:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was hinter schnellen Geldversprechen steckt Money Mules und Social Engineering
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Betrügerische Aktivitäten im Netz haben in den letzten Jahren immer weiter zugenommen. Angefeuert durch die Pandemie, ist die Zahl der Cybercrime-Vorfälle derzeit auf einem Allzeithoch. Neben Phishing-Attacken oder Scaming haben sich vor allem zwei weitere Formen der Netzkriminalität herauskristallisiert: Money Muling und Social Engineering. Dabei handelt es sich um Methoden, die meist in Zusammenhang mit organisiertem Verbrechen stehen.
In Bezug auf kriminelle Aktivitäten im Netz taucht immer öfter der Begriff „Money Mules“ auf. Dabei handelt es sich um eine Person, die einem Betrüger ihre Daten freiwillig zur Verfügung stellt, um schnell an Geld zu kommen. Dabei eröffnet sie beispielsweise ein Bankkonto und überlässt dem Kriminellen die Zugangsdaten und die volle Kontokontrolle. In selteneren Fällen erstellt der Betrüger mit seinen eigenen Daten ein Konto. Jedenfalls schaffen beide Varianten Raum für kriminelle Handlungen. Da Money Mules meist von Verbrecherbanden organisiert werden, läuft die Datenweitergabe auf Geldwäsche, moderne Sklaverei oder Terrorfinanzierung hinaus.
In den meisten Fällen werden Money Mules über die sozialen Netzwerke rekrutiert. Dabei handelt es sich um Jobanzeigen oder andere Angebote, die mit wenigen Klicks viel Geld versprechen. Sie richten sich daher vor allem an Studenten oder Menschen ohne gesichertes Einkommen. Die jeweiligen Plattformen entdecken und löschen solche Anzeigen zwar regelmäßig. Die Kriminellen können sie jedoch über neue Benutzerkonten leicht wieder aktivieren. Auch die direkte Ansprache über Messaging-Dienste ist üblich – selbst bei Menschen, die gar nicht aktiv auf der Suche nach einer neuen Einkommensquelle sind.
Social Engineering statt „Enkeltrick“
Social Engineering bedient sich ebenfalls der Methode der Datenweitergabe, verfolgt aber einen anderen Ansatz bei der Ansprache. Hier manipulieren die Betrüger ihre Opfer – beispielsweise mithilfe von gefälschten Kredit- oder Anlageangeboten, die so gut klingen, dass man sie kaum ablehnen kann. Die Pandemie hat solchen Betrügereien neue Möglichkeiten eröffnet. Dazu zählen zum Beispiel Benachrichtigungen, die die Nutzer mit Verweis auf neue Corona-Verordnungen auffordern, sich auf dem betreffenden Portal zu registrieren. Dadurch gelangen die Betrüger in den Besitz sensibler Personendaten. Auch bei Dating-Apps wird die Corona-Karte gespielt – etwa durch die Kontaktaufnahme von Personen, die finanzielle Hilfe benötigen.
Eine weitere Variante ist der Erbschaftsbetrug, bei dem der Betroffene ein Bankkonto eröffnet und sich per Vertrag einverstanden erklärt, dass seine Anmeldedaten für das neu erstellte Kontos weitergegeben werden. Die Betrüger erhalten damit Zugriff auf die Anmeldeinformationen und können sie online verkaufen, etwa im Dark Web. Das Opfer, dessen Daten mehr oder weniger offen zugänglich sind, ist damit natürlich auch für andere Betrüger attraktiv, die auf der Suche nach Identitäten für Manipulationen oder Geldwäsche sind
Der große Unterschied der beiden Taktiken
Beim Social Engineering ist den Betroffenen in der Regel nicht bewusst, dass sie mit ihrem Verhalten gegen das Gesetz verstoßen. Die Täuschungsmethoden sind so gut, dass sich nichts Böses vermuten lässt. Zum Beispiel geben sich die Betrüger als Recruiter, App-Tester oder Bankangestellte aus. Dabei fordern sie die unwissenden Nutzer zu Handlungen auf, die nicht als untypisch auffallen. Sobald sie Zugriff zu dem Konto haben, können sie eigenmächtig agieren und die Haftung auf die Betroffenen abwälzen.
