Der große Messaging-Betrug, der es auf dein Geld abgesehen hat

Es beginnt mit Vertrautem: eine kurze Nachricht, ein bekannter Name, ein gewohnter Tonfall. Zustellungsbenachrichtigungen, Arbeitsanfragen und Marken-Benachrichtigungen surren im Hintergrund und werden selten genauer unter die Lupe genommen. Du schaust nach, antwortest, machst weiter – bis du wenige Minuten später in eine Falle getappt bist, die darauf ausgelegt ist, deine Wachsamkeit zu senken und dein Vertrauen zu missbrauchen.

Deshalb treffen Messaging-Betrugsversuche besonders hart: Sie nutzen alltägliche Gewohnheiten aus, bei denen der Instinkt, nicht die Vorsicht, die Oberhand gewinnt. Früher verlief Kommunikation langsam und ließ Raum für Zweifel. Heute findet sie in Echtzeit statt – und diese Geschwindigkeit machen sich Kriminelle zunutze.

In unserem Blog haben wir bereits zahlreiche Betrugsmaschen in Messaging-Apps besprochen – von „Pig Butchering“, bei dem das Opfer über einen sehr langen Zeitraum hinweg umgarnt wird, über „Catfishing“, bei dem der Betrüger eine falsche Identität annimmt, bis hin zu Phishing über Chatbots oder im Rahmen von Geschenkaktionen in Messaging-Apps.

Nun erfasst Kaspersky erstmals die gesamte Bandbreite von Betrugsfällen in Messaging-Apps, um zu verstehen, wie schnell Schaden entsteht, wie sich das auf das Vertrauen auswirken und was nach dem Ende der Interaktion bleibt. Das Ergebnis ist ein hochorganisiertes und industrialisiertes Betrugsökosystem, das in alltägliche Kommunikationskanäle wie SMS, WhatsApp und E-Mail eingebettet ist.

Die Experten von Kaspersky haben einen Bericht über gezielte Betrugsversuche in Messaging-Apps erstellt, in dem nicht nur die finanziellen, sondern auch die emotionalen Schäden solcher Angriffe detailliert beschrieben werden und Tipps gegeben werden, wie du dich schützen und diese vermeiden kannst. In diesem Blogpost gehen wir auf die interessantesten Fakten ein; weitere Details findest Du im vollständigen Bericht.

Der Schaden wird unterschätzt

Was glaubst du, wie viel kostet ein einzelner erfolgreicher Angriff über eine Messaging-App durchschnittlich einen Betroffenen? Zehn Euro? Oder vielleicht … fünfzig? Du unterschätzt die Betrüger. Obwohl mehr als ein Drittel (36 %) der Betroffenen Verluste von weniger als 116 Euro (135 Dollar) erleidet, verliert ein Opfer im Durchschnitt… circa 630 Euro (733 Dollar)!

Einerseits sieht der finanzielle Schaden für sich genommen nicht katastrophal aus. Es handelt sich bewusst um kleinere Verluste. Klein genug, dass manche sie nie bei der Polizei melden. Klein genug, dass Banken nicht immer Ermittlungen anstellen. Klein genug, um als Pech und nicht als organisierte Kriminalität abgetan zu werden.

Doch 630 Euro sind alles andere als eine Kleinigkeit. Genug, um die monatlichen Ausgaben für Lebensmittel, Schul- oder Kita-Gebühren oder Stromrechnungen zu decken. Vor dem Hintergrund der weltweiten Lebenshaltungskostenkrise kann ein einziger solcher Verlust das Budget einer Familie ernsthaft belasten.

In 11 % der Fälle übersteigen die Verluste gut 1.160 Euro (1.350 Dollar), und mehr als ein Viertel der Opfer (28 %) gibt an, in den letzten sechs Monaten drei- oder mehrmals betrogen worden zu sein. Sobald Betrüger feststellen, dass eine Telefonnummer in ihrem Sinn funktioniert, wird dieser Kontakt zu einer wertvollen Ressource, die von einer Datenbank zur nächsten weitergereicht wird.

Stell dir nun das Ausmaß des Problems vor: Wenn nur 10 % der weltweit drei Milliarden Nutzer von Messaging-Apps solch einen durchschnittlichen Verlust erleiden würden, beliefe sich der Gesamtschaden auf fast 220 Milliarden US-Dollar! Das kommt dem BIP Griechenlands gleich und übersteigt das BIP von Marokko, Serbien oder der Elfenbeinküste.

Hinter der täglichen Flut betrügerischer Machenschaften stehen große Betrugskartelle, die im industriellen Maßstab operieren und mithilfe von KI Nachrichten personalisieren, die denen von Familienmitgliedern, Freunden und bekannten Marken ähneln. Dies bildet im Wesentlichen die Grundlage einer vollumfänglichen Wirtschaft, die auf digitalem Identitätsdiebstahl aufbaut.

