„Eigentlich führt man mich nicht so leicht aufs Glatteis. Dass ich auf so eine Masche hereinfallen würde, hätte ich nie gedacht“, sagt Robert. Und doch wurde der Luxemburger Rentner aus dem Süden des Landes um mehrere hundert Euro erleichtert. Denn: Er ist vor wenigen Wochen Online-Betrügern ins Netz gegangen. Womöglich eine dieser vielen Banden, die in indischen Callcentern Tag aus, Tag ein die Telefonlisten abklappern, auf der Suche nach dem nächsten gutgläubigen Opfer.
Vor Phishing, Hacking oder Maschen mit nigerianischen Prinzen, die ihr Erbe schnell außer Landes schaffen wollen, sind die meisten Menschen längst gewarnt. Dank der Präventionsarbeit von Polizei und Behörden geben nur noch die wenigsten Nutzer einfach so Passwort oder Bankdaten im Netz preis. Und wer dennoch fragwürdige Links in komischen E-Mails ansteuert, kann sich meist auf ein gutes Schutzprogramm verlassen, das in letzter Sekunde noch die Alarmglocken läutet.
Leider gehen auch die Betrüger mit der Zeit und lassen sich immer aufwendigere Methoden einfallen, um die Menschen um ihr Erspartes zu bringen. Oft investieren die Täter viel Zeit in die Opfersuche, nehmen hunderte Absagen in Kauf, um nur einen dicken Fisch an Land zu ziehen. Die Palette der sogenannten Scams, der sie sich bedienen, scheint schier unendlich. Doch die Herangehensweise ist in vielen Fällen oft die gleiche.
Entweder verfügen die Betrüger über Listen mit Kontaktdaten, die auf gut Glück abtelefoniert oder per E-Mail kontaktiert werden. Oder sie schalten Anzeigen im Internet frei, die potenzielle Opfer zu einer falschen Helpline lotsen. In der Annahme, mit Mitarbeitern eines etablierten Unternehmens an der Lösung eines Problems zu arbeiten, lassen sich die User dann so weit aus der Deckung locken, dass sie sogar Unbekannten Zugang zum eigenen Computer verschaffen.
„Nette Mitarbeiter“
„Ich habe mit dem Mitarbeiter so geredet, wie wir beide jetzt miteinander sprechen. Er hat mir von seinem Leben in London erzählt, dass er aus den USA stamme und bald wieder zurückwill. Nie hätte ich gedacht, dass dieser Mann etwas Böses im Schilde führt“, erinnert sich auch Romain an sein Gespräch mit einem vermeintlichen Microsoft-Mitarbeiter. Dieser hatte sich beim Luxemburger gemeldet, mit dem Vorwand, im Auftrag des Software-Giganten Schadprogramme vom Computer entfernen zu wollen. „Mir war in den Tagen zuvor aufgefallen, dass mein PC viel langsamer läuft als sonst. Also habe ich zugestimmt“, so Romain.
Zehn Euro habe das Unternehmen für diese Operation verlangt. Die Summe sollte per Online-Banking überwiesen werden. Als Romain dann zur Tat schreiten wollte, wollte das Programm die Zahlen des Sicherheitstokens nicht annehmen. Ein Trick der Betrüger, die den Rechner bereits mit einem Zugriffsprogramm manipuliert hatten, um dem Opfer eine falsche Login-Seite vorzuspielen. Daraufhin habe sich der „nette Mitarbeiter“ angeboten, die Sicherheitszahlen selbst einzugeben. Romain müsse ihm nur die sechs Zahlen per Telefon übermitteln – und schon hatten die Betrüger persönlich Zugriff auf sein Bankkonto im Internet.
Unter dem Vorwand, den Rechner von Schadprogrammen zu befreien, machten sich die Betrüger am Konto ihres Opfers zu schaffen. Dabei wurden insgesamt 50.000 Euro an zwei Konten einer spanischen Bank in Portugal überwiesen. Dass die vermeintlichen Empfänger Namen indischer Gottheiten trugen, war bis dahin niemandem aufgefallen. Als sich die Luxemburger Bank eine Stunde später bei Romain meldete, um ihm von den ungewöhnlichen Überweisungen zu berichten, war es bereits zu spät: Der oder die Betrüger waren mit dem Geld bereits über alle Berge.
Eine ähnliche Erfahrung musste auch Robert machen. Mehrere Versuche habe er in den letzten Jahren abwehren können: „Da waren E-Mails von Betrügern dabei, die sich für Unternehmen wie Paypal ausgegeben haben. Oder eine Nachricht der Polizei, dass mein Rechner im Zusammenhang mit pädophilen Aktivitäten aufgefallen sei und ich jetzt eine Geldstrafe zahlen müsse“, so der Rentner.
Er sei stets auf der Hut gewesen. Eine falsche Helpline sei ihm schließlich zum Verhängnis geworden. Details will der Betrogene keine nennen: „Dafür schäme ich mich zu sehr“, so Robert. So viel hat er dem Tageblatt dennoch verraten: In der Annahme, die Helpline eines Anti-Viren-Programmes zu verständigen, sei er Betrügern auf den Leim gegangen, die im Internet falsche Anzeigen geschaltet hatten.
