Wie sind Einzelpersonen von Internetbetrug betroffen? Lesen Sie die folgende wahre Geschichte. Erfahren Sie mehr über die Grundlagen des Internetschutzes, um kein Opfer von Internetbetrug zu werden.

Sandras Geschichte

Sandra ist eine Personalreferentin aus Miami im US-Bundesstaat Florida. Computer gehören bei ihr seit über zehn Jahren zum Berufsalltag. Am Arbeitsplatz wird ihr Computer von der firmeneigenen IT-Abteilung verwaltet, und es gab noch nie Sicherheitsprobleme mit ihrem Arbeitscomputer.

Sandra ist der Meinung, dass sie sich mit Computern gut auskennt und glaubt, dass für sie aus den folgenden Gründen nur ein geringes Risiko besteht, ein Opfer von Internetbetrügern zu werden:

  • Sie kauft nie im Internet ein, weil sie nicht riskieren möchte, ihre Kreditkartendaten preiszugeben. Außerdem ist es ihr unangenehm, dass Daten über ihren Einkauf möglicherweise gespeichert werden und daraus ein Profil ihrer Vorlieben und Abneigungen erstellt wird.
  • Sie benutzt ihren Computer zu Hause nur zum Senden von persönlichen E-Mails an Freunde und Familie, zum Surfen im Web nach neuen Entwicklungen in ihrer Branche und einmal monatlich zum Online-Banking auf der Website ihrer Bank.
  • Hin und wieder sucht sie im Netz nach anderen Dingen, doch dies kommt nur selten vor.

Sandra ist ziemlich gut geschützt, oder?

Der Schein trügt. Letzten Sommer hörte sie in der Arbeit von einer neuen Browser-Schwachstelle in dem Webbrowser, mit dem sie arbeitete. Die Lage war so ernst, dass die IT-Abteilung noch am selben Tag Notfall-Patches an alle Computer der Firma verteilte. Zu Hause wollte sie sicherstellen, dass auch ihr privater Computer geschützt war. Also ging sie ins Internet, um sich über die Schwachstelle schlau zu machen und zu sehen, ob sie geschützt war.

Mithilfe einer gängigen Suchmaschine stieß sie auf eine Website, die nicht nur Informationen über die Schwachstelle zur Verfügung stellte, sondern auch einen Patch anbot, der automatisch heruntergeladen werden konnte. Sandra las sich die Informationen durch, doch sie entschied sich gegen den Download, da sie wusste, dass Daten nur von autorisierten Quellen heruntergeladen werden sollten. Anschließend lud sie den offiziellen Patch von der Website des Webbrowser-Herstellers herunter.

Was also ist falsch gelaufen?

Während Sandra auf der ersten Website Informationen über die Schwachstelle sammelte, machte der kriminelle Programmierer der Website von eben dieser Schwachstelle auf ihrem Computer Gebrauch. Tatsächlich wurde, als sie auf "Nein" klickte (um den angebotenen Download abzulehnen), ohne ihr Wissen ein kleines, aber wirksames Crimeware-Programm automatisch auf ihrem Computer installiert.

Bei dem Programm handelte es sich um einen Tastenaufzeichner (Keylogger). Zum selben Zeitpunkt erhielt der Besitzer der Website bereits eine Benachrichtigung, dass der Keylogger unbemerkt auf Sandras Computer installiert wurde. Das Programm war so konzipiert, dass von diesem Moment an heimlich alle Tastenanschläge aufgezeichnet und an den Besitzer der Website gesendet wurden. Das Programm funktionierte einwandfrei und zeichnete alle von Sandra eingegebenen Daten auf. Jede besuchte Website und alle gesendeten E-Mails wurden an den Internetbetrüger weitergeleitet.

Sandra erledigte an diesem Abend auch ihr monatliches Online-Banking. Als sie sich bei ihrem persönlichen Benutzerkonto anmeldete, zeichnete der Tastenaufzeichner auch diese Tastenanschläge auf, einschließlich aller geheimen Daten: Name der Bank, Benutzername, Kennwort sowie die letzten vier Ziffern ihrer Sozialversicherungsnummer und den Mädchennamen ihrer Mutter. Das System der Bank war sicher und die von ihr eingegebenen Daten wurden verschlüsselt, damit niemand auf die Daten zugreifen konnte. Der Keylogger speicherte die Daten jedoch in Echtzeit während der Eingabe – bevor sie verschlüsselt werden konnten. So konnte das Keylogger-Programm die Sicherheitsmaßnahmen umgehen.

Jetzt war es nur eine Frage der Zeit, bis der Name ihrer Bank, ihr Benutzername, ihr Kennwort und der Mädchenname ihrer Mutter in die Hände des Internetbetrügers fielen. Er fügte ihren Namen und die dazugehörigen Daten zu einer langen Namenliste anderer nichtsahnender Benutzer hinzu. Diese Liste verkaufte er dann an eine Internetbekanntschaft, die sich darauf spezialisiert hatte, mit gestohlenen Bankdaten illegal Geld abzuheben. Als Sandra einige Wochen später Geld in ihr Konto einzahlte und einen Kontoauszug verlangte, stellte sie zu ihrem Entsetzen fest, dass ihr Bankkonto so gut wie leergeräumt war. Sandra war ein Opfer der Internetbetrug geworden.