Geschwindigkeit schlägt Genauigkeit

Mehr als die Hälfte aller erfolgreichen Betrugsversuche per Nachricht (52 %) spielt sich in weniger als 30 Minuten ab – vom ersten Kontakt bis zum Moment, in dem Geld oder persönliche Daten den Besitzer wechseln – oder sogar noch schneller, bevor das Opfer beginnt, an der Legitimität des Absenders zu zweifeln. Tatsächlich dauert jeder siebte Betrugsversuch weniger als fünf Minuten!

Die Geschwindigkeit ist kein Zufall, sondern Teil der Strategie. Betrüger gestalten ihre Methoden so, dass das Opfer keine Chance hat, nachzudenken. Jedes Element ist darauf ausgelegt, das Zeitfenster für die Entscheidungsfindung zu verkürzen: die Dringlichkeit des Szenarios, die Vertrautheit des Formats, die Plausibilität der Anfrage.

Sie setzen dich unter Druck – schneller, schneller, sag es niemandem, du hast nur ein paar Minuten Zeit, löse das Problem, stell keine Fragen. Klicke auf den Link, gib die Daten ein, bestätige die Transaktion, sonst… Sonst was? Der Fantasie der Betrüger sind hier keine Grenzen gesetzt, aber wenn du nicht sofort etwas unternimmst, wirst du es definitiv bereuen.

Leider kommt die Erkenntnis, was passiert ist, meist erst, wenn der Schaden bereits irreparabel ist. Mehr als die Hälfte der Betroffenen (51 %) verliert Geld; weitere 43 % geben persönlichen Daten – meist Telefonnummern, Namen und E-Mail-Adressen – an Betrüger weiter, und oft verlieren die Betroffenen beides.

Wo und wie Angriffe stattfinden

Eine Lieferbenachrichtigung, eine Bankmitteilung, eine Nachricht von einem Händler, bei dem du letzte Woche bestellt hast – Messaging-Apps durchdringen jeden Aspekt des Alltags und machen solche Interaktionen völlig normal. Ein Angriff soll sich nicht wie ein Angriff anfühlen. Er soll sich wie die Nachricht anfühlen, die du schon hunderte Male zuvor erhalten hast.

Die beliebtesten Plattformen für Betrugsversuche sind WhatsApp (43 %), SMS/iMessage (40 %), Facebook (27 %), Telegram (22 %) und Instagram (19 %) – denn das sind diejenigen, denen die Menschen am meisten vertrauen und die sie am meisten nutzen.

Es wird eine Vielzahl von Betrugsmaschen eingesetzt. Die Vortäuschung einer Markenidentität ist mittlerweile weltweit eine der drei häufigsten Arten von Messaging-Betrug und macht 31 % der Fälle aus. Gefälschte Lieferbenachrichtigungen führen die Liste mit 38 % an, gefolgt von Investitionsbetrug mit 37 %. Diese Arten von Betrugsmuster setzen genau dort an, wo Menschen einkaufen, Bankgeschäfte tätigen und worauf sie vertrauen.

Gleichzeitig verteilen sich fast zwei Drittel (63 %) der Betrugsmaschen über mehrere Plattformen und wechseln von SMS zu WhatsApp, von WhatsApp zu Telegram usw. Auf diese Weise erreichen Betrüger zwei Ziele: Sie ahmen organische Nachrichten nach und umgehen Moderationsalgorithmen.

KI hat Betrug auf ein neues Niveau gehoben

Noch vor wenigen Jahren verrieten betrügerische Nachrichten sich durch schlechte Grammatik, holprige Formulierungen, unlogische Forderungen und ein übertriebenes Gefühl der Dringlichkeit. Heute sieht eine Phishing-Nachricht authentisch aus, klingt und liest sich wie das Original.

Betrugskartelle sind darauf aus, dich in deinem Alltag zu erwischen – zwischen Meetings, auf dem Weg zur Arbeit oder bei tagtäglichen Aufgaben –, wenn deine Aufmerksamkeit bereits von etwas anderem eingenommen ist. Sie ahmen die Ausdrucksweise deiner Mutter nach. Sie passen sich dem Tonfall deiner Bank an, sie kopieren das Format deines Kurierdienstes en detail. Sie spiegeln den Rhythmus, die Struktur und den Stil authentischer Markenkommunikation auf allen Messaging-Plattformen wider – und KI beschleunigt all das.

Dadurch entstehen Überschneidungen. Legitime und betrügerische Nachrichten erscheinen in derselben Umgebung und verwenden dieselben Formate, dieselbe Sprache und dieselben Auslöser. Der Unterschied zwischen authentisch und fake ist nicht mehr direkt offensichtlich.

Die Daten zeigen, dass zwei Drittel der Betroffenen (66 %) glauben, dass bei dem Betrug gegen sie KI zum Einsatz kam, 42 % zitieren von KI verfasste Nachrichten, 31 % berichten von generierten oder geklonten Stimmen und 25 % sind auf Deepfake-Bilder oder -Videos gestoßen.

Deshalb reichen bloßes Bewusstsein und „Technikaffinität“ möglicherweise nicht mehr aus, um dich zu schützen. Von der Generation Z bis zur Generation X – Betrugsnachrichten betreffen jede Generation.

Und wie sieht es mit den emotionalen Folgen aus?

Geld ist bei weitem nicht das einzige Problem, mit dem ein Opfer nach einem Angriff umzugehen hat. Nach allem, was sie durchgemacht haben, entwickeln viele Misstrauen gegenüber eingehenden Nachrichten, unbekannten Nummern und jeglichen Handlungsaufforderungen. Infolgedessen geben 99 % der Betroffenen von Betrug an, dass sie eingehenden Benachrichtigungen in Messaging-Apps nicht mehr vertrauen.

Dies führt zu einer Vertrauenskrise in allen digitalen Kanälen allgemein. Jede legitime Nachricht kann nun als Betrugsversuch wahrgenommen werden. Marken, Banken und Lieferdienste sind gezwungen, in einem Umfeld zu agieren, in dem ihre Kunden standardmäßig misstrauisch sind.

Dr. Elizabeth Carter, forensische Linguistin und Kriminologin an der Kingston University in London, stellt fest, dass Betrüger vertraute Kontexte, gängige soziale Situationen und etablierte sprachliche Normen nutzen, um bei Opfern die Illusion zu erzeugen, dass deren Entscheidungen in diesem Moment rational und vernünftig sind. Tatsächlich konstruieren sie jedoch falsche Realitäten, in denen diese Entscheidungen letztendlich finanziellen und psychischen Schaden verursachen. Sie weist zudem darauf hin, dass es sehr schwer ist, eine falsche Realität zu erkennen, während man sich selbst mitten drin befindet.

Nachdem sie erkannt hatten, dass sie betrogen worden waren, verspürten mehr als die Hälfte der Betroffenen Wut – jene Art von Wut, die entsteht, wenn man etwas oder jemandem vertraut hat und feststellt, dass es gegen einen selbst eingesetzt wurde. 42 % der Opfer berichten von Frustration, 38 % geben an, sich aufgebracht zu fühlen. Auch mehrere Monate danach sind diese Gefühle noch nicht verschwunden: Fast die Hälfte aller Betroffenen (48 %) ist weiterhin wütend, ein Drittel (33 %) frustriert und 30 % sind aufgebracht.

Und fast jedes zehnte Opfer erzählt keinem, was passiert ist. Sie empfinden Scham darüber, etwas so Offensichtliches übersehen zu haben. Dadurch bleibt ein erheblicher Teil des tatsächlichen Schadens ungemeldet: Nur 24 % der Betroffenen wenden sich an die Polizei und nur 23 % melden den Vorfall ihrer Bank.

Was kannst du tun?

Die Vertrauenskrise – und sogar ein Hauch von Paranoia –, die durch die verbreiteten Angriffe auf Nutzer entstanden ist, kann lange in den Köpfen der Betroffenen nachwirken und deren Lebensqualität beeinträchtigen. Um dies zu verhindern, befolge diese Richtlinien:

• Atme einmal durch, bevor du handelst. Das Gefühl der Dringlichkeit, das du verspürst, ist fast immer künstlich erzeugt. Eine seriöse Bank, ein Händler oder ein Lieferdienst wird es dir nicht übel nehmen, wenn du dir dreißig Sekunden Zeit nimmst, um etwas zu prüfen, bevor du auf einen Link klickst oder Angaben bestätigst. Genau auf diesen Instinkt, eine Situation schnell klären zu müssen, setzen Betrüger.
• Überprüfe die Angaben über einen anderen Kanal. Wenn eine Nachricht scheinbar von einem Verwandten, Kollegen oder einem Unternehmen stammt, dem du vertraust – kontaktiere diese Person über einen anderen Kanal, bevor du etwas unternimmst. Nutze sichere Verifizierungsmethoden und überprüfe Identitäten, wenn dir etwas seltsam vorkommt. In Familien kann die vorherige Vereinbarung eines „Sicherheitswortes“ selbst die überzeugendsten Stimmklone direkt zunichte machen.
• Verwende einen Passwort-Manager. Dieser hilft nicht nur dabei, sichere, einzigartige Passwörter für alle deine Konten zu generieren, diese sicher zu speichern und auf allen Geräten zu synchronisieren, sondern schützt dich auch vor gefälschten Websites. Selbst wenn du auf einen Phishing-Link klicken und auf einer Fake-Website landen solltest, wird unser Passwortmanager dich über die Domain-Diskrepanz informieren und das automatische Ausfüllen deines Nutzernamens und Passworts unterbinden.
• Nutze Schutz, der in Echtzeit funktioniert. Moderne Sicherheitslösungen wie Kaspersky Premium bieten Echtzeitschutz vor schädlichen Links und Phishing-Versuchen in den Apps und auf den Websites, die du täglich nutzt. Auf Android-Geräten scannt eine spezielle Anti-Phishing-Sicherheitsschicht verdächtige Links und neutralisiert diese sofort, sobald sie erscheinen – sogar in Benachrichtigungen –, noch bevor du die Chance hast, darauf zu klicken.