Dem Online-Betrug auf der Spur – Ein Gespräch mit CISPA-Forscher Bhupendra Acharya
Beim Surfen im Internet oder der Nutzung sozialer Medien stoßen Menschen fast täglich auf potenzielle Online-Betrugsversuche. Online-Betrug ist zu einem weitverbreiteten Phänomen mit ernsthaften finanziellen und gesellschaftlichen Folgen geworden. Dr. Bhupendra Acharya, der bis vor kurzem als Postdoc am CISPA tätig war, widmete einen großen Teil seiner Forschung dem Verständnis von Online-Betrug und Betrugsmaschen in sozialen Netzwerken. Wir haben mit ihm über dieses Thema gesprochen – und über die vielen Formen, die Online-Betrug annehmen kann.
Bhupendra, woher kommt dein Interesse am Thema Online-Betrug?
Mein Interesse für das Thema Online-Betrug geht darauf zurück, dass tagtäglich Nutzer:innen auf Social-Engineering-Tricks hereinfallen. Solche Angriffe führen häufig zu finanziellen Verlusten, ermöglichen den Zugriff auf sensible Daten und hinterlassen Betroffene mit emotionalen und psychischen Belastungen. Während meines Bachelorstudiums war ich selbst Opfer eines Betrugs, bei dem ich einen Teil meiner Ersparnisse verlor. Auch wenn es kein großer Betrag war, weckte dieses Erlebnis mein Interesse daran zu verstehen, wie solche Betrugsmaschen funktionieren und wie man ihnen mithilfe wissenschaftlicher Forschung vorbeugen kann.
Online-Betrug kann viele Formen annehmen. Kannst du einen Überblick über die verschiedenen Betrugsarten geben?
Online-Betrug tritt in vielfältigen Formen auf und basiert häufig auf ausgeklügelten Social-Engineering-Techniken. So nehmen Betrüger:innen beispielsweise über soziale Netzwerke oder per E-Mail Kontakt auf und geben vor, eine Freundschaft, eine intime Beziehung oder eine Mentorschaft im Rahmen einer angeblich „risikoarmen und renditestarken“ Online-Investition aufbauen zu wollen. Andere geben sich am Telefon als Mitarbeitende von Banken, Finanzämtern oder Personalvermittlungen aus.
Typischerweise konstruieren Betrüger:innen Szenarien, die gezielt darauf abzielen, Nutzer:innen zu manipulieren. Dies geschieht entweder, um sensible persönliche Informationen wie Bankdaten, Kreditkartennummern oder Ausweisdokumente zu erlangen oder um Geldzahlungen über bestimmte Zahlungsmethoden zu erwirken. Basieren tut dies meist auf einer erfundenen Geschichte. Darüber hinaus wird durch den Aufbau von Zeitdruck die vermeintliche Dringlichkeit erhöht.
Wie groß ist der wirtschaftliche Schaden durch Online-Betrug?
Online-Betrug verursacht erheblichen Schaden sowohl für Einzelpersonen als auch für die Gesellschaft insgesamt. Laut einem Bericht der US-amerikanischen Federal Trade Commission (FTC) beliefen sich die gemeldeten Verluste in den USA durch Betrug im Jahr 2024 auf 12,5 Milliarden US-Dollar. Dies war ein Anstieg um 25 % im Vergleich zu 2023, und die Tendenz ist weiter steigend.
Welche Rolle spielen soziale Netzwerke und Messaging-Plattformen beim Online-Betrug?
Angesichts der allgegenwärtigen Nutzung sozialer Medien und einer Nutzerzahl von über fünf Milliarden Menschen sind diese Plattformen zu einem lukrativen Ort für Betrüger:innen geworden. Soziale Netzwerke bieten eine leicht zugängliche Angriffsfläche: Das Erstellen gefälschter Profile ist einfach, und potenzielle Opfer lassen sich direkt über Beiträge, Direktnachrichten, „Follows“ und andere Kontaktmöglichkeiten ansprechen. Eine betrügerische Infrastruktur auf sozialen Medien aufzubauen, ist deutlich kostengünstiger als dies über eigene Websites oder E-Mail-Kampagnen zu tun. Beispielsweise müssen Betrüger:innen zur Erstellung eines Social-Media-Profils keine sensiblen Daten wie Kreditkartennummern angeben, was ihre Identität schwerer zurückverfolgen lässt.
Wie läuft ein typischer Online-Betrug ab?
Online-Betrugsversuche beginnen meist damit, dass Betrüger:innen über verschiedene Plattformen oder Systeme Kontakt zu potenziellen Opfern aufnehmen. Das kann über E-Mail, soziale Medien, Dating-Websites, Investitionsplattformen oder auch über manipulierte Werbeanzeigen und gefälschte Websites geschehen. Bevor der eigentliche Betrug erfolgt, bauen Betrüger:innen in der Regel Vertrauen oder Glaubwürdigkeit auf. Das Opfer fällt dann auf den Betrug herein – getäuscht durch gezielte Social-Engineering-Taktiken, die von den Betrüger:innen sorgfältig geplant wurden.
Könntest du uns ein konkretes Beispiel für einen Betrug über soziale Medien geben?
Nehmen wir den Fall eines gefälschten Spendenaufrufs: Eine Nutzerin oder ein Nutzer interagiert mit einem Beitrag auf Social Media, in dem der getöteten Zivilbevölkerung im Ukrainekrieg gedacht wird. Ein Betrüger kommentiert daraufhin den Beitrag, äußert Mitgefühl und schlägt eine Möglichkeit vor, Betroffenen zu helfen, etwa durch eine Spende. Anschließend bittet der Betrüger um einen Wechsel des Gesprächs auf WhatsApp. Nachdem Vertrauen aufgebaut wurde, bittet der Täter schließlich um eine Spende. Dies geschieht häufig über PayPal oder durch Überweisungen an Kryptowährungsadressen.
Hat sich der Bereich Online-Betrug mit dem Aufstieg von Künstlicher Intelligenz verändert – und wenn ja, wie?
Mit dem Aufkommen von KI entwickeln Betrüger:innen neue Methoden: Sie generieren Inhalte, Bilder und Videos, die allein durch visuelle Prüfung kaum noch von legitimen Inhalten zu unterscheiden sind. Um solche Betrugsversuche zu erkennen, sind oft tiefere Analysen und Rückverfolgungen der Quellen notwendig. In einer unserer aktuellen Studien konnten wir zum Beispiel zeigen, wie Betrüger große Sprachmodelle (LLMs) nutzen, um gezielt E-Mail-Vorlagen für Phishing-Angriffe zu erstellen, die auf spezifische Schlagwörter von Kryptowallets abzielen. Darüber hinaus können LLMs auch zum automatisierten Durchsuchen von Accounts für Betrugszwecke eingesetzt werden. Die Angriffe selbst lassen sich ebenfalls automatisieren – was die Anzahl möglicher Betrugsversuche massiv erhöht. All das zeigt: Mit KI verfügen Betrüger über ein äußerst mächtiges Werkzeug. Die gute Nachricht ist jedoch, dass KI-Tools ebenso effektiv zur Erkennung und Verhinderung solcher Angriffe eingesetzt werden können.
Du forschst nun schon seit mehreren Jahren zum Thema Online-Betrug. Welche Aspekte hast du in deiner Arbeit bisher untersucht?
Meine Forschung beschäftigt sich mit verschiedenen Bereichen der angewandten IT-Sicherheit, insbesondere mit internetbasierten Cyberverbrechen und Angriffen. Einige der Themen, an denen ich arbeite, sind erstens der Identitätsdiebstahl auf Social Media, bei dem sich Betrüger als offizielle Marken-Supportkanäle ausgeben oder gefälschte Online-Verkäufe anbieten, zweitens Romance-Scams und Kryptowährungsbetrug über soziale Medien und Dating-Apps und drittens fingierte Spendenaufrufe, die zunehmend dazu genutzt werden, die Hilfsbereitschaft gegenüber wohltätigen Zwecken auszunutzen.
Lass uns den Blick auf eine Deiner aktuellen Studien lenken. Du hast dort eine Methode namens ScamChatBot entwickelt. Was steckt dahinter?
In dieser Studie untersuchen mein Forschungsteam und ich, wie man auf systematische Weise mit Betrüger:innen interagieren kann. Momentan gibt es keinen strukturierten Ansatz, um gezielt mit Betrüger:innen in Kontakt zu treten, um sie von ihrer Arbeit abzuhalten und gleichzeitig ihre Vorgehensweise aufzudecken – zum Beispiel, wie sie Zahlungen anfordern und verarbeiten. Unser System ScamChatBot wurde entwickelt, um mit Betrüger:innen zu kommunizieren und genau diese versteckten Mechanismen sichtbar zu machen, die normalerweise der Öffentlichkeit verborgen bleiben.
Welchen Rat würdest du Einzelpersonen geben, um sich zu schützen?
Betrugsmaschen und Online-Angriffe sind heute extrem schwer zu erkennen, da sie oft wie seriöse Dienste oder Profile wirken. Mit dem Aufkommen von KI und fortgeschrittenen Machine-Learning-Tools entwickeln Betrüger:innen immer ausgefeiltere Social-Engineering-Angriffe. Deshalb ist es wichtig, sehr vorsichtig zu sein und Online-Angebote und Anfragen immer zu hinterfragen. Hier kann ein sogenannter Reverse Check helfen. Die Quelle zu prüfen und besonders aufmerksam zu sein ist entscheidend. Wenn jemand (Inoffizielles) dich nach vertraulichen Daten wie Passwörtern, geheimen Codes oder anderen sensiblen Informationen fragt, dann ist das ein eindeutiges Warnsignal.
Welchen Rat würdest du sozialen Netzwerken und Finanzunternehmen geben?
Das Überwachen von Kundeninteraktionen auf sozialen Netzwerken und anderen Online-Plattformen, auch außerhalb der offiziellen Kanäle, kann helfen, Risiken frühzeitig zu erkennen. In vielen Fällen suchen Kund:innen nach alternativen Unterstützungsquellen, was Betrüger:innen Tür und Tor öffnet, sich als solche auszugeben. Als Unternehmen ist es daher wichtig, die offiziellen Kontaktwege und sicheren Kaufprozesse klar zu kommunizieren. Ebenso entscheidend ist es, gefälschte Profile zu erkennen, die sich als Marken, Warenzeichnen oder offizielle Vertreter:innen ausgeben. Der Austausch von Daten zwischen Plattformen und Unternehmen ist dabei essenziell, um Betrüger:innen zu verfolgen. Sobald ein Betrug erkannt wird, muss schnell gehandelt werden – zum Beispiel durch das Sperren der betroffenen Accounts. Darüber hinaus können ausgeklügelte Authentifizierungsverfahren es Betrüger:innen deutlich schwerer machen, gefälschte Konten zu erstellen.
Im Juli hast du das CISPA verlassen, um in die USA zu gehen und Assistant Professor an der University of Louisiana (ULL) zu werden. Was erwartest du dir von diesem nächsten Karriereschritt?
Ich freue mich riesig auf meine Tenure-Track-Stelle an der ULL. Mein Ziel als Wissenschaftler bleibt das gleiche: Ich möchte das Web durch Forschung sicherer machen. Ich plane, die nächste Generation von Cybersicherheits-Forscher:innen auszubilden – durch Lehre und Forschung. Ich bin froh, dass ich bereits zwei Doktorand:innen gewinnen konnte, aber ich suche weiterhin nach motivierten Kandidat:innen.
Wie blickst du auf deine Zeit am Zentrum zurück?
Zuerst einmal bin ich sehr dankbar gegenüber dem CISPA und meinem großartigen Betreuer Prof. Dr. Thorsten Holz, dass ich über zweieinhalb Jahre als Postdoc Teil des Teams sein durfte. Es war eine fantastische Zusammenarbeit. In dieser Zeit hatte ich die Gelegenheit, mehr als 15 Studierende der Universität des Saarlandes und der Ruhr-Universität bei ihren Abschlussarbeiten zu betreuen. Unsere Zusammenarbeit ging weit über das CISPA und Deutschland hinaus. Wir konnten mehrere bedeutende Forschungsarbeiten auf Top-Konferenzen wie IEEE Security & Privacy, USENIX Security, IMC und WWW veröffentlichen. Ich bin auch sehr froh, dass ich mit herausragenden Forscher:innen im Bereich empirische Websicherheit zusammenarbeiten konnte, unter anderem mit Dr. Giancarlo Pellegrino, Dr. Ben Stock und Dr. Lea Schönherr. Ich nehme all diese schönen Erinnerungen mit, und wir planen, diese Zusammenarbeit fortzusetzen.
Vielen Dank für das Interview und alles Gute für deinen nächsten Karriereschritt in den USA.
Über Bhupendra Acharya
Bhupendra Acharya war von März 2023 bis Juli 2025 Postdoc-Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit. Er arbeitete mit Prof. Dr. Thorsten Holz am SysSec Lab. Seine Promotion absolvierte er an der University of New Orleans unter der Betreuung von Dr. Phani Vadrevu. In seiner Doktorarbeit (Jan. 2018 – Dez. 2022) beschäftigte er sich vor allem mit Phishing, Web-Security-Crawlern, Browser-Fingerprinting und der Entwicklung von Tools für großangelegte Messungen mittels Honeypots. Vor seiner akademischen Laufbahn arbeitete er mehrere Jahre in unterschiedlichen Branchen, unter anderem bei Amazon und Microsoft, im Bereich Softwareentwicklung und Assurance. Nach seinem Weggang vom CISPA, wechselte er als Assistant Professor an die University of Louisiana.
