Phishing beim Online-Banking: So funktioniert die Betrugsmasche
Online-Banking ist aus unserem Alltag nicht mehr wegzudenken. Das machen sich Betrüger zunutze: Mit Phishing-Mails oder SMS verschaffen sie sich Zugang zu fremden Konten - und stehlen so das Geld.
Mittlerweile erledigen neun von zehn Internetnutzerinnen und -nutzern in Deutschland ihre Bankgeschäfte online, das ergab eine Befragung im Auftrag des Digitalverbands Bitkom. Doch die schnelle und bequeme Art, Geldgeschäfte von zu Hause oder unterwegs zu erledigen und Konten zu verwalten, hat auch ihre Tücken.
Phishing: Betrugsmasche per E-Mail oder SMS
Obwohl die Sicherheitsverfahren der Banken über die Jahre immer sicherer geworden sind (Zwei-Faktor-Authentifizierung, spezielle TAN-Apps, Sicherheits-Algorithmen), gelingt es den immer besser organisierten Tätern, mit raffinierten Betrugsmaschen Zugriff auf Bankkonten zu erhalten. Die gängigste Form dieses Trickbetrugs ist das sogenannte Phishing - eine Ableitung des englischen Begriffs "fishing", zu Deutsch angeln. Ein Betrüger wirft einen Köder aus - oft in Form einer E-Mail oder einer SMS, die angeblich von einer Bank stammt - und wartet, bis ein Opfer "anbeißt".
Betrüger ergaunern Kontonummer und Passwort
"Der Fokus der Täter liegt vor allem auf Banken, die der Bürger für sein Girokonto nutzt. Volksbanken, Sparkassen, Postbank, Commerzbank. Da spezialisieren sich die Täter drauf. Da hat man potenziell mit einer Phishing-Seite viele, viele Opfer," sagt Henning Dibbern vom Kommissariat Cybercrime Ermittlungen der Kripo Kiel.
Der Kriminalhauptkommissar beschäftigt sich seit Jahren mit Lücken in Online-Banking-Systemen, die Kriminelle nutzen, um an sensible Daten wie Kontonummern, Passwörter oder sogar TAN (Transaktionsnummern) zu kommen.
Phishing ist häufigste Form von Betrug bei Online-Banking
"Die Phishing-Attacken beim Online-Banking sind in Deutschland so hoch wie nie zuvor", weiß Henning Dibbern.
In der Regel läuft es folgendermaßen ab:
- Ein Betrüger verschickt eine E-Mail oder eine SMS. Der Absender: angeblich eine Bank, die den Kunden dazu auffordert, sich über einen angefügten Link mit den eigenen Zugangsdaten einzuloggen.
- Als Grund werden oft Sicherheits-Updates, unbefugte Konto-Zugriffe oder technische Probleme angegeben. Die Botschaft: "Wenn Sie nicht schnell handeln, bekommen Sie Probleme!"
- Die Mails und Webseiten sehen oft täuschend echt aus, suggerieren also: Diese Nachricht kommt von Ihrer Bank und ist vertrauenswürdig.
- Der Link führt allerdings auf eine gefälschte Webseite, wo die Täter die eingegebenen Daten "mitlesen" können. Damit erbeuten sie den Benutzernamen und das Passwort zum Online-Banking.
- Was den Tätern jetzt noch fehlt ist die TAN, also die individuelle Transaktionsnummer, die dem Kontoinhaber ausschließlich über ein separates Verfahren zur Verfügung gestellt wird. Um diese zu bekommen, erstellen sie möglicherweise ein weiteres Eingabe-Portal oder rufen die Opfer persönlich an.
- Haben die Täter alle notwendigen Informationen, können sie im Namen des Opfers eine Überweisung ausführen und im schlimmsten Falle das Konto leer räumen.
