Beim Phishing versuchen Kriminelle, an personenbezogene Daten wie Passwörter und Zugangsdaten zu Bankkonten oder Kreditkarten zu gelangen. Banken investieren viel in Schutzmaßnahmen, um solche Angriffe zu verhindern, doch die Vorfälle nehmen weiter zu. Eine Studie der Fakultät für Wirtschaftswissenschaften der Freien Universität Bozen hat das Profil potenzieller Phishing-Opfer erstellt. Als Grundlage dienten Daten einer in Südtirol und im restlichen Nordosten Italiens tätigen Bank.

 Während die Zahl der bewaffneten Raubüberfälle auf Banken deutlich gesunken ist, gilt die Internetkriminalität mittlerweile als größte Bedrohung für den Bankensektor. Phishing ist ein auf elektronischem Weg durchgeführter Betrugsversuch, bei dem sich Kriminelle über E-Mail, SMS oder per Telefon als vertrauenswürdige Organisationen wie Banken ausgeben und so versuchen, an Passwörter oder personenbezogene Daten zu gelangen. Es handelt sich um ein weltweit wachsendes Phänomen: Täglich werden schätzungsweise 3,4 Milliarden Phishing-E-Mails verschickt. Laut Studien zu diesem Thema stieg die Zahl der Phishing-Angriffe im Jahr 2022 im Vergleich zum Vorjahr um 47,2 Prozent. 84 Prozent der befragten Organisationen verzeichneten im Laufe des Jahres mindestens einen Phishing-Angriff, wobei die finanziellen Verluste im Vergleich zum Vorjahr um 76 Prozent anstiegen.

Die Professoren Alessandro Fedele und Mirco Tonin sowie der Forscher Matteo Valerio von der Fakultät für Wirtschaftswissenschaften haben kürzlich in der Fachzeitschrift Economics Letters eine Studie mit dem Titel Phishing attacks: An analysis of the victims’ characteristics based on administrative data veröffentlicht. Die Forschung basiert auf Daten einer im Nordosten Italiens tätigen Bank und bezieht sich auf tatsächliche Betrugsfälle. In ihrer Studie wurde der Zusammenhang zwischen der Wahrscheinlichkeit, Opfer eines Betrugs zu werden, und individuellen Faktoren untersucht. Die Studie weist mehrere Neuheiten auf, wie die Autoren selbst erklären. „Frühere Forschungen in Informatik und Psychologie zu Phishing haben bereits gezeigt, warum Menschen zu Opfer werden können. Dazu zählen Persönlichkeitsmerkmale, demografische Faktoren, Bildungsniveau oder Interneterfahrung. Die Forschung im Wirtschafts- und Finanzbereich hat sich bisher mehr auf den Betrug durch Finanzberater:innen konzentriert und das Phishing-Phänomen noch nicht vertieft”. Bestehende Studien zu Phishing basieren außerdem auf Theorien oder Umfragedaten. Theoretische Erkenntnisse sind zwar nützlich, um Ursache-Wirkung-Zusammenhänge zu verstehen, aber sie lassen sich möglicherweise nicht auf reale Situationen übertragen. Umfragedaten zu tatsächlich stattgefundenen Betrugsfällen können hingegen ungenau sein, da Phishing-Opfer ungern zugeben, in die Falle getappt zu sein. „Unsere Studie ist die erste, die diese Probleme überwindet, indem sie Verwaltungsdaten verwendet, bei denen Phishing-Angriffe durch Banksysteme erfasst und nicht selbst gemeldet werden“, betonen die Autoren. 

Die Studie: Wer sind die Opfer in Südtirol?

Fedele, Tonin und Valerio analysierten die Daten von fast 150.000 Kund:innen einer im Nordosten Italiens tätigen Bank in den Jahren 2022 und 2023. Die typischen Phishing-Angriffe auf Kund:innen basieren auf dem Versand einer SMS mit der Warnung vor unautorisierten Aktivitäten, die die Opfer auf eine gefälschte Login-Seite umleitet. Die Kriminellen umgehen die Multi-Faktor-Authentifizierung, indem sie sich als Mitarbeitende des Bankkundenservices ausgeben und die Kunden direkt kontaktieren. Mit dieser Taktik gelingt es ihnen immer wieder, betrügerische Transaktionen durchzuführen. Die gute Nachricht: Dank Betrugsprävention im Zahlungsverkehr können Banken häufig ungewöhnliche Überweisungen stoppen, auch wenn diese bereits genehmigt wurden. Für diese Untersuchung wurden Daten von 147.751 Kund:innen analysiert, von denen 276 im Zeitraum von Jänner 2022 bis Dezember 2023 in die Betrugsfalle tappten.

Die im Rahmen der Studie ausgewerteten Daten zeigen, dass Kund:innen, die auf Italienisch mit der Bank kommunizieren, anfälliger für Betrug sind als deutschsprachige. Dies könnte daran liegen, dass die Phishing-Nachrichten auf Italienisch verfasst sind. Wer für die Kommunikation mit der Bank die deutsche Sprache gewählt hat, ist möglicherweise von vornherein misstrauischer beim Erhalt einer SMS auf Italienisch. Eine weitere Erkenntnis der Studie ist, dass jüngere Menschen überraschenderwiese häufiger Betrügereien zum Opfer fallen als ältere. Dies deutet darauf hin, dass jüngeren Generationen mit mehr Online-Banking-Erfahrung möglicherweise unvorsichtiger sind. Bezüglich des Geschlechts oder der Größe des Wohnorts konnten keine signifikanten Unterschiede festgestellt werden.

Wichtige Erkenntnisse der Forschung 

Die zunehmende Digitalisierung führt dazu, dass immer mehr Aktivitäten online stattfinden, darunter auch Betrugsversuche. Besonders im Bankensektor werden immer mehr Dienstleistungen online angeboten. Die Forschung von Fedele, Tonin und Valerio liefert wichtige Erkenntnisse zur Prävention solcher Betrugsfälle. „Um die Kund:innen zu schützen, ist es wichtig zu verstehen, welche Faktoren Personen anfälliger für Phishing machen. Mit diesem Wissen können Finanzinstitute und Aufsichtsbehörden ihre Aufklärungskampagnen über die Risiken von Phishing-Angriffen gezielter ausrichten“, erklären die Autoren. „Darüber hinaus wird viel über den Schutz älterer Menschen diskutiert. Unsere Ergebnisse weisen jedoch darauf hin, dass auch der jüngeren Generation mehr Aufmerksamkeit geschenkt werden muss.“ 

(ros)