DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Das Internet – ein Eldorado für Betrüger

Job-Scamming – Ihr (Alb)traumjob im Internet

Das Internet – ein Eldorado für Betrüger
Ist Ihnen im Internet schon einmal etwas begegnet, was zu schön klingt, um wahr zu sein? Das per­fekte Angebot, der per­fekte Partner oder der per­fekte Job? In dieser Hin­sicht sind die meisten von uns sen­si­bi­li­siert. Es ist eher unwahr­scheinlich, dass uns tat­sächlich ein nige­ria­ni­scher Prinz sein Ver­mögen hin­ter­lassen will oder dass wir als 1000. Besucher der Website einen tollen Preis abstauben. Aber wie sieht es mit Sachen aus, nach denen wir aktiv im Internet suchen und dem­entspre­chend eupho­risch sind, wenn wir diese gefunden haben, wie bei­spiels­weise unseren Traumjob oder unseren See­len­ver­wandten? Zum einen kann es natürlich sein, dass es das Leben einfach gut mit uns meint, jedoch könnten auch Betrüger für unser schein­bares Glück ver­ant­wortlich sein.

Love-Scamming
Die Methode des Love- oder Romance-Scamming ist mitt­ler­weile eini­ger­maßen bekannt, weshalb ich hier nur kurz darauf ein­gehen werde. Über Part­ner­börsen bzw. soziale Netz­werke lernt man seinen schein­baren Traum­partner kennen, mit dem man nach einiger Zeit einen nicht geringen Grad an Inti­mität erreicht. Die Betrüger sind Profis, die tief in die Psyche des Opfers ein­dringen können und so ein Ver­trau­ens­ver­hältnis auf­bauen. Wenn dies erst einmal groß genug ist, braucht die „große Liebe“ angeblich dringend Geld, sei es für eine wichtige Ope­ration oder auf­grund von Geld­pro­blemen auf einer Geschäfts­reise. Ist dies über­wiesen, wird der Kontakt abge­brochen, oder sogar — besonders dreist — wei­teres Geld gefordert.

Job-Scamming
Ganz anders, aber min­destens genauso raf­fi­niert, gehen die Betrüger bei der Methode des Job-Scamming vor. Sie bedienen sich dabei oft tat­sächlich exis­tie­render Stel­len­an­zeigen bekannter Unter­nehmen, kopieren bzw. ver­fäl­schen diese und ver­öf­fent­lichen sie auf Job­börsen im Internet. Die Angebote klingen meist ver­lo­ckend und sind kaum als „Scams“ zu erkennen. Anschließend wird der gesamte Bewer­bungs­prozess online durch­ge­führt, was auch nicht unüblich ist. Der ver­meint­liche neue Arbeit­geber bittet dabei unter anderem um die Über­mittlung per­sön­licher Daten, eben­falls nicht außer­ge­wöhnlich. Allein diese Angaben können aber miss­braucht und somit zu Geld gemacht werden, jedoch hört der Betrug hier selten auf. Oft wird noch eine Über­weisung gefordert, sei es für eine Ver­mitt­lungs­gebühr oder für eine für den neuen Job not­wendige Software.
Auf eine weitere perfide Methode im Rahmen des Job-Scamming, vor der das LKA Nor­d­rhein-Wes­t­­falen aus­drücklich warnt (https://lka.polizei.nrw/artikel/job-scamming), werde ich im Fol­genden aus­führ­licher ein­gehen.

Kon­to­er­öffnung durch Video­Ident im Rahmen des Job-Scamming
Hierbei wird das Opfer auf­ge­fordert, mittels Video­Ident seine Iden­tität zu bestä­tigen. Dieses Ver­fahren ist seit 2016 von der Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) genehmigt und wird vor allem von Banken für die Erstellung von Online-Konten, aber auch für andere Inter­net­ge­schäfte wie bei­spiels­weise das Abschließen eines Mobilfunk-Ver­­­trages genutzt. Im Gegensatz zum klas­si­schen Post­Ident kann man sich bequem von zuhause aus­weisen, hierfür benötigt man nur eine funk­tio­nie­rende Webcam, eine stabile Inter­net­ver­bindung sowie gute Licht­ver­hält­nisse. Man erhält dann von der Bank bzw. seinem jewei­ligen Partner — meistens per E‑Mail- einen Link, der zu einer unab­hän­gigen und sicheren Seite wie zum Bei­spiel IDnow (weitere Infor­ma­tionen: https://www.idnow.io/de/produkte/idnow-videoident/) führt. Dort öffnet sich ein Videochat, in dem man von einem Mit­ar­beiter der von seinem Partner aus­ge­wählten Iden­ti­tät­prü­fungs­plattform durch die not­wen­digen Schritte geführt wird. Man muss nur sein Gesicht und seinen Per­so­nal­ausweis gleich­zeitig in die Kamera halten und am Ende gege­be­nen­falls einen per SMS oder E‑Mail erhal­tenen Sicher­heitscode bzw. eine Tan ein­geben, um seine Iden­tität zu bestä­tigen. Dieses Ver­fahren gilt als relativ sicher, das Risiko eines Hacker­an­griffs kann jedoch nie zu 100 % aus­ge­schlossen werden.

Soviel erst einmal zur Funk­ti­ons­weise von Video­Ident, doch wie nutzen die Betrüger dieses zu ihrem Vorteil? Sie behaupten, dass die Erstellung eines Kontos not­wendig für die Iden­ti­fi­kation des Bewerbers sei, es danach jedoch unver­züglich gelöscht werde. Ein Konto auf den Namen des Opfers wird dann tat­sächlich erstellt, jedoch nicht mit dessen, sondern mit gefälschten Kon­takt­in­for­ma­tionen, sodass die Täter nach der erfolgten Legi­ti­mation durch Video­Ident darauf Zugriff haben. Abhängig davon, wie das Konto dann genutzt wird, muss der Geschjä­digte dann mit exor­bi­tanten Aus­gleichs­zah­lungen rechnen.
So genial die Methode auch ist, ihr Erfolg hängt von der Nai­vität des Opfers ab. Video­Ident wird zwar tat­sächlich in Bewer­bungs­pro­zessen genutzt, man wird jedoch niemals auf­ge­fordert, ein Konto zu erstellen. Bei Bewer­bungen, die aus­schließlich online ablaufen, ist ohnehin Vor­sicht geboten, sobald auch nur die geringsten Unre­gel­mä­ßig­keiten auf­treten, ist eine Rück­ver­si­cherung beim ver­meint­lichen Arbeit­geber unab­dingbar. Falls man doch einmal in die Falle getappt sein sollte, sollte man sofort das Konto sperren lassen und – wie immer, wenn man Fremden seine Daten gegeben hat — die Polizei infor­mieren.

Fazit
Abschließend lässt sich sagen, dass Sachen, die zu schön sind, um wahr zu sein, meistens auch nicht wahr sind. Im Internet ist es essen­tiell, immer wachsam zu sein und sich rück­zu­ver­si­chern. Man kann im Internet tat­sächlich seinen Traumjob oder seinen See­len­ver­wandten finden, jedoch sollte vor lauter Adre­nalin der gesunde Men­schen­ver­stand nicht aus­ge­schaltet werden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Chris­topher Strehl, DATEV eG

Chris­topher Strehl stu­diert seit 2017 Inter­na­tional Business Studies an der Friedrich-Alex­ander-Uni­ver­sität in Nürnberg. Seit Oktober 2019 ist er bei der DATEV eG als Prak­tikant im Bereich Infor­ma­ti­ons­si­cherheit, Schwer­punkt Risi­ko­ma­nagement tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.