Datendiebstahl über Streaming-Dienste


Vorsicht vor diesen Phishing-Angriffen auch 2025
Die enorme technische Entwicklung führt dazu, dass Internetseiten von Unternehmen noch perfekter gefälscht werden


Phishing-Angriffe per E-Mail machen nach wie vor noch einen Großteil der Cyber-Angriffe auf Verbraucherinnen und Verbraucher aus. In den letzten Jahren sind jedoch neue Kanäle und damit auch Angriffswege hinzugekommen. Die Opfer von Cyberkriminalität werden ebenso per SMS, WhatsApp und anderen Messenger-Diensten sowie über Direktnachrichten auf Social-Media-Plattformen kontaktiert. In seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine Veränderung der Phishing-Angriffe hin: Erstmals haben Verbraucherinnen und Verbraucher mehr Phishing-Mails aus anderen Branchen als dem Finanzsektor gemeldet.

Phishing-Kampagnen unter dem Namen bekannter Streaming-Dienste haben deutlich zugenommen. In den Phishing-Nachrichten werden beispielsweise angebliche Änderungen der Nutzungsbedingungen, Preis- oder Zahlungsänderungen oder auch Maßnahmen gegen unerlaubtes Account-Sharing vorgegeben. Letztlich geht es den Betrügern aber immer nur um eines: um das Ausspähen sensibler Informationen, insbesondere von Zahlungsdaten.

Zeitverzögerung als Angriffsmethode
Beobachtet wird, dass der Zeitpunkt zwischen dem Abfischen der Daten und dem Ausnutzen der Informationen eine gewisse Zeit – zum Beispiel einige Tage – auseinanderliegt. Dies ist Teil der Angriffstaktik: dem Opfer fällt es dadurch schwerer, die Vorfälle in einen Zusammenhang zu bringen. Die Gefahr ist dann besonders groß, dass der Angriff gar nicht bemerkt und somit auch der Bank oder der Polizei gemeldet wird.

Telefon als Betrugsmittel
Haben die Betrüger sensible Daten von ihren Opfern abgefischt oder ausgespäht, folgt oft der nächste Schritt: Per Telefon wird versucht, die Menschen gezielt zu manipulieren, um auf diese Weise weitere Daten, eine Zahlungsfreigabe oder auch mittels einer Software den kompletten Zugriff auf den PC zu bekommen. Ein Beispiel: Wer plötzlich einen Anruf von seiner Bank, der Bundesanstalt für Finanzaufsicht (BaFin) oder auch vom Sperrnotruf 116 116 erhält, sollte sich fragen, ob dieser Anruf wirklich berechtigt sein kann. "Wir haben Unregelmäßigkeiten auf Ihrem Konto festgestellt", "Jemand hat versucht, auf Ihr Konto zuzugreifen" oder "Wenn Sie jetzt nicht handeln, wird Ihr Konto gesperrt". Natürlich werden auch bei Service-Hotlines einer Bank persönliche Daten (Name, Straße, Geburtsdatum) abgeglichen, um den Anrufer zu identifizieren. Die PIN für das Online-Banking oder eine Transaktionsnummer (TAN) werden Bankangestellte aber niemals erfragen.

Die beste Reaktion auf so einen Anruf ist, das Gespräch zu beenden. Fragen Sie selbst bei der Bank nach, ob es Unregelmäßigkeiten mit dem Konto oder der Karte gibt. Um zu vermeiden, dass Sie über eine manipulierte Rufnummernanzeige direkt wieder bei den Betrügern landen, wählen Sie die korrekte Nummer selbst und nutzen Sie nicht die automatische Rückruftaste.

Fake-Websites locken mit Angeboten
Die enorme technische Entwicklung führt dazu, dass Internetseiten von Unternehmen noch perfekter gefälscht werden. Nachrichten mit besonderen Aktionen, Gutscheinen oder auch angeblich notwendigen Kundendaten-Aktualisierungen können täuschend echt im Unternehmensdesign nachgebildet werden. Tatsächlich kann der Link auf eine gefälschte Seite führen, so dass die eingegebenen Daten direkt bei den Kriminellen landen. Auch Schnäppchen und besonders attraktive Produkte von unbekannten Anbietern sollten vor dem Kauf genau geprüft werden.

Missbrauch von KI
Der Einsatz von KI-Tools ermöglicht es den Kriminellen, ihre Angriffe zu optimieren. Mit KI gestützten Sprachmodellen können verdächtige Fehler in Texten ausgemerzt werden. Wenn durch Missbrauch künstlicher Intelligenz Stimmen von Angehörigen nachgeahmt werden, hebt das die Angriffe auf ein neues Niveau. Wenn diese von einem Angehörigen in einer angeblichen Notlage stammen, z.B. "Mama, ich hatte einen Unfall. Sie lassen mich erst gehen, wenn ich eine Kaution hinterlege. Hilf mir, schnell!" ist es für niemanden leicht, Ruhe zu bewahren. Doch so schwer es auch fällt, dies ist der erste wichtige Schritt. Sie sollten auflegen, den Angehörigen selbst kontaktieren, oder sich im persönlichen Umfeld besprechen.

Gefälschte Briefpost, Steuerbescheide oder Strafzettel
Und trotz aller Digitalisierung: Auch Papierpost kann gefälscht werden und ist in Kombination mit QR-Codes, die auf eine gefälschte Webseite führen, eine besonders perfide Betrugsmethode der Kriminellen. Es können gefälschte Briefe von der Bank sein, aber auch gefälschte Rechnungen von Unternehmen mit geänderten Kontoverbindungsdaten oder Steuerbescheide mit angeblichen Nachzahlungen - nur leider nicht auf das Konto des Finanzamtes, sondern auf das der Kriminellen. Auch bei "analogen" Briefen oder Bescheiden sollten wir wachsam sein.

Viele Internet-Nutzer werden Opfer von Online-Betrug. Eine Übersicht typischer Betrugsmaschen und Tipps zur Abwehr und Vorsorge gegen Onlinekriminalität gibt der Bankenverband in seinem Lexikon Cybersecurity. Aktuelle Warnungen gibt die Verbraucherzentrale in ihrem Phishing-Radar. (Bundesverband deutscher Banken: ra)

eingetragen: 24.12.24
Newsletterlauf: 10.03.25

Bankenverband: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Hinter den Kulissen der Hacktivisten

    Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.

  • Robuster Disaster-Recovery-Plan erfordert

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.

  • Dem Software-Lieferketten-Risiko begegnen

    In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

Retrieval Augmented Generation (RAG) Sicherheitsherausforderung der generativen KI

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen