Fraud — How It Works

Was ist Fraud?

Fraud — auf Deutsch: Betrug — ist die bewusste Täuschung einer Person oder Organisation zum eigenen Vorteil. Im digitalen Kontext bedeutet das: gestohlene Identitäten, gefälschte Transaktionen, manipulierte Systeme.

Anders als Ransomware oder klassische Malware setzt Fraud nicht unbedingt auf technische Schwachstellen. Die Schwachstelle ist der Mensch. Vertrauen wird ausgenutzt, Dringlichkeit wird erzeugt, Realität wird imitiert.

Fraud ist oft das erste Glied in einer längeren Angriffskette — ein gestohlenes Passwort wird zu einem kompromittierten Account, der Account zu einem Netzwerkzugang, der Zugang zu einem Ransomware-Angriff.

01 / 06

Identity Fraud

Gestohlene Identitätsdaten werden genutzt um Konten zu eröffnen, Kredite aufzunehmen oder bestehende Accounts zu übernehmen.

02 / 06

Payment Fraud

Gefälschte oder gestohlene Zahlungsdaten. Kartenbetrüger testen Daten automatisiert auf Tausenden von Shops gleichzeitig.

03 / 06

CEO Fraud

Angreifer geben sich als Führungskräfte aus und weisen Mitarbeiter an, Überweisungen zu tätigen. Oft ohne jeden technischen Exploit.

04 / 06

Phishing

Gefälschte Mails, Seiten und SMS die echten Diensten täuschend ähnlich sehen. Ziel: Zugangsdaten oder Zahlungsinformationen.

05 / 06

Account Takeover

Durch Credential Stuffing oder Social Engineering wird ein bestehendes Konto übernommen — oft das Sprungbrett für weitere Angriffe.

06 / 06

Synthetic Fraud

Kombination echter und gefälschter Daten zu einer neuen, nie existierenden Identität. Die schwierigste Form zu erkennen.

Wie Fraud funktioniert

Kein Fraud-Angriff ist zufällig. Hinter professionellen Operationen stecken arbeitsteilige Gruppen — Spezialisten für Datenbeschaffung, Geldwäsche, Kommunikation und Technik. Ein echter Marktplatz mit Angebot und Nachfrage.

Im Darknet werden gestohlene Datensätze pro Stück für Cents gehandelt. Eine vollständige Identität — Name, Adresse, Ausweisnummer, Kreditkarte — kostet zwischen $15 und $150. Skalierung ist trivial.

Die gefährlichsten Angreifer brauchen keine Malware. Ein Anruf beim Kundendienst, die richtige Stimme, die richtigen Daten — und ein Account gehört ihnen. Social Engineering schlägt Technologie.

Case Files

Reale Fälle — Dokumentiert

#001

Twitter / X CEO Fraud

2020 · Social Engineering · SIM Swap

17-jähriger übernimmt Accounts von Obama, Biden, Musk via Social Engineering gegen Twitter-Mitarbeiter. Innerhalb von Stunden $120.000 in Bitcoin erbeutet.

#002

Uber Data Breach

2022 · MFA Fatigue · Account Takeover

Angreifer bombardiert Mitarbeiter mit MFA-Anfragen bis dieser aus Erschöpfung bestätigt. Vollständiger Netzwerkzugang — ohne eine einzige Codezeile.

#003

Bangladesh Bank Heist

2016 · SWIFT Fraud · $81M

Angreifer infiltrieren das SWIFT-Zahlungssystem der Zentralbank Bangladesh. $81 Millionen erfolgreich transferiert bevor der Angriff bemerkt wird.

#004

Deepfake CEO Fraud

2024 · AI Voice Clone · $25M

Hongkonger Firma überweist $25 Millionen nach Video-Call mit gefälschtem CFO. Alle Teilnehmer — per Deepfake simuliert. Niemand war echt.

Woran man es erkennt

01 Unerwartete Dringlichkeit — "Sofort handeln oder Konto gesperrt"
02 Absenderadresse stimmt nicht exakt — einbuchstabe-unterschied.de
03 Zahlungsanfragen über ungewöhnliche Kanäle (WhatsApp, Signal)
04 Anfragen nach Zugangsdaten — kein legitimer Dienst fragt danach
05 Zu gute Angebote ohne klare Herkunft
06 Stimme oder Video wirkt leicht verzögert / unnatürlich

Was Angreifer wollen

→ Zugangsdaten zu Konten und Systemen
→ Direkte Überweisungen unter Zeitdruck
→ Persönliche Daten für Identitätsbetrug
→ MFA-Codes im Live-Gespräch
→ Zugriff auf interne Systeme als Sprungbrett
→ Vertrauen — das wichtigste Werkzeug überhaupt