Ein „Money Mule“ hingegen ist selbst am Betrugsszenario beteiligt und kooperiert freiwillig mit den Kriminellen. Zum Beispiel erhält er regelmäßig Geld für die Erledigung verschiedener Tasks. Money Mules sind sich der Illegalität ihrer Handlungen bewusst und meist nur auf schnelles Geld aus.
Es drohen hohe Strafen – selbst bei Unwissenheit
Aber auch wenn dem Money Mule nicht bewusst ist, dass er von Kriminellen missbraucht wurde, macht er sich strafbar. Fliegt die Sache auf, werden im ersten Schritt alle Konten – auch die privaten – eingefroren oder geschlossen. Der Fall kommt vor Gericht, es drohen bis zu 14 Jahre Haft. Aufgrund des Eintrags ins Strafregister kann es für den Betroffenen zudem schwierig werden, an Kredite zu kommen, Telefonverträge abzuschließen oder einen neuen Job zu finden.
Bei Social-Engineering-Fällen, in denen das Opfer unwissend gehandelt hat, drohen zunächst keine rechtlichen Konsequenzen. Allerdings kann es der Person verweigert werden, das Land zu verlassen, bis der Fall geklärt ist. Außerdem muss sie unter Umständen für den finanziellen Verlust voll haften. Nicht selten steht das Opfer am Ende mit hohen Schulden und schlechter Bonität da. Auch der bürokratische Aufwand kann enorm sein.
Psychische Manipulation als Ursache
Bei beiden Methoden – Money Mules und Social Engineering – nutzen die Betrüger menschliche Schwächen aus. Das können finanzielle Notlagen oder zwischenmenschliche Probleme sein. Die Kriminellen wissen dabei oft sehr genau, wie sie mit ihren Opfern umgehen müssen. Zudem sind Menschen in Notsituationen oft empfänglicher für vermeintliche Geldangebote. Und schließlich werden die Fälscher immer besser, so dass es zunehmend schwerfällt, Fake-Webseiten zu erkennen.
Sicher im Netz verkehren
Um solche Attacken zu verhindern, empfiehlt Europol, grundsätzlich keine Anmeldeinformationen wie Onlinebanking-Log-In-Daten, PIN-Codes oder andere persönliche Daten an Dritte weiterzugeben. Auch bei Mails oder Kontakten über soziale Medien, die schnelles Geld versprechen, ist absolute Vorsicht geboten. Wer ein Jobangebot erhält, das eine sofortige Geldüberweisung verspricht, sollte es unbedingt ignorieren und dem jeweiligen Plattformanbieter melden. Und Links sollten nur angeklickt werden, wenn ihr Absender zu 100 Prozent verifiziert ist. Bei bloßem Verdacht auf Money Muling, Social Engineering-Versuche oder sonstige dubiose Praktiken sollte der Nutzer seine Aktivitäten sofort einstellen und Anzeige erstatten.
Über den Autor: Benjamin Haas ist Senior Director EMEA bei IDnow.
(ID:47957037)
:quality(80)/p7i.vogel.de/wcms/25/41/254121df628b9be73ef82c65b64ec1b7/0114645591.jpeg "Verhaltensbiometrische Technologien können sichere MFA-Verfahren ergänzen und damit einen zusätzlichen Schutz vor Echtzeitbetrug bieten. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/05/85050265a3da19135fd181983f9fcb73/0109633818.jpeg "Cyberkriminelle umgehen die Sicherheits-Checks von App-Store-Betreibern mithilfe von sich ändernden Remote-Inhalten. Anschließend sind sie im offiziellen Apple App Store und Google Play Store gelistet und öffnen Cyberkriminellen Tür und Tor für Betrügereien.
(Bild: Missleestocker - stock.adobe.com)")