider keine Ausnahme. KI kann verwendet werden um bessere Phishing-Emails zu erstellen, um Stimmen bestimmter Personen nachzuahmen oder um sogenannte Deepfakes zu erstellen. Bei Deepfakes werden mithilfe von Sprach- und Bewegtbildsoftware Look-a-likes von echten Personen erstellt, die kaum als Doppelgänger:innen zu entlarven sind. In welchem Ausmaß KI derzeit für Betrug verwendet wird, ist nicht genau abzuschätzen. Es häufen sich weltweit allerdings Berichte über die Verwendung von Deepfakes in Zusammenhang mit Social Engineering und das Thema KI wird uns in Zukunft sicherlich zunehmend beschäftigen.