Wenn dir meine Artikel und Podcasts gefallen, abonniere dich jetzt – oder leite sie an Freunde weiter –, damit dieser Substack weiter wachsen kann!

Der Anruf kam zu einem ungünstigen Moment, wie solche Anrufe es wohl immer tun.

Es war ein perfekter Herbsttag. Das Wetter war mild genug, um einen echten Reiz auszustrahlen, Zeit draußen zu verbringen, und gleichzeitig kühl genug, um tief im Inneren zu wissen, dass man dieses Gefühl für viele Monate nicht wieder erleben würde. Ich war in Paris, zusammen mit einer meiner engsten College-Freundschaften, jemandem mit vollgepacktem Terminkalender und kleinem Kind, und wir nutzten einen jener seltenen Nachmittage, an denen wir einfach durch eine schöne Stadt spazieren und über die Welt diskutieren konnten. Wir waren im Marais, einem der touristischsten Viertel – allerdings hatte mein Freund mich nicht zum Besuch einer der vielen Weinbars mitgenommen, sondern um mir die Umwandlung eines brutalistischen Bürohochhauses zu zeigen, das er bewunderte –, als mein Telefon klingelte: „Google“, stand auf dem Display.

Mein erster Impuls war, den Anruf zu ignorieren. Aber ich hatte noch nie zuvor einen Anruf von Google bekommen. Und dann fiel mir ein, dass ich am Vormittag eine merkwürdige Aufforderung erhalten hatte, einen Anmeldeversuch über die YouTube-App zu bestätigen. Ich war davon ausgegangen, dass es sich um einen jener schlecht gemachten Phishing-Versuche handelte, und hatte mir keine größeren Sorgen gemacht. Doch der scheinbare Zufall ließ mich denken, dass ich den Anruf wohl besser annehmen sollte.

Der Mann am anderen Ende der Leitung klang äußerst professionell. In akzentfreiem amerikanischem Englisch stellte er sich als Mitarbeiter des Google Safety Teams vor. Er begann damit, meine Identität zu überprüfen: „Sind Sie Yascha [zweiter Vorname] Mounk?“ Ich bestätigte. „Wohnen Sie unter der Adresse [Adresse]?“ Ich bestätigte. „Lauten die letzten vier Ziffern Ihrer Sozialversicherungsnummer [XXXX]?“1 Ich bestätigte auch das.

„Vor etwa einer halben Stunde hat sich jemand mit einer Kopie Ihres Führerscheins und weiteren Identifikationsmerkmalen an Google gewandt, um den Zugang zu einem Konto wiederzuerlangen, aus dem Sie angeblich ausgesperrt wurden. Wir rufen Sie an, um sicherzustellen, dass Sie das tatsächlich waren.“ Ich erklärte, dass ich es keineswegs gewesen war.

Der Anrufer fuhr fort und sagte, er habe genau das befürchtet. Die Zahl und die Raffinesse von Phishing-Versuchen seien zuletzt stark gestiegen, erklärte er. Die Angreifer hätten es geschafft, ihre Gmail-Adresse – er buchstabierte langsam eine merkwürdige Zeichenfolge: besuvsjhcbc@gmail.com – mit meinem Konto zu verknüpfen. Dadurch habe der Betrüger derzeit vollständigen Zugriff auf all meine E-Mails. Zeit sei ein entscheidender Faktor.

„Natürlich“, sagte ich. „Können Sie ihn bitte sofort aus meinem Konto aussperren?“

Das könne er tun, erklärte der Anrufer, doch zuvor müsse ich die entsprechende Anfrage auf einem meiner Geräte bestätigen.

Von Beginn des Gesprächs an rangen drei Instinkte in mir miteinander.

Der erste Instinkt war Misstrauen. Mir war bewusst, dass Phishing-Anrufe immer raffinierter wurden. Ich spürte, dass an diesem Telefonat etwas nicht stimmte, dass einige Details – solche, die ich in diesem Moment nicht genau benennen konnte – nicht ganz zusammenpassten.

Der zweite Instinkt war Angst. Wenn jemand Zugriff auf mein E-Mail-Konto hatte, konnte er möglicherweise auch auf mein Bankkonto und auf allerlei weitere persönliche Daten zugreifen – Informationen, die später ernste Probleme verursachen konnten. Und obwohl mir klar war, dass ich dem Mann, der mich geduldig durch den Prozess führte, diese mutmaßlichen Eindringlinge auszusperren, nicht trauen durfte, fiel mir doch auf, wie bemerkenswert ruhig und professionell er klang. Vielleicht war dieser Anruf ja tatsächlich echt?

Read in English 🇬🇧

Lire en français 🇫🇷

Der dritte Instinkt war ein Gefühl sozialer Verpflichtung. Ich sprach mit jemandem, der entweder ein skrupelloser Betrüger war, dessen Geschäft darin bestand, leichtgläubige Menschen auszunehmen – oder ein hilfsbereiter Angestellter, der mich genau vor solchen Betrügern schützen wollte. In dieser Art von Ungewissheit übernimmt merkwürdigerweise die Angst, unhöflich zu wirken. Ich ertappte mich dabei, mich dafür zu schämen, dass ich an dem Mann am anderen Ende der Leitung zweifelte, und sprach höflich mit ihm, obwohl ich ihn für einen Soziopathen hielt.

Unsicher, was ich tun sollte, machte ich eine Geste zu meinem Freund und schaltete das Telefon auf Lautsprecher. Nachdem er etwa dreißig Sekunden zugehört hatte, drückte ich die Stummschaltung: „Was meinst du?“, fragte ich. „Ist das seriös?“

Er sah genauso ratlos aus wie ich. „Es könnte ein Betrüger sein“, sagte er. Ich nickte. „Aber er klingt so professionell“, fügte er hinzu. Ich nickte erneut.

„Also was soll ich tun?“

Mein Freund zuckte mit den Schultern.

„Wie kann ich wissen, dass Sie wirklich von Google anrufen?“, fragte ich den freundlichen Mann am anderen Ende der Leitung.

„Ich kann eine Nachricht aus unserem System generieren“, bot der Anrufer an. „Sie können sie gern überprüfen: Sie sollte von noreply@google.com kommen.“

Ein paar Sekunden später traf die versprochene E-Mail in meinem Posteingang ein. Format und Gestaltung wirkten authentisch. Sie kam tatsächlich von noreply@google.com. Doch ein Teil meines Gehirns sagte mir, dass etwas daran seltsam war; der Wortlaut der E-Mail bezog sich darauf, eine Wiederherstellungsadresse hinzuzufügen, nicht darauf, ein Konto zu entkoppeln.2

„Gibt es eine Möglichkeit, Sie unter einer offiziellen Google-Nummer zurückzurufen?“, fragte ich den Anrufer.

„Aus Sicherheitsgründen nimmt unser Team keine eingehenden Anrufe an“, sagte der Mann am Telefon. „Aber Sie können gern die Nummer nachschlagen, von der ich Sie gerade anrufe. Sie werden sehen, dass sie online als Support-Nummer von Google aufgeführt ist.“

Ich beschloss, dass ich einen Moment zum Nachdenken brauchte. „Ich kann die Nummer nicht überprüfen, solange wir telefonieren. Auf meinem Display steht nur ‚Google‘“, sagte ich. (Seltsamerweise stimmte das.) „Könnten Sie mich in ein paar Minuten zurückrufen?“

Der Anrufer nahm das mit bemerkenswerter Gelassenheit. „Natürlich“, sagte er in freundlichem Ton. „Ich finde es gut, dass Sie die Sicherheit Ihrer Konten so ernst nehmen. Denken Sie nur daran: Zeit ist entscheidend. Ich melde mich gleich wieder.“

Ich suchte die Nummer: 877-355-5787. Eine kurze Recherche bestätigte, dass sie legitim war; der erste Treffer führte mich auf eine Google-Support-Seite, auf der genau diese Ziffern aufgeführt waren.

„Kann man eigentlich simulieren, von welcher Nummer man anruft, obwohl es gar nicht diese Nummer ist?“, fragte ich meinen Freund.

Er war sich nicht sicher. Ich auch nicht.

„Kannst du nachsehen, welche Geräte gerade mit deinem Gmail-Konto verbunden sind?“, schlug er vor.

Ich versuchte es. Ohne meinen Laptop war alles etwas umständlicher. Ich meldete mich über den mobilen Browser in meinem Google-Konto an, suchte die Sicherheitseinstellungen und fand schließlich eine Liste der aktiven Verbindungen. Einige davon waren schwer einzuordnen: ältere Einträge, vermutlich Geräte, die ich seit Monaten oder Jahren nicht mehr benutzt hatte. Doch es schien keine aktuellen Verbindungen von unbekannten Geräten oder Standorten zu geben. Langsam begann das Adrenalin aus meinem Körper zu weichen.

Einen Kommentar hinterlassen

Ich beschloss, ChatGPT um Rat zu fragen. Ich erfuhr, dass die auf dem Display angezeigte Nummer tatsächlich mit Google verbunden ist. Doch „Telefonnummern können leider sehr leicht gefälscht werden, selbst wenn sie legitim aussehen.“

ChatGPT schlug außerdem eine weitere Möglichkeit vor, um zu prüfen, ob der Anruf echt war. Ich solle auf support.google.com nachsehen, ob ein aktives Support-Ticket existiere. Das tat ich. Zu meiner Erleichterung fand ich keines.

Das Telefon klingelte erneut. Mittlerweile war ich zu 99 Prozent sicher, dass der Anrufer ein Betrüger war – und doch merkwürdigerweise weiterhin nicht in der Lage, meine Hemmung zu überwinden, unhöflich zu sein.

„Ich habe die aktiven Verbindungen meines Kontos geprüft, und dort scheint nichts Ungewöhnliches zu sein“, sagte ich. Er gab irgendeine vage Erklärung ab, deren Kern ich mir nicht gemerkt habe und die wenig Sinn ergab.

„Außerdem müsste es nach meinem Verständnis in meinem Google-Konto eine Fallnummer geben, aber die scheint es nicht zu geben“, sagte ich ihm.

Die Leitung war plötzlich tot. Der Betrüger hatte aufgegeben. Eine Welle der Erleichterung überkam mich. Dann ein tiefer Anflug von Scham: „Ich wäre fast darauf hereingefallen“, dachte ich.

Statt sofort zum Abendessen aufzubrechen, holte ich meinen Laptop heraus und erledigte einiges von dem, was ich längst hätte tun sollen: inaktive Verbindungen zu meinem Konto trennen, die Zwei-Faktor-Authentifizierung für wichtige Konten aktivieren, bei denen sie noch nicht eingeschaltet war, und meine Sicherheitseinstellungen verbessern.

Im Rückblick wird mir klar, dass ich mich im Moment selbst naiver fühlte, als ich tatsächlich gehandelt hatte. Der Betrüger war ausgesprochen professionell gewesen. Er hatte eine perfekte Balance gefunden: Er setzte mich nicht in allzu offensichtlicher Weise unter Druck und vermittelte mir zugleich die angebliche Dringlichkeit der Situation. Und dennoch hatte ich keinerlei Informationen preisgegeben, die ihm ermöglicht hätten, mein Geld zu stehlen. Mein Konto war sicher.

Doch die Erfahrung hat mich zweifellos weniger schnell urteilen lassen über diejenigen, die auf ähnliche Betrugsmaschen hereinfallen. Vor einigen Jahren veröffentlichte eine Finanzjournalistin des New York Magazine eine viral gegangene Geschichte darüber, wie sie einem Betrüger einen Schuhkarton mit 50.000 Dollar übergeben hatte. Die Spottreaktionen lagen auf der Hand: Wie konnte jemand, der seinen Lebensunterhalt damit verdient, anderen finanzielle Ratschläge zu geben, nur so dumm sein?

Auch ich habe damals herzlich über ihre Dummheit gelacht. Heute fällt es mir sehr viel leichter zu verstehen, wie ein kluger und gut informierter Mensch in eine geschickt gelegte Falle tappen kann.

Auch ich hätte mich in derselben Lage wiederfinden können – und Sie ebenso.