Phishing: Betrug im Internet wird raffinierter
Bernhard G. hält sich eigentlich für einen Profi im Onlinebanking. Seit Jahren tätigt er sämtliche Bankgeschäfte elektronisch. Er kennt sich aus und glaubte auch die Tricks der Passwort-Fischer („phishing“ genannt) zu durchschauen. Trotzdem saß er kürzlich Phishing-Kriminellen auf.
Bei einer Online-Überweisung hatte sich offenbar eine gefälschte Webseite eingenistet und das Geld anstatt an den Empfänger auf das Konto der Betrüger überwiesen. Zudem wurde die Festplatte des PC von Bernhard G. zerstört. „Herr G. hatte es wahrscheinlich mit einem Trojaner zu tun“, sagt Walter Mösenbacher, Experte für Electronic Banking bei der Raiffeisenlandesbank Niederösterreich-Wien. Trojaner sind Computerviren, die unter anderem Web-Seiten, dem Original täuschend ähnlich, fälschen und so im Fall von Online-Banking Geld absaugen können. „Dagegen helfen zwei Dinge: aktuelle Virenschutzprogramme und genaue Überprüfung des Empfängerkontos bei der Autorisierung der Überweisung“, erklärt Mösenbacher.
Viel häufiger als Trojaner haben es Internet-Bankkunden aber mit Phishing-eMails zu tun. Dabei werden im Namen der Bank-Online-Zugangsdaten der Kunden abgefragt. Eine 51-jährige Linzerin ist erst zu Jahresbeginn auf so ein Mail hereingefallen und hat mehrere Zehntausend Euro verloren. Eine Kärntnerin wurde kürzlich auf diese Art um ein paar Tausend Euro gebracht.
Kriminelle Spuren
„2005 gab es die ersten Phishing-Vorfälle in Österreich. Seither rollen jährlich drei bis vier Angriffs-Wellen. Mehr als eine Handvoll Schadensfälle haben wir aber nicht“, betont Mösenbacher.
Oft könne nämlich das Empfängerkonto gesperrt werden, bevor die Betrüger das Geld weiterleiten. „Wir verlangen immer, dass die Kunden den Phishing-Angriff zur Anzeige bringen“, erklärt Mösenbacher. Damit sollen Trittbrettfahrer, also Kunden, die fälschlich behaupten, Geld sei über einen Cyberangriff abgezogen worden, abgeschreckt werden.
Landes- oder Bundeskriminalamt nehmen dann Ermittlungen auf. Die Betrüger selbst werden selten gefasst. Meist laufen die Transaktionen über Finanzagenten, die ihr Konto für Überweisungen zur Verfügung stellen. Nach Abzug einer Provision leiten sie das Geld über Geldüberweisungsdienste weiter.
Die Banken warnen ihre Online-Kunden in ihren Web-Seiten: „Niemals fragen wir Kundendaten per Mail ab. Daher gibt es nur eines, wenn so ein Mail kommt: auf den Lösch-Button klicken“, betont Peter Wehsely, Sprecher der RLB NÖ-Wien. Tritt doch ein Schaden ein, geben sich die Banken meist kulant. „Wir versuchen immer, ein Lösung zu finden“, betont man bei der Erste Bank.
Regeln fehlen
Bankenrechtsexperte Stefan Eder von Benn-Ibler Rechtsanwälte spricht von einem „massiven Regulierungsbedarf“. Es gebe einen rechtlichen Graubereich bei Datendiebstahl und Phishing. Die Betrüger würden immer professioneller: „Die wissen bereits vor einer Attacke viel über den Kunden, da fehlt oft nur noch ein Code.“ Durch Online-Einkauf und Social Media würden sich Daten rasch verbreiten, die Sicherheitssysteme der Banken hinkten oft hinterher.
Er sieht daher auch die Banken gefordert: „Für das Risiko, das die Bank schafft, muss sie auch haften.“ Die Problematik: Zusätzliche Sicherheitsstandards (z. B. digitale Signatur, doppelte Verschlüsselung via Handy, Alarm bei verdächtigen Transaktionen) würden oft von den Kunden nicht akzeptiert.
Wer sich vor Phishing schützen möchte, sollte sich einer Tatsache stets bewusst sein: Banken fragen nie per eMail oder Telefon nach Zugangsdaten, wie beispielsweise einer PIN oder Kontonummer. Auch Aufforderungen zum „Aktualisieren des Kontos“ können in jedem Fall ignoriert werden.
Phishing-eMails sind aber auch anhand vieler Merkmale meist recht einfach als solche erkennbar. Vor allem die Rechtschreibung ist ein guter Hinweis, denn oft haben die eMails ihren Ursprung in nicht-deutschsprachigen Ländern und strotzen nur so vor Übersetzungsfehlern. Ebenso lohnt ein genauer Blick auf die eMail-Adresse des Absenders. Die Domain des Absenders, die hinter dem @-Zeichen zu finden ist, lautet oftmals nicht auf den Namen der Bank, wie sie es eigentlich bei einer echten eMail der Bank sollte. Einfallsreiche Betrüger können aber auch dieses Merkmal fälschen, weswegen es nur ein Indiz im Zweifelsfall, aber kein eindeutiger Beweis für die Echtheit einer eMail ist. Phishing-eMails zeichnen sich zudem dadurch aus, dass der Name des Empfängers in der eMail nicht erwähnt wird. Im Zweifel raten alle Banken dazu, sich an die Support-Hotline zu wenden.
Die Spam-Filter der beliebtesten Webmail-Anbieter, beispielsweise Googles Gmail oder Microsofts Outlook.com, fangen einen Großteil der falschen eMails bereits früh ab. Für eMail-Clients wie Outlook oder Thunderbird gibt es zudem Zusatzprogramme, die die Mails nochmals scannen. Sehr beliebt ist Spamihilator.