AboAbonnieren

Sprachprofiler erklärtWie Sie betrügerische Corona-Phishing-Mails entlarven

Lesezeit 4 Minuten
phishing mails

In der Corona-Krise wittern Betrüger ein großes Geschäft.

  1. Seit Wochen kursieren in der Corona-Krise betrügerische Phishing-Mails, die angeblich von der Weltgesundheitsorganisation WHO stammen, oder auch von der Sparkasse.
  2. Polizei und Experten warnen davor, diese Mails ernstzunehmen und Daten preiszugeben.
  3. Der Sprachforensiker Raimund Drommel, der seit mehr als drei Jahrzehnten die Sprache von Verbrechern analysiert, erklärt, wie die Betrugsmails zu erkennen sind.
  4. Er entdeckt ähnliche Muster wie in Schmäh- und Erpresserschreiben, doch die Corona-Krise hat auch eine neue Qualität des Internetbetrugs mit sich gebracht.
  5. Teil 7 unserer neuen Serie „Verbrechen: Tätern auf der Spur.“

Köln – Die Corona-Krise ruft auch immer wieder Betrüger auf den Plan und eröffnet ihnen neue, bisher noch ungeahnte Zugangsmöglichkeiten zu ihren Opfern. Obwohl die Polizei im ganzen Land zum Beispiel vor vorgeblichen Mitarbeitern der Weltgesundheitsorganisation warnt, die nur an Geld und Daten ihrer Opfer gelangen wollen, kursieren seit einigen Monaten sogenannte Phishing-Mails mit betrügerischen Inhalten der WHO. Auch das NRW-Wirtschaftsministerium ist schon Opfer anderer Phishing-Mails geworden, aber auch Privatpersonen. Wie Sie betrügerische Mails einfach anhand der Sprache entlarven, zeigt Sprachprofiler Raimund Drommel, der seit gut drei Jahrzehnten Bekenner- und Erpresserschreiben, Abschieds- und Drohbriefe für Privatpersonen und Ermittlungsbehörden analysiert und Sprachprofile erstellt. -> Hier alle Folgen der Serie lesen!

Fakes sind oft schon auf den ersten Blick zu erkennen, etwa durch Sprach-, oder Rechtschreibfehler oder unpräzise Formulierungen. Forensische Textanalytiker wie Drommel sehen auch bei Verfassern von Schmähbriefen oder Erpressern oft Rechtschreibschwächen. Auch ist die sprachliche und Inhaltliche Konsistenz oft ein Indiz für die Echtheit der Schreiben, wie Drommel an einer gefälschten E-Mail, die vorgibt von der Weltgesundheitsorganisation (WHO) zu stammen, zeigt.

Sprachqualität: Schulnote 4

So ändert sich in dem englischen Text die Schreibweise des Wortes „Corona-Virus“ innerhalb der Absätze. Bemerkenswert ist, dass die wahre WHO tatsächlich einen Bindestrich nutzt, also nicht die amerikanische Schreibweise „Coronavirus“ übernimmt. Die Betrüger haben das womöglich recherchiert. In der Betrugsmail aber wird das Wort einmal klein und mehrmals groß geschrieben. Außerdem wird auf ein E-Book hingewiesen, dessen Titel einmal mit „My-health“ und einmal mit „My Health“ (meine Gesundheit) angegeben wird. Ein Link zum Download eines E-Papers könnte dann zu einer Schadsoftware führen.

Substantive werden manchmal groß, andere Male klein geschrieben, an Verben in der dritten Person Singular nicht wie üblich ein S angehängt, Genitivkonstruktionen nicht beachtet. Insgesamt kommt er zu dem Ergebnis: Die Sprachqualität bekommt die Schulnote 4.

Unsaubere Formatierung wie unterschiedliche Schriftgrößen für den gleichen Text lassen überdies bei Phishing-Experten alle Alarmglocken angehen – auch wenn sich in diesem Fall die Betrüger etwa mit dem Einsetzen des WHO-Logos durchaus Mühe gegeben haben. Durchaus geschickt, sagt Drommel, sei auch, dass die Betrüger in diesem Fall eine bereits existierende Empfehlung der wahren WHO wiederholt, nämlich Mund, Nase und Augen nicht zu berühren. „Geradezu meisterhaft ist jedoch der Hinweis an zweiter Stelle, das angepriesene E-Book könne auch bei der nationalen oder lokalen Gesundheitsbehörde erworben werden“, sagt Drommel. Für eine Betrugs-Mail habe dieser Schriftsatz durchaus eine überdurchschnittliche Fake-Qualität.

Keine Merkmale, die gegen Männersprache sprechen

Doch wer steckt hinter der Phishing-Mail? „Wie bei anderen Delikttypen auch agiert aber selbst in einer kriminellen Gruppe meistens nur eine Person als ‚Schriftführer‘“, sagt Drommel. Daher gehe er zunächst von einer Einzelperson als Verursacher aus. „Diese Person ist mit hoher Wahrscheinlichkeit ein Mann, da vorwiegend Männer diese Straftaten ausüben und es in diesem Text auch keine Merkmale gibt, die gegen Männersprache sprechen“, so Drommel. Durch die Schreibweise des Britischen Englisch könnten Rückschlüsse auf die Herkunft des Betrügers gemacht werden, jedoch nur sehr vage.

Vor dem Hintergrund der Corona-Pandemie, resümiert Drommel, folgen viele der schädigenden Nachrichten zwar bekannten Tatmustern, „haben aber eine ganz neue spezifische Qualität, die uns Sicherheitsexperten zu einer Differenzierung oder Erweiterung unserer präventiven Checklisten führen muss“, sagt Drommel. So sei die Melange aus Lüge und Wahrheit viel ausgeglichener als üblich, was für professionelles Vorgehen spricht.

Das könnte Sie auch interessieren:

Das gleiche gilt für die Tatsache, dass vor dem Hintergrund des Virus mit Ängsten in der Bevölkerung gespielt wird, oder auch schlechtem Gewissen – ein bekanntes Muster bei Betrügern wie etwa beim Enkeltrick oder falschen Polizisten, die ihre Opfer vor angeblichen Überfällen warnen. „Es werden unter dem Deckmantel der Fürsorge echte Anliegen vorgetragen und emotionale Appelle, Sicherheit, Selbstschutz und Solidarität betreffend, an die Empfänger gerichtet. Die Corona-Krise gestattet viele Möglichkeiten, auf der Klaviatur der menschlichen Motive und Gefühle zu spielen“, resümiert Drommel.