«Hello, I’m Emily Smith from XXX Job AG. Our company is currently recruiting new employees. May I share some details with you?» Im zweiten Beitrag der Blogserie von ZHAW digital zum Thema Cybersecurity geht es um betrügerische Job-Angebote per WhatsApp-Nachricht. Woher haben die Kriminellen die Telefonnummern und welche Rolle spielt KI?
Autorin: Bettina Sackenreuther, ZHAW
Cyberkriminelle, die mit Spam-Emails leichtgläubige Menschen betrügen wollen, gibt es schon lange. Der Klassiker: Eine überraschende Erbschaft – wer träumt schliesslich nicht davon, plötzlich Millionen zu erben von einem unbekannten Gönner? Der neuste Schrei: lukrative Jobangebote per WhatsApp. Englischsprachige Recruiter:innen melden sich per WhatsApp-Nachricht und geben vor, oftmals mit gefälschten Angaben echter Firmen, auf der Suche nach neuen Mitarbeitenden zu sein. Wer auf diese Nachrichten antwortet, wird in der Regel auf eine Plattform weitergleitet, auf der man gegen angebliche Entlohnung zum Beispiel Apps testen oder Produkte bewerten soll. Wie verschiedene Medien berichten, sind auch in der Schweiz schon Personen dieser Masche zum Opfer gefallen und haben Tausende Franken verloren.
Simples Ratespiel statt Datenlücke
Aber woher haben die Kriminellen überhaupt meine Telefonnummer? Haben Hacker meine persönlichen Daten bei der letzten Online-Bestellung gestohlen? Peter Heinrich, Studienleiter des CAS Cyber Security an der ZHAW School of Management and Law, glaubt, das Vorgehen sei viel simpler. «Ich vermute, es gibt gar keine Datenbanken, weil das gar nicht nötig ist», sagt er. Peter vermutet hierbei ein simples «Brute-Force-Vorgehen». Bei dieser Methode werden Benutzerdaten schlicht erraten. «Man kann sich Telefonnummern ganz einfach ausdenken, die Struktur ist ja vorgegeben. Durch puren Zufall wird dann eine Telefonnummer generiert, aber die Trefferrate wird relativ hoch sein», sagt Peter. Laut Bundesamt für Kommunikation gibt es in der Schweiz rund 11 Millionen Mobilfunkkund:innen, die meisten von ihnen werden ein internetfähiges Smartphone besitzen. Wie viele von ihnen haben wohl WhatsApp installiert? «Praktisch auch jeder, weil man im sozialen Leben kaum an WhatsApp vorbeikommt», sagt Peter. Zum Beispiel gibt es im Nummernblock 079 XXX XX XX etwa 10 Millionen Kombinationen. «Also hat man beim Raten eine hohe Trefferdichte, selbst wenn man die anderen Mobilfunk-Nummernblöcke noch miteinrechnen würde.»
Ende-zu-Ende-Verschlüsselung vs. Spamfilter
Je nach Anbieter landen Spam-Emails direkt im dafür vorgesehenen Spam-Ordner. Bei WhatsApp ist das nicht so einfach. «Wenn WhatsApp ihr Versprechen der Ende-zu-Ende-Verschlüsselung ernst nimmt und es gut umsetzt, haben sie keine Einsicht in die verschickten Nachrichten», sagt Peter. Dieser Mechanismus soll dafür sorgen, dass die Nachrichten zwischen dem Sender und Empfänger privat bleiben und nicht in falsche Hände geraten, «nicht einmal WhatsApp» könne die Nachrichten lesen, heisst es auf der Website des Mutterkonzerns Meta. Das macht es aber auch schwierig, einen inhaltsbasierten Spamfilter zentral einzusetzen. «WhatsApp kann höchstens Muster erkennen und eine Nummer sperren, zum Beispiel wenn eine Nummer sehr viele Nachrichten verschickt und regelmässig als Spam gemeldet und blockiert wird», sagt Peter. Aber auch dann würden die Angreifenden einfach die nächste Telefonnummer wählen, um die nächste Nachrichten-Angriffswelle zu starten. Die Kosten für die Kriminellen sind dabei sehr gering und somit reicht schon ein kleiner Prozentsatz der angegriffenen Bevölkerung, die darauf hineinfällt, aus, damit sich der Angriff lohnt und das Betrugsgeschäft lukrativ ist.
Was kann man also tun, wenn man so eine Nachricht erhält? «Die Nummer blockieren und melden sowie die Nachricht am besten gleich löschen», rät Peter. Wenn das alle so machen, würde man den Drahtziehern den Aufwand erhöhen, damit sich ihr Unterfangen irgendwann nicht mehr lohne.
Auch die Polizei warnt Auch die Kantonspolizei Zürich warnt auf der Website www.cybercrimepolice.ch vor dubiosen Jobangeboten auf Social Media und WhatsApp. |
KI könnte Spam besser und gefährlicher machen
Würde man die Nachricht nicht löschen, sondern eine Unterhaltung beginnen, so ist diese mit Sicherheit zumindest teilweise automatisiert. Natürlich entspringt die Idee zu diesem Betrug einem Menschen. Mit WhatsApp ist zwar der Kommunikationskanal neu, aber die Muster sind immer gleich: «Wir klicken auf Links, fallen auf den Betrug herein, geben zum Beispiel unsere Zugangsdaten ein oder überweisen Geld», sagt Peter.
Künstliche Intelligenz stecke hier sehr wahrscheinlich noch nicht dahinter, glaubt er. «Die Masche auf WhatsApp ist dafür viel zu plump und KI braucht es dafür gar nicht.» Unterschätzen solle man die Rolle von KI im Bereich Cybersecurity dennoch nicht. «Mit KI könnte sich künftig die Angriffslandschaft verändern. Das heisst, mit KI könnten die Angreifenden künftig mit noch geringeren Kosten noch besseren Spam produzieren. Je besser und personalisierter die Nachrichten werden, desto schwerer wird es sein, Spam zu erkennen», sagt Peter.
Gesunder Menschenverstand – nicht nur online
Kriminelle werden einen Weg finden – und sich neue Methoden ausdenken – um Anderen das Geld aus der Tasche zu ziehen, egal ob es sich um den Taschendieb auf dem Weihnachtsmarkt handelt oder den Cyberkriminellen am Computer. «Viele erwarten, dass die IT sicherer sein soll als die reale Welt», sagt Peter. «Aber das halte ich für ein kaum erreichbares Ziel. Die Vorteile und Freiheiten gibt es eben nicht ohne Gefahren. Und darum ist es wichtig, sich online und offline richtig zu verhalten, um Betrug zu erkennen.»
Keine Firma ist in der Lage, wirklich alle unsere Daten zu schützen. Auch wenn bei dieser WhatsApp-Betrugsmasche wahrscheinlich gar keine Datenlücke verantwortlich ist, ist ein verantwortungsvoller Umgang mit unseren eigenen Daten und wie wir sie herausgeben wichtig. «Das Problem können wir nicht technisch lösen. Wir können ja nicht ständig noch mehr Security-Produkte kaufen, deren effektiver Sicherheitsbeitrag dann immer unklarer wird», sagt Peter. Stattdessen müssen wir alle unseren guten Menschenverstand einsetzen, um zu erkennen, welche Versprechen einfach zu schön sind, um wahr zu sein.
Veranstaltungen zum Thema Cybersecurity:
- “Digital Futures: AI and Cybersecurity”, 30.11.2023, 16:30-18:30
- “1 Year CYREN – Update + Future Questions”, 24.01.2024, 16:00-19:30.
Dieser Beitrag erschien am 8. November auf ZHAW Digital Futures Lab.