Social Engineering und Krypto: Wie Betrüger manipulieren

Social Engineering beschreibt Techniken und Praktiken, welche Schwachstellen der menschlichen Psyche manipulativ ausnutzen. Zwar kann man mit Fug und Recht behaupten, dass selbst ein gut geführtes Verkaufsgespräch Elemente aus dem Social Engineering aufweist, allerdings nutzen primär Betrüger und Hacker diese Techniken, um Opfer zu überzeugen. Der wesentliche Unterschied liegt also darin begründet, dass beim Social Engineering von falschen Sachverhalten überzeugt werden soll.

Im Kontext von Kryptowährungen wie Bitcoin, Ethereum oder Dogecoin spielt das Social Engineering eine große Rolle. Denn wenn es den Betrügern gelingt, ihr Gegenüber zu überzeugen, dann wartet nicht selten eine lohnenswerte Beute auf sie.

Warum das so ist, wie man sich vor Social Engineering schützen kann und was Opfer gemeinsam mit einem Anwalt dagegen unternehmen können, will ich gerne in diesem Beitrag erläutern.

Was ist Social Engineering?

Die menschliche Psyche weist einige Eigenschaften auf, welche in der Bevölkerung gleichmäßig verteilt sind. Das bedeutet, dass Betrüger sich unabhängig von der kontaktierten Person sicher sein können, dass sie mit einer hohen Wahrscheinlichkeit auf eine E-Mail, eine SMS oder ein Telefonat in bestimmter Art und Weise reagiert.

Dabei richtet sich die initiale Nachricht der Betrüger primär an die Gefühlsebene der Opfer. Häufig wecken sie die Neugier des Empfängers, appellieren an seine Hilfsbereitschaft oder machen ihm schlicht Angst. Wem beispielsweise mitgeteilt wird, dass seine Konten gesperrt werden, der ist plötzlich in Aufregung versetzt und registriert mitunter gar nicht, dass die E-Mail nicht von seiner Bank stammt. Auch das Vertrauen in Familie und Freunde wird missbraucht. Hier wäre der Enkeltrick oder die aktuell kursierende Betrugswelle per WhatsApp zu nennen, bei der sich Betrüger als Familienmitglieder ausgeben, die vermeintlich unter neuer Rufnummer in Kontakt treten.

Die Techniken, welche von Betrügern eingesetzt werden, sind dabei sehr vielfältig. Einige werden auch verstärkt von Hackern eingesetzt, weil es in manchen Fällen leichter sein kann menschliche Schwachstellen auszunutzen, anstatt welche in der IT zu suchen. Neben Privatpersonen sind auch Unternehmen ein beliebtes Ziel. Man kann folgende Techniken unter dem Begriff des Social Engineerings subsumieren:

• Phishing: Das Versenden betrügerischer E-Mails, SMS, Nachrichten per WhatsApp oder anderen Diensten. Diese sollen den Anschein erwecken, von legitimen Quellen zu stammen, um den Empfänger zur Preisgabe von Anmeldedaten oder persönlichen Informationen zu bewegen.
• Vorspiegeln von falschen Tatsachen: Das Vortäuschen eines erfundenen Vorfalls, um sensible Informationen zu erhalten. Diese Methode wird ebenfalls dazu verwendet, um sich Zugang zu abgeschirmten Bereichen auf Betriebsgelände zu verschaffen.
• Ködern: Unterbreitung eines verlockenden Angebots, um Malware zu verbreiten oder auf eine gefälschte Webseite umzuleiten. Das Spektrum ist in diesem Bereich sehr hoch. Es kann sich um Gewinnspiele, Sonderangebote oder Newsletter handeln, ist jedoch nicht darauf beschränkt.
• Nachahmung: Es wird vorgegeben, dass es sich um einen Mitarbeiter, einen Vorgesetzten oder ein Teammitglied des technischen Supports handelt. Im privaten Bereich sind es die Eltern oder die Kinder, welche vermeintlich in Kontakt treten. Zielsetzung der Täter ist es, das Vertrauen zu gewinnen und Informationen zu erlangen oder sogar eine Zusammenarbeit zu erwirken.
• Voice Phishing: Der Angerufene wird dazu verleitet, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Mit moderner Technik lassen sich sogar Stimmen imitierten, wenn die Betrüger ein Voice Sample zur Verfügung haben.
• Tailgating: Das unauffällige Verfolgen von befugtem Personal auf dem Betriebsgelände, in Bereiche mit Zugangsbeschränkungen ohne ordnungsgemäße Berechtigung zum Zutritt. Hier werden die Kolonnen von Mitarbeiter auf dem Weg von der Pause zurück an den Arbeitsplatz gerne zum Ziel.