Betrüger nutzen vor allem Echtzeit-Überweisungen
Begünstigt werden diese Betrugsmaschen durch sogenannte Echtzeit-Überweisungen - also Transaktionen, bei denen das Geld binnen Sekunden das eigene Konto verlässt und das Empfänger-Konto erreicht. "Dann ist das weg. Sie haben keine Chance, das zu stoppen", erklärt Christoph Wolf, Sicherheitsexperte von der GLS Bank. Es sei denn, ein bankinterner Algorithmus bemerkt eine Unregelmäßigkeit und verhindert die Überweisung. Diese künstliche Intelligenz könne laut Wolf bemerken, dass beispielsweise mehr Echtzeit-Überweisungen als üblich oder Überweisungen in unübliche Länder getätigt werden.
Warnhinweise für Phishing erkennen
Nicht nur die künstliche Intelligenz kann eingreifen. Auch als Kunde kann man die oft sehr gut gemachten Betrugsmaschen erkennen - denn es gibt klare Warnhinweise:
- Die E-Mail oder die SMS: Banken fordern Kunden niemals über das private E-Mail-Postfach zu sicherheitsrelevanten Aktionen auf. Die Kommunikation erfolgt ausschließlich über das Postfach in der Online-Banking App - oder per Post.
- Der Zeitpunkt und die Botschaft: Betrüger melden sich oft am Abend oder am Wochenende, sodass keine Bank mehr zu erreichen ist. Außerdem wird Druck aufgebaut, damit der Kunde schnell und unüberlegt handelt.
- Der Link: Kunden sollten sich die URL, auf die sie klicken, sehr genau anschauen und mit der Internetadresse der tatsächlichen Bank vergleichen. Oft sind Betrugs-Links kryptisch oder haben keine .de, sondern eine .com, .net oder .org Adresse.
- Die Website: Auch wenn sie auf den ersten Blick authentisch wirkt, führen dort viele Links oft ins Leere, oder das Impressum ist falsch oder unvollständig.
- Der Anruf und die TAN: Bankmitarbeiter fordern ihre Kunden niemals zur Weitergabe einer TAN auf. Die TAN wird immer nur direkt in der Banking-App abgefragt und bezieht sich immer auf eine vorher vom Kunden eingegebene Aktion, zum Beispiel eine Überweisung.
Verhalten nach einem Phishing-Vorfall
Sobald der Betrug bemerkt wurde, sollten Kunden Folgendes tun:
- Sofort die Notfall-Hotline der eigenen Bank anrufen und den Betrug melden. Mit etwas Glück kann die Überweisung noch gestoppt werden, falls nicht, kann die Bank aber Kontakt zur Empfänger-Bank herstellen und dort um eine Rücküberweisung oder eine Sperrung des Kontos bitten.
- Die Konto-Daten des Empfängers notieren. Zumindest die IBAN muss nämlich echt sein und gibt den Ermittlern die Möglichkeit, gegen den Betrüger vorzugehen.
- Sofort Anzeige bei der Polizei erstatten und die Konto-Daten des Empfängers weitergeben. Denn nur durch eine Anzeige wird ein offizielles Verfahren eingeleitet, das die Banken dazu berechtigt, Überweisungen zu stoppen oder Konten zu sperren.
- Sofort die Empfänger-Bank kontaktieren - und mitteilen, dass ein dort registriertes Konto für einen Betrug verwendet wurde. Denn: Banken sind Dienstleister und dürfen Überweisungen nur bei erwiesenem Verdacht auf Straftaten für längere Zeit zurückhalten. Selbst wenn das Geld also durch einen Algorithmus automatisch eingefroren wurde, könnte es wieder freigegeben werden, sofern sich kein Geschädigter meldet.
Grundsätzlich gilt: Die wirksamste Waffe im Kampf gegen Cyberkriminelle und Online-Phishing ist der Kunde selbst: Ein sorgfältiger Umgang mit vertraulichen Daten, eine kritische Prüfung jeder E-Mail oder SMS und eine gesunde Skepsis bei der Weitergabe von Informationen im Internet sind wichtig. Denn: Häufig sei es so, dass den Kunden gar nicht bewusst sei, dass sie irgendwo raufgeklickt hätten, so Henning Dibbern. "Die Erfahrung zeigt, dass in neun von zehn Fällen der Fehler doch beim Kunden lag."