Die PlayStation 5 ist zwar schon seit letztem November auf dem Markt, aber es gibt noch viele Käufer, die bisher leer ausgegangen sind. Sony kann aufgrund mangelnder Verfügbarkeit von Halbleiterchips, die auf die durch die Coronapandemie erzeugten Lieferengpässe zurückzuführen ist, die große Nachfrage nicht decken. Betrüger nutzen den Hype bereits aus und locken mit vorgeblichen PS5-Gewinnspielen.
Ein Pharmaunternehmen verschenkt PS5
Wie bei den meisten Phishing-Versuchen, kommt Verdacht auf, sobald man genauer hinschaut. Auch wenn die Betrugs-Mails dieser Kampagne keine gravierenden Fehler aufweisen, hat der Absender – India Pharma, ein Unternehmen, das es tatsächlich gibt – nichts mit Gewinnspielen der Gaming-Branche zu tun.
Verdächtig ist auch, dass in den AGB (die sehr klein gedruckt, ganz unten in der E-Mail zu finden sind und kaum von jemandem gelesen werden), ein völlig anderes Unternehmen genannt wird: toleadoo GmbH. Auch hier handelt es sich um ein registriertes, existierendes Unternehmen. Es ist ein Unternehmen mit Sitz in Deutschland und hat zahlreiche Benutzerbeschwerden.
Im klein gedruckten Text wird auch „competition T&Cs“ erwähnt, allerdings ohne Link. Wie immer prüfen wir die E-Mail auf verdächtige Dinge und Unstimmigkeiten in den rechtlichen Hinweisen sind äußerst verdächtig.
Will man am Gewinnspiel teilnehmen, besteht der erste Schritt darin die E-Mail-Adresse anzugeben.
Im nächsten Schritt wird eine Website mit einem Amazon-Logo geöffnet. Das geschieht allerdings über eine URL, die ganz und gar nicht nach amazon.com aussieht.
Jetzt wird der Websitebesucher unter Druck gesetzt – angeblich zählt er zu den zehn Glücklichen, die die begehrte Konsole noch diese Woche gewinnen können. Allerdings kann er nur an der Verlosung teilnehmen, wenn er es schafft innerhalb von 1 Minute und 18 Sekunden die kurze Umfrage zu beantworten. Das ist ein weiteres Beispiel einer recht effektiven Phishing-Taktik: Indem der Benutzer absichtlich mit einem Vorwand unter Zeitdruck gesetzt wird, verfällt er in eine gewisse Panik, das kritische Denken wird blockiert und die angegebenen Schritte werden schnell und ohne zu überlegen ausgeführt.
Glücksrad
Wenn der Benutzer die Umfrage ausfüllt und die restlichen Kontrollkästchen markiert, werden zwölf identische Geschenkpäckchen angezeigt. In einem dieser Päckchen befindet sich angeblich der Preis. Es tut uns leid, diesen Spoiler konnten wir uns nicht verkneifen: Der Websitebesucher hat den Preis gewonnen! Kaum zu glauben … Wird ein bisschen runtergescrollt, sind Fake-Kommentare von den vorherigen „Gewinnern“ zu finden. Diese Kommentare werden verwendet, um die Begeisterung des Benutzers noch mehr zu entfachen und die Wachsamkeit zu senken.
Das Opfer steht jetzt genau ein Schritt vor der Falle: Der glückliche Gewinner wird gebeten 1 £ (ein Pfund Sterling, ca. 1,16 € zum Zeitpunkt der Veröffentlichung dieses Beitrages) einzuzahlen, um seinen Gewinn einfordern zu können. Die Kampagnen-Organisatoren geben keinerlei Gründe für diese Zahlung an, aber natürlich ist die zu zahlende Summe im Vergleich zum Preis der PlayStation 5 lächerlich. Darüber hinaus werden kostenfreier Versand und die Lieferung einer brandneuen PS5 innerhalb von nur 7 Tagen versprochen.
Danach wird der Websitebesucher gebeten seine Daten einzugeben: Adresse, Postleitzahl, Telefonnummer und (nochmal) die E-Mail-Adresse – alles Daten, die im Rahmen des Gewinnspieles ganz logisch erscheinen. Auf dieser Seite wird die angeforderte Zahlung ohne weitere Erklärung von 1 £ auf 1,78 £ (2,07 €) erhöht.
Im letzten Schritt müssen die Bankdaten angegeben werden. Mit den 1,78 £ werden die Cyberverbrecher natürlich nicht reich, aber mit den Kreditkartendaten der Phishing-Opfer – besonders mit dem CVV2 oder CVC2 Codes – vielleicht schon.
Einen kühlen Kopf bewahren
Vermeiden Sie solche Reinfälle, indem Sie Gewinnversprechen gegenüber grundsätzlich misstrauisch sind. Behalten Sie einen kühlen Kopf, wenn Sie ein verlockendes Angebot erhalten und befolgen Sie diese einfachen Tipps, mit denen Sie sich vor Phishing schützen können:
- Überprüfen Sie Geschenkaktionen immer auf der offiziellen Website der Organisatoren.
- Klicken Sie nicht auf Links in E-Mails. Kennen Sie die URL der Website, dann können Sie die Internetadresse manuell in die Adressleiste des Browsers eingeben. Wenn nicht, verwenden Sie eine Suchmaschine (versichern Sie sich immer, dass es sich bei dem Suchergebnis um die gewünschte Website und nicht um Werbung handelt).
- Seien Sie besonders vorsichtig, wenn der Gewinn angeblich nur nach einer Zahlung übergeben werden kann, selbst wenn nur wenig Geld verlangt wird. Bedenken Sie, dass Sie das Risiko eingehen weit mehr Geld zu verlieren, als angefordert wird.
- Gehen Sie vorsichtige mit Ihren personenbezogenen Daten um. Kommen Ihnen bei einer Website Zweifel auf, ist es besser Ihre Kontaktdaten dort nicht einzugeben.
- Verwenden Sie eine zuverlässige Sicherheitslösung, die Sie warnt, wenn Sie kurz davor sind eine betrügerische Webseite zu besuchen.