Hauptinhalt

Geschenkkarten-Betrug

Foto: Stabstelle Informationssicherheit

Was versteht man unter Geschenkkarten-Betrug?

Die hier beschriebene betrügerische Methode zeichnet sich dadurch aus, dass die potenziellen Opfer dazu überredet werden, Geschenkkarten zu erwerben und die Codes den Betrügern zur Verfügung zu stellen. Die Vorgehensweise der Angreifer basiert auf Techniken des Social Engineerings. Beim Social Engineering ist nicht das technische Gerät, wie etwa der Rechner oder das Smartphone, das Angriffsziel, sondern die Person, die dieses Gerät nutzt. Darüber hinaus erfreut sich der Betrug mit Geschenkarten hoher Popularität, die Gründe dafür sind eindeutig:

  • Geschenkkarten sind Anonym und können somit von jenen, die den Code kennen, genutzt werden
  • Diese sind nach der Übergabe schwer zurückzuverfolgen 
  • Schnelle und leichte Aktivierung der Codes

Aufgrund der hohen Beliebtheit gibt es eine Vielzahl von Szenarien, in denen die Angreifer versuchen, ihre Opfer zu täuschen. Die folgenden Szenarien sind am wahrscheinlichsten:

  1. Phishing E-Mails 
  2. Telefonanrufe
  3. SMS / Messenger-Nachrichten
  4. Gefälschte Gewinnspiele auf sozialen Medien oder Websites
  5. vermeintliche Support-Mitarbeiter 

Beispiel - Wie ein Betrug ablaufen kann (Spear Phishing):

Zu den erschreckendsten Aspekten von Social-Engineering-Methoden gehört die gezielte Suche der Angreifer nach Schwachstellen in den Lebensläufen ihrer Opfer. Dies erfolgt unter Zuhilfenahme gefälschter Identitäten, die jedoch als echt wahrgenommen werden sollen. Die Angreifer ermitteln so beispielsweise die Vorgesetzten der Opfer und nutzen diese Informationen für ihre Zwecke aus - so auch in diesem Beispiel.

  • 1. Informationsbeschaffung

    Screenshot einer E-Mail zwischen einem Uni-Vertreter und einem Studenten. Betreff: „Report to Mr. Incogni“ Absender: Vertreter Empfänger: Herr Müller E-Mail-Text: Dear Müller, Mr. Incogni is available this week and next week. Please provide the Document to him this week if it is possible. Best regards, Uni-Vertreter.
    Foto: SIS

    Angreifer benötigen also zu Beginn Informationen über sie, um sie bestmöglich zu manipulieren. Hier in diesem Beispiel wurde eine gewöhnliche Unterhaltung zwischen einem Studierenden - Müller (Name geändert) - und einem Angestellten der Uni abgefangen. Darin ging es um die Mitteilung an den Studierenden Müller, dass der Professor diese und nächste Woche erreichbar ist und er das Dokument, sofern möglich, noch in dieser Woche zusenden soll.

    Beachte: Für Angreifer ist eine E-Mail mit Zeitdruck, Verantwortung und Hierarchien besonders wertvoll, weil sie gezielt ausgenutzt werden können, um ihre Opfer leicht und schnell zu täuschen.

  • 2. Angriff

    Erster Screenshot des E-Mail-Verlaufs zwischen dem Betrüger, welcher sich als Incogni ausgibt, und dem betroffenen Studenten, hier Müller. Betreff: „Available?“ Absender: Incogni (Fake Absender) Empfänger: Müller E-Mail-Text: Let me know if you are free right now. Best regards, Prof. Dr. Incogni.
    Foto: SIS

    Nach recht kurzer Zeit meldete sich der Angreifer unter der gestohlenen Identität des zu in Rate gezogenen Professors "Incogni". 

    Erkennbare Auffälligkeiten:
    - Es erfolgt keine Anrede.
    - Der Betreff "Available?" ist sehr kurz gehalten und enthält keine weiteren Informationen.
    - Der Inhalt ist begrenzt.
    - Der Inhalt zielt direkt auf Sie ab und nicht auf den Handlungsgegenstand.
    - Der Angreifer versucht, möglichst viel Raum zu schaffen, damit er keine ungewollten Grenzen überschreitet, und dennoch das Interesse des Gegenübers zu wecken.

    Was kann ich an diesen Punkt tun?
    Um sich im beruflichen, privaten oder studentischen Kontext zu schützen, ist es ratsam, bei Unsicherheiten alternative Kontaktwege zu nutzen, wie Telefon oder persönliche Treffen. Es empfiehlt sich, die E-Mail-Adresse sorgfältig zu prüfen und mit den offiziellen Daten abzugleichen. Zudem ist es sinnvoll, die Person um eine Verifizierung zu bitten.

