Wie funktioniert der Phishing-Betrug?
Was ist eine Phishing-Mail überhaupt? Eine Phishing-Mail ist als eine Art Köder anzusehen, der im Internet ausgelegt wird. Wer anbeißt, gibt beispielsweise Zugangsdaten für Onlinebanking-Accounts oder Informationen von Kreditkarten an Online-Betrüger weiter – ohne sich darüber im Klaren zu sein. Das häufige Ergebnis: Kreditkartenbetrug und ungewollte Geldabbuchungen vom Online-Konto.
Die Online-Betrüger versuchen durch Phishing-Mails an die persönlichen Daten eines Internetnutzers zu gelangen. Im Falle der Banken, so auch der Sparkasse, senden Online-Betrüger häufig eine E-Mail an die Sparkassen-Kunden. Diese E-Mail enthält in der Regel einen Link, die den Sparkassen-Kunden auf eine "gefälschte" Sparkassen-Website führt. Dort soll der Kunde dann seine persönlichen Daten eingeben. Diese Daten werden von Kriminellen dazu missbraucht, um Geldabbuchungen vorzunehmen, oder die Daten an Dritte weiterzugeben. Das größte Problem an dieser Stelle ist, dass der Betrug teilweise sehr schwer zu entdecken ist. Denn obwohl es sich um "gefälschte" Internetseiten handelt, sind diese sehr realistisch und kommen dem Original verblüffend nah.
Der Verbraucherzentrale ist zuletzt folgende Betrüger-E-Mail bekannt geworden: In der Nachricht wird um ein Datenabgleich gebeten. Anscheinend wäre es aufgrund des Brexits nötig, eine Verifikation durchzuführen, damit die Sparkasse weiterhin im britischen Ausland tätig sein kann. Außerdem soll dem Kunden durch Verifikation eine höhere Sicherheit geboten werden. Hinter der E-Mail verbirgt sich jedoch keine höhere Sicherheit, sondern ein Betrugsversuch, mit dem die Online-Betrüger an die sensiblen Daten kommen wollen.
Obiges Bild ist nur ein Auszug aus dem Erfindungsreichtum der Betrüger. Jeden Tag tauchen neue Phishing-Mails auf, mit denen Internet-Benutzern Daten und Geld aus der Tasche gezogen werden. Daher ein wichtiger Hinweis: Klicken Sie keine Links und Anhänge in der E-Mail an! Wenn Sie eine E-Mail im Namen der Sparkasse erhalten und Sie gebeten werden, auf einen Link zu klicken, müssen Sie vorsichtig sein. Fragen Sie im Zweifel bei der Sparkasse nach, ob diese Ihnen eine E-Mail geschickt hat. Wenn nicht, können Sie von einem Betrug ausgehen und sollten Anzeige bei der Polizei erstatten.
Unsere Expert:innen beraten Sie im Ernstfall, ob Ihnen ein Anspruch auf Wiedergutschrift von der Bank zusteht, wenn Ihr Online-Banking gehackt wurde. Machen Sie jetzt unseren kostenlosen Online-Check und erhalten Sie unverbindlich eine Ersteinschätzung zu Ihrem Fall.
Vorsicht: Hinweise auf Phishing-Mails an Kunden der Sparkasse
Sie sollten sofort misstrauisch werden, wenn Sie eine E-Mail erhalten, in der Sie nicht persönlich angesprochen werden. Auch die Sparkasse gibt an, dass sie ihre Kunden in E-Mails und nach dem Einloggen auf der Webseite immer mit dem Namen ansprechen. Anreden wie "Sehr geehrte Damen und Herren" werden niemals benutzt. Außerdem sollten Sie auf Rechtschreib- und Grammatikfehler achten. In der Regel wird von den Banken und der Sparkasse kleinlichst darauf geachtet, dass die Nachrichten keine Fehler enthalten. Bei organisierter Kriminalität und Massenmails kommen Rechtschreib- und Grammatikfehler vermehrt vor und sind ein Indiz für einen Betrugsversuch.
Auch der Absender kann einen Hinweis darauf geben, ob es sich um eine Phishing-Mail handelt. Denn oftmals werden E-Mail-Adressen nachgeahmt. Erst beim genauen Hinsehen erkennt man Unterschiede zur „echten“ Domain des Unternehmens. Wenn ein Absender bei Ihnen Skepsis hervorruft, sollten Sie auch keinesfalls mitgeschickte Anhänge öffnen. Denn diese Dateien können einen Virus enthalten und einen großen Schaden anrichten. Folgende Absender-Beispiele, mit denen bereits Phishing betrieben wurde, veröffentlichte das Online-Portal www.onlinewarnungen.de:
- service@sparkasse.de
- sicherheit@sparkasse.de
- sicherheitscheck@sparkasse.de
- sparkasse-verifizierung@online.de
Außerdem werden Betreffe in der Mail genannt, die zunächst sehr harmlos aussehen. Folgende Betreffs wurden in Betrüger-Mails gefunden:
- Nachricht vom Kundendienst
- Sparkasse – Aktualisierung für Ihr Konto erforderlich
- Sparkasse.de | Sicherheitsbenachrichtigung
- Sparkasse Alarm
- Wichtige Kundendurchsage!
- Sparkasse – Wichtige Sicherheitsprüfung erforderlich
- Sparkasse Sicherheitsprüfung erforderlich
- Wichtige Mitteilung
- Aktualisierung unserer Sicherheitsstruktur
- Sicherheitsupdate Sparkasse
- Sparkassen Update
- Ihr Sparkassenkonto – wichtige Nachricht!