Selbstverständlich ist diese Liste nicht abschließend und Täter können andere Methoden verwenden oder die oben genannten Techniken miteinander kombinieren. Social Engineering ist also sehr facettenreich und dient den Tätern zumeist als Auftakt für das eigentliche Delikt.

Warum haben es Betrüger auf Kryptowährungen abgesehen?

Kryptowährungen sind beileibe nicht das einzige Ziel, welches die Täter anvisieren. Auch Kreditkartendaten und Bankkonten sind attraktive und lohnenswerte Ziele für die Täter. Kryptowährungen genießen allerdings in den Augen der Betrüger einen besonderen Bonus, weil alle Transaktionen auf der Blockchain irreversible sind. Außerdem müssen sich die Täter nicht unter ihrem Klarnamen registrieren, um Kryptowährungen wie Bitcoin als Beute zu empfangen.

Hat man sich also mit Social Engineering Zugang zu den Kryptowährungen des Opfers verschafft, dann kommt man relativ leicht mit der Beute davon. Dementsprechend werden auch gerne Kreditkartendaten gestohlen, um damit Kryptowährungen zu kaufen. Auch die Konten von Börsen und Brokern sind ein beliebtes Ziel, denn hier lassen sich die digitalen Assets direkt auf ein Wallet abheben, wenn man das Opfer austrickst.

Wie kann man sich vor Social Engineering schützen?

Weil die Angriffsvektoren so zahlreich sind, gibt es keinen patentierten Schutz gegen Social Engineering. Stattdessen müssen Unternehmen und Anleger äußerst wachsam sein und bestimmte empfohlene Vorgehensweisen einhalten, um sich bestmöglich zu schützen:

• Gesunde Skepsis: Am besten hält man bei Anfragen jeglicher Art kurz inne und prüft deren Plausibilität.
• Rücksprache halten: Ihr Bankberater will per E-Mail erwirken, dass Sie eine Überweisung tätigen? Dann rufen Sie ihn lieber noch einmal an. Rücksprache über bereits bekannte Telefonnummern deckt Social Engineering sehr schnell auf.
• Nicht unter Druck setzen lassen: Ob per E-Mail, SMS oder am Telefon, lassen Sie sich nie unter Druck setzen. Beim Social Engineering spielen Betrüger oft mit Ängsten ihrer Opfer.
• Antivirus ist Pflicht: Sämtliche IT-Geräte sollten, wenn möglich, mit einem Antivirus geschützt werden.
• Verschlüsselung und 2-FA: Beide Komponenten machen Hackern das Leben schwer und schützen den eigenen Datenverkehr und Konten zusätzlich.

Was kann ein Anwalt im Fall von Social Engineering unternehmen?

Grundsätzlich kann ein Anwalt prüfen, ob es sich um eine Straftat handelt und eine entsprechende Strafanzeige erstatten. Außerdem kann er versuchen, Schadensersatz für die Opfer erwirken, sofern der oder die Täter ausfindig gemacht werden können.

Ich arbeite eng mit Crypto-Tracing zusammen, einem Dienstleister, der auf Blockchain-Forensik spezialisiert ist. Damit können Transaktionsdaten von Bitcoin und anderen Kryptowährungen ausgewertet werden, welche sich unter Umständen sogar mit anderen Daten verknüpfen lassen, die ihrerseits Hinweise auf die Täter geben. Diese privaten Ermittlungen unterstützen mich bei meiner Arbeit ungemein und können je nach den individuellen Umständen des Falls sogar entscheidende Hinweise auf die Täter geben.

Gerne berate ich Sie in einem Erstgespräch, wie in Ihrem Fall am besten vorgegangen werden kann. Lassen Sie die Täter nicht davonkommen und ergreifen Sie noch heute die Initiative!