Da es sich „nur um wenige hundert Euro“ gehandelt habe, habe er auch davon abgesehen, die Polizei zu verständigen. Ein Problem, wie die Ordnungskräfte gegenüber dem Tageblatt betonen: „In diesem Bereich muss man von einer hohen Dunkelziffer ausgehen“, so eine Sprecherin der Polizei. „Das macht es natürlich nicht einfacher, das Phänomen der Cyberkriminalität zu quantifizieren.“
In der Kriminalstatistik der Polizei finden Vergehen und Betrügereien im Netz nämlich keinen Niederschlag. „Generell sind unsere Statistiken so aufgebaut, dass sie Tendenzen in sogenannten Überkategorien aufzeichnen und nur auf einige bestimmte Phänomene im Detail eingehen“, erklärt die Sprecherin. Cyberkriminalität sei jedoch ein breitgefächertes Gebiet, weshalb die verschiedenen Vergehen in jeweiligen Überkategorien gelistet werden, wie etwa Betrug oder Diebstahl.
Außerdem sei Cyberkriminalität im Luxemburger Strafgesetzbuch nicht unter einer bestimmten Definition erfasst. „Der Interpretationsspielraum ist entsprechend groß: Das reicht von sogenannten Scams, bei denen Menschen Opfer von Betrugsmaschen werden und größere Geldsummen überweisen, über die Erpressung von Privatpersonen bis hin zu Unternehmen, die gehackt werden. Für manche Menschen ist der Diebstahl eines Smartphones bereits ein Cybercrime“, so die Sprecherin.
Es sei entsprechend schwierig, einheitliche Zahlen in diesem Bereich zu nennen. Wie viele Menschen nun in den letzten Jahren auf bestimmte Maschen reingefallen sind, könne die Polizei deshalb nicht mit letzter Sicherheit sagen. Aus dem letzten offiziellen Tätigkeitsbericht (von 2020) geht lediglich hervor, dass Hacking und falsche Investmentseiten immer noch zu den gängigsten Formen der Cyberkriminalität in Luxemburg gehören.
Im Laufe des Jahres 2020 sei außerdem ein Anstieg beim „Phishing“ und den sogenannten „Ransomwares“ festgestellt worden. Dabei handelt es sich um Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden.
Spur nach Indien
„Bei Cyberkriminalität hat die Polizei oft das Nachsehen“, so ein Experte gegenüber dem Tageblatt. „Manche Opfer verständigen nicht mal die Behörden. Sei es nun aus Scham oder aus einem Gefühl heraus, nichts mehr anrichten zu können.“ Betrüger bauen so viele Schutzmechanismen ein, dass sie nur in den wenigsten Fällen wirklich ausfindig gemacht werden können. „Und dann sitzen sie oft so weit entfernt, dass man nicht an sie herankommt. Viele Betrüger arbeiten in illegalen Callcentern in Indien, die dann auch noch von einheimischen Behörden geschützt werden“, so der Insider.
Dennoch werde jedes einzelne Phänomen genommen, wie die Polizeisprecherin versichert. Die Kriminalpolizei verfüge sogar über ein spezifisches Team, das exklusiv nur in diesem Bereich ermittelt. „Cyberkriminalität ist auch ein grenzüberschreitendes Phänomen. Deswegen ist die Zusammenarbeit mit den ausländischen Behörden in diesem Zusammenhang besonders wichtig“, erklärt die Polizeisprecherin. Gleichzeitig investiere die Polizei weiterhin in Präventionsarbeit, wie etwa Sensibilisierungskampagnen im Netz oder punktuelle Nachrichten in den Medien, wenn bestimmte Maschen verstärkt auftreten.
Für Romain sind diese Ausführungen kein Trost: Die ersparten 50.000 Euro wird er wohl nie wieder sehen. Zwar ärgere er sich über die eigene Naivität. „Allerdings hatte ich auch nicht das Gefühl, als nehme die Polizei mich allzu ernst“, so sein Fazit. Die Beamten hätten den Fall lediglich zur Kenntnis genommen. Er habe jedoch keine große Bereitschaft vonseiten der Ermittler gespürt, der Spur über Portugal und die spanische Bank nachzugehen. „Für die Polizei bin ich wohl nur ein Dummkopf, der auf die Masche reingefallen ist“, meint Romain.
Am meisten aber ärgere ihn die eigene Bank: „Wie kann es sein, dass Betrüger eine derart hohe Summe überweisen können? Es gibt doch Höchstgrenzen bei Überweisungen. Doch konnten die Betrüger das Limit innerhalb weniger Minuten aushebeln! Ein Bekannter von mir musste aber Berge versetzen, um den Kauf eines neuen Autos begleichen zu können.“
Sie müssen angemeldet sein um kommentieren zu können