- Aktualisierung der Sicherheitsnetzwerke!
- Bankdaten bestätigen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn warnt außerdem davor, dass ein grünes Schloss-Symbol in der Adressleiste des Browsers auf einen Betrug hindeutet. Dieses Symbol lässt den Leser vermuten, dass es sich um eine sichere E-Mail der Bank handelt. Das ist jedoch nicht der Fall. Das Symbol zeigt nicht an, dass eine Website sicher ist, sondern dass der Datenverkehr verschlüsselt ist und nicht von Dritten mitgelesen werden kann. Tatsächlich ist dieses Symbol weit verbreitet, um sensible Daten von Internetnutzern abzugreifen. Das Fachmagazin Heise, welches sich auf den Themenschwerpunkt Informations- und Telekommunikationstechnik konzentriert, teilte mit, dass sich mehr als die Hälfte der „Fake-Websites“ am grünen Schloss in der Browserzeile bedienen.
Hinweis: Die obigen Auflistungen sind nur ein kleiner Auszug aus den Betrugsfällen, die bereits bekannt geworden sind.
Unsere Expert:innen beraten Sie im Ernstfall, ob Ihnen ein Anspruch auf Wiedergutschrift von der Bank zusteht, wenn Ihr Online-Banking gehackt wurde. Machen Sie jetzt unseren kostenlosen Online-Check und erhalten Sie unverbindlich eine Ersteinschätzung zu Ihrem Fall.
Phishing: Wer haftet, die Bank oder der Bankkunde?
Diese Frage kann pauschal nicht beantwortet werden. Obwohl allgemein behauptet wird, dass die Bank im Falle von Phishing nicht zahlen muss, gibt es Einzelfälle, wo die Bank doch zur Verantwortung gezogen werden kann. Jedoch stellt sich beim Thema "Phishing" in der Regel immer die Frage, ob der Kunde "grob fahrlässig" gehandelt hat. Diese Frage wurde im folgenden Fall vom Oberlandesgericht Oldenburg bejaht (Az. 8 U 163/17).
Der Fall: Ein Bankkunde wurde durch eine Phishing-Mail auf eine Internetseite umgeleitet, die der Hausbank sehr ähnlich sah. Der Kunde wurde gebeten, eine „Testüberweisung“ vorzunehmen. Das Formular für die Testüberweisung war bereits ausgefüllt. Der Kunde musste nur noch die TAN eingeben, die ihm per SMS zugesandt worden ist. Kurz darauf stellte er fest, dass es sich um einen Betrug handelte. Von seinem Kunden wurden 8.000 Euro nach Polen überwiesen. Der Kontobesitzer forderte daraufhin das Geld von der Bank zurück. Die Bank weigerte sich, den Schaden zu begleichen. Der Fall ging vor das Oberlandesgericht Oldenburg.
Die Entscheidung: Das Gericht stellte sich auf die Seite der Bank. Die Begründung: Der Kontoinhaber hat grob fahrlässig gehandelt. Dem Bankkunden hätte auffallen müssen, dass es sich um eine Phishing-Mail handelt. Zumal die Bank auf ihrer Webseite vor Betrugsversuchen mit dieser Formulierung gewarnt hatte. Außerdem hätte der Kunde bei genauer Prüfung die internationale IBAN und die Überweisungssumme finden können. Der Bankkunde hat somit gegen die Geschäftsbedingungen verstoßen und grob fahrlässig gehandelt.
Das hat zum Fazit, dass Bankkunden bei grober Fahrlässigkeit in der Regel auf den Schaden sitzen bleiben. Aber wann handelt ein Bankkunde grob fahrlässig? Diese Frage muss nach Einzelfall entschieden werden – wenn nötig auch vom Gericht. Ein weiterer entscheidender Punkt ist die Autorisierung der Zahlungsanweisung. Damit ist im weitesten Sinne die Zustimmung oder Erlaubnis einer Zahlungsanweisung gemeint. Für eine nicht-autorisierte Zahlungsanweisung haftet beim Phishing grundsätzlich die Bank – sofern auch der Kunde die Überweisung nicht autorisiert hat. An dieser Stelle muss geklärt werden, wie man die Nicht-Autorisierung beweisen kann. Es gibt also viele Eventualitäten, die betrachtet werden müssen, um entscheiden zu können, ob die Bank oder der Bankkunde einen Fehler gemacht hat.
Ich bin Opfer von Phishing geworden – was tun?
Wenn Sie erahnen oder sogar sicher sind, einem Online-Betrug zum Opfer gefallen zu sein, müssen Sie schnell handeln. Setzen Sie sich mit Ihrer Hausbank in Verbindung und schildern Sie Ihren Fall. Die Sparkasse gibt diesbezüglich dem Kunden Verhaltensregeln an die Hand. Zunächst sollte der Online-Banking-Zugang von Ihnen gesperrt werden – z.B. indem man die PIN dreimal falsch eingibt. Bei verstärktem Verdacht sollten Sie auch umgehend die Polizei informieren und Anzeige erstatten.
Wenn es im weiteren Verlauf darum geht, Ihr Geld zurückzubekommen, benötigen Sie Hilfe von einem Fachanwalt für Bank- und Kapitalmarktrecht. Denn viele Banken wollen sich zunächst aus der Verantwortung ziehen und sehen die Schuld beim Kunden. Wenn Sie jedoch nicht fahrlässig gehandelt haben, bestehen gute Chancen, das verlorene Geld zurückzubekommen. Wir helfen Ihnen dabei, Ihren Fall richtig einzuordnen. Bei einer kostenfreien Erstberatung können unsere Anwälte