  • 3. Austausch

    Zweiter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Kein Betreff zu erkennen. Absender: Müller Empfänger: Prof. Dr. Incogni (Fake Absender) E-Mail-Text: Hello Prof. Incogni, I am just on my way back to Marburg and will arrive around 13:30. Would you like to meet today? Many greetings, Müller. Darunter ein Zitat aus einer vorherigen E-Mail von Prof. Dr. Incogni mit der E-Mail-Adresse desklistme@inbox.ru: Let me know if you are free right now. Best Regards, Prof. Dr. Incogni.
    Foto: SIS

    Müller antwortet auf die Nachricht des vermeintlichen Professors und teilt mit, dass er ab etwa 13:30 Uhr wieder in Marburg sein wird und fragt, ob ein Treffen am selben Tag noch möglich wäre. Mehr als auffällig ist dabei die E-Mail-Adresse "desklistme@inbox.ru", welche dem Professor zugeordnet ist. 

    Hinweis:
    Es ist wichtig, Vorsicht walten zu lassen, wenn eine Person auf eine Frage nicht eingeht oder diese nicht in der erwarteten Weise beantwortet. In solchen Fällen ist es ratsam, die Situation mit der gebotenen Sorgfalt zu prüfen und gegebenenfalls weitere Maßnahmen zu ergreifen. Es ist ebenfalls von Bedeutung, die vollständige E-Mail-Adresse zu überprüfen. Bei Endungen wie ".ru", ".cn", ".su", ".tk", ".ml", ".ga", ".cf" oder ".gq" ist Vorsicht geboten. Auch die hier verwendete @inbox.ru gilt als von Hackern häufig genutzte Free-Mail-Adresse. Es ist jedoch wichtig zu betonen, dass nicht jede Endung automatisch als "kriminell" einzustufen ist.

  • 4. Schmeichelei

    Dritter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Prof. Dr. Incogni (Fake Absender) Empfänger: Müller E-Mail-Text: Dear Müller, Thanks for getting back to my email. I need you to help me pick up some iTunes gift cards from a nearby store and send them to me via email, there are some prospects I need to send these to but I have been busy with meetings, and I haven't been able to get them myself. Let me know if you can get them for me right now so I can give further details. I'll reimburse you. Best Regards, Prof. Incogni.
    Foto: SIS

    Die Anrede erscheint erst, nachdem eine Antwort gegeben wurde. Ein gängiger Ansatz von Angreifern ist die höfliche, aber aufdringliche Herangehensweise, um ihre Wünsche zu erfüllen, wie es beispielsweise in der E-Mail-Nachricht "Thanks for getting back to my email" zum Ausdruck kommt. Sie präsentieren sich als stark eingebunden und setzen auf die Höflichkeit ihres Gegenübers, beispielsweise durch die Formulierung "I need your help". Dabei nutzen sie häufig Machtverhältnisse aus, in diesem Fall gibt sich der Angreifer als Professor aus. In dieser Situation stehen die betroffenen Personen natürlich unter Druck. Denn die Situation suggeriert: Sollte man die Anforderung nicht erfüllen, kann dies zu Konsequenzen für ihr Studium oder ihre Arbeit führen. 

  • 5. Rückmeldung

    Vierter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Müller Empfänger: Prof. Dr. Incogni (Fake Absender) E-Mail-Text: Dear Prof. Incogni, Sure no problem! I can take over and pick up the itunes gift cards. Best Regards, Müller Darunter ein Zitat aus einer vorherigen E-Mail von Prof. Dr. Incogni mit der Adresse desklistme@inbox.ru.
    Foto: SIS

    An dieser Stelle wurde die Forderung des Betrügers von der betreffenden Person bestätigt.

  • 6. Spezifizierung

    Fünfter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Prof. Dr. Incogni (Fake Absender) Empfänger: Müller E-Mail-Text: Dear Müller, You're to purchase 4 pieces of iTunes gift cards with 100 on each card. Total Amount 400. Kindly scratch the back of the cards to reveal the card codes, then take a clear picture of the codes and email them to me on here with the receipt. How soon can you get it done? Best Regards, Prof. Incogni.
    Foto: SIS

    Etwa drei Minuten später erhält Müller eine Rückmeldung. Die Aufforderung an ihn lautet, vier Karten im Gesamtwert von jeweils 100 Euro zu erwerben und Incogni zur Verfügung zu stellen. Um weitere Beschaffungsprobleme zu umgehen, gibt der Betrüger selbstverständlich den Gesamtwert mit 400 € an. Zudem fügt er eine präzisen Anleitung an, die Müller erklärt, wie er die Daten der Geschenkkarte übermitteln soll. Natürlich so, dass der Betrüger damit so anonym wie möglich davon kommen kann. Um die Attacke abzurunden und noch mehr Druck zu erzeugen, wird vom Betrüger direkt nachgefragt, wann die Bilder zugeschickt werden können.

  • 7. Druckaufbau

    Sechster Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Prof. Dr. Incogni (Fake Absender) Empfänger: Müller E-Mail-Text: Dear Müller, Kindly acknowledge my email. I’ll be waiting to hear from you Asap. BR, Prof. Incogni.
    Foto: SIS

    Ohne eine Reaktion seitens Müllers versendet der Angreifer innerhalb von 20 Minuten eine weitere E-Mail. Diese dient dem weiteren Druckaufbau. Die Abkürzung "ASAP" steht für "as fast as possible", zu Deutsch "so schnell wie möglich".

  • 8. Betrugserfolg

    Siebter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Müller Empfänger: Prof. Dr. Incogni (Fake Absender) E-Mail-Text: Dear Prof Incogni, Please take the gift cards and the receipt from the attachment. Here are my bank account details: DE [zensiert] Best Regards, Müller.
    Foto: SIS

    Darauffolgend wurde dem Betrüger die Daten der Gutscheinkarten sowie Müllers Bankverbindung übermittelt. Der initiale Diebstahl ist ab diesem Zeitpunkt abgeschlossen, doch damit sind die Angreifer meistens nicht zufrieden. Wurde ein Opfer gefunden, wird versucht, diesem so viel Geld wie möglich abzuziehen.

  • 9. Betrugsfalle

    Achter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Prof. Dr. Incogni (Fake Absender) Empfänger: Müller E-Mail-Text: Dear Müller, Thanks so much for your time and I feel so very honored. I received them. Could you please check at the store if they sell in 200 denominations. I’ll be needing you to help me purchase 3 more cards with 200 on each as it is requested from me. Kindly get back to me as soon as possible. Best Regards, Prof. Incogni.
    Foto: SIS

    So wird direkt die nächste Anfrage gestellt. Nun auch mit noch höheren Ansprüchen. Die angeforderte Summe hat sich von 400 Euro auf 600 Euro erhöht. Die Vorgehensweise bleibt die selbe: Höflich und schleimend, dich zu manipulieren.

  • 10. Wiederholung

    Neunter Screenshot des E-Mail-Verlaufs zwischen dem betroffenen Studenten und dem Betrüger. Betreff: "Re: Available?" Absender: Prof. Dr. Incogni Empfänger: Müller E-Mail-Text: Kindly acknowledge my email. I’m waiting to hear from you. Best Regards, Prof. Incogni.
    Foto: SIS

    Wiederholung von Schritt 7: Taktik – Druck machen, um die Person zum Handeln zu bewegen.

    Daraufhin endete der Austausch.

Wie kann man sich davor schützen?

Warnsignale

  • Die Endung sowie der Name der E-Mail-Absenderadresse, wie hier bspw. "desklistme@inbox.ru"
  • Ungefragte Nachrichten oder Anrufe die zu schnellem Handeln auffordern
  • Aufforderung/en Geschenkkarten zu kaufen oder Codes herauszugeben
  • Wenn Organisationen Zahlungsmethoden verlangen, welche diese normalerweise nicht anbieten 

Schutzmaßnahmen

  • Ruhe bewahren und nicht vorschnell reagieren.
  • Bei angeblich dringenden E-Mail-Anfragen die Kontaktperson immer telefonisch oder auf anderem sicheren Weg verifizieren.
  • Mit privaten und beruflichen Daten sparsam umgehen – nur so viel preisgeben wie unbedingt nötig.
  • Absenderadressen in E-Mails sorgfältig prüfen, da diese oft gefälscht werden.
  • IT-Sicherheitsschulungen nutzen, um aktuelle Betrugsmaschen und Schutzmaßnahmen zu kennen.

Beachten Sie: Beim Schutz vor Social Engineering (u. a. Geschenkkarten-Betrug) liegt es vor allem an Ihnen, denn Sie sind das Angriffsziel. Weitere Schutzmaßnahmen finden sie unter: Social Engineering

Downloaden Sie unser Cheat Sheet zum Thema Phishing-Mails erkennen

Besuchen Sie unsere IT-Sicherheitsschulung, um sich effektiv vor Cyberangriffen zu wappnen

Wenn das Kind in den Brunnen fällt ...

Es kann passieren, dass Sie im Stress oder durch geschickte Täuschung Geschenkkarten-Codes weitergegeben haben. Auch hier gilt: Bleiben Sie ruhig und handeln Sie schnell und überlegt. Deshalb:

Kartenaussteller kontaktieren und IT-Administration informieren!

Ruhe bewahren & IT-Notfall melden.
Wenden Sie sich bitte an Ihre IT-Administration und/oder an:

IT-Notfallrufnummer: +49 6421 28-28281
E-Mail:

Hilfeseiten von Anbieter: