Darmstadt Einmalzahlung für Studenten: Wie ein IT-Student mit einer Fake-Website den Bund vorführt
Seit Monaten warten Studenten auf die Einmalzahlung des Bundes zur Entlastung in der Energiekrise. Die Antragsstellung läuft über eine neue Website. Ein Informatikstudent wittert Sicherheitsrisiken, konzipiert eine Fake-Website – und führt damit den Bund vor.
Wann kommt die Einmalzahlung in Höhe von 200 Euro für Studenten und Fachschüler? Seit Monaten ist sie angekündigt und ebenso lang haben die Wartenden noch keinen Cent gesehen. Mitte März soll es für alle Berechtigten so weit sein. Den ersten Studenten und Fachschülern, die im Rahmen einer Testphase bereits einen Antrag stellen konnten, zahlt der Bund die 200 Euro schon ab dem 10. März aus.
Der Verwaltungsakt für den Erhalt der 200 Euro ist groß, da unter anderem für die Registrierung bei BundID noch weitere Unterlagen nötig sind, die im Zweifel erst beantragt werden müssen.
Das Problem: Das Verfahren birgt Sicherheitsrisiken. Das fiel IT-Studenten der TU Darmstadt sofort auf, als bekannt wurde, dass Studenten den finalen Antrag über eine eigens dafür eingerichtete Website stellen sollen. „Damals haben wir uns schon gedacht, dass es nicht schlau ist, die Domain ‚einmalzahlung200.de‘ zu nutzen, da sie nicht besonders seriös klingt“, sagte Per (vollständiger Name der Redaktion bekannt), einer der Informatikstudenten, im Gespräch mit unserer Redaktion.
Die Befürchtung: Betrüger könnten auf die Idee kommen, Phishing-Websiten mit ähnlich klingenden Domains zu programmieren, um die Daten von ahnungslosen Studenten abzugreifen, die sich in der URL vertippt haben.
Die Befürchtung, Antragssteller könnten leicht auf ähnlich geschriebenen Betrugsseiten landen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) offenbar nicht. Denn Per sagt, dass er sich für einen Jahresbeitrag in Höhe von etwas mehr als fünf Euro Anfang Februar die Domain „einmalzalung200.de“ gekauft habe – um sie vor Angriffen zu schützen.
Er kaufte sie also erst kurz nachdem das Ministerium den Namen der Domain bekannt gab. Vorab hätte beispielsweise das BSI sich diese ähnlichen Domains sichern können, um das Risiko zu verkleinern.
Die Idee: Per wollte eine Website konzipieren, die gar nicht versucht, echt zu sein, um Nutzer, die sich durch Tippfehler auf seine Fake-Seite verirren, auf die Gefahr von Phishing aufmerksam zu machen. Gleichzeitig habe er auch die Bundesregierung dafür sensibilisieren wollen, dass eine derartige Domain nicht geeignet sei, um sensible Daten preiszugeben.
Der Clou: Damit seine Website klar als Fake-Seite erkannt wird, baute Per gezielt grammatikalische Fehler und zynische Witz-Funktionen ein, die auf einem offiziellen Portal kaum auftauchen würden. So lautet die Überschrift „Hier kann das Student seine 200€ Einmalzahlung beantragen soon™“ Wer sich versehentlich auf die Seite verirrt hat und dennoch nicht versteht, dass es sich um einen Fake handelt, den fordert er auf, über Schieberegler seine IBAN einzugeben – ein Vorhaben, das sich als unmöglich darstellt.
Lesen Sie auch: Neue Betrugsmasche: Vorsicht bei Links in Vermisstenanzeigen
Auf Nachfrage, was den Verirrten passiert wäre, wenn sie auf den Button zum Einreichen geklickt hätten, berichtet Per, dass dann ein Pop-Up-Fenster auftaucht. Es informiert die Betroffenen über das Missverständnis und sensibilisiert dafür, dass sie beinahe auf eine gängige Phishing-Methode zur Abgreifung sensibler Daten hereingefallen wären.
Wer versucht, die Website mit der falschen Domain zu öffnen, stieß am Freitag nur noch auf eine Seite mit der Meldung „Ihr habt euch vertippt und wollt vermutlich zu https://einmalzahlung200.de“. Dann listet liest man Tipps, woran sich Phishing erkennen lässt und wie vorzugehen ist, wenn man Opfer eines derartigen Betrugs geworden ist.
Die Reaktion: Per zufolge kontaktierte ihn der Netzwerkbetreiber, da Nutzer diesem „einmalzalung200.de“ als Phishing-Website gemeldet hätten. Als Konsequenz habe er die Website vorerst offline genommen, um weitere Missverständnisse zu vermeiden.
Um auch andere ähnliche Domains vor Betrügern zu schützen, kauften Per und seine Kommilitonen nach seinen Angaben weitere Internetadressen. Auf der Website „eimmalzahlung200.de“ steht eine Auflistung dieser gesicherten Domains.
Wie steht Per generell zur Abwicklung der Einmalzahlung? Er meint, dass er den Prozess als überzogen wahrnehme und das Ergebnis komplizierter wirke, als es seiner Ansicht nach hätte sein müssen: „Ich finde es generell lächerlich, dass sie so lange gebraucht haben, nur um eine Website zu erstellen, auf der steht, dass man es immer noch nicht beantragen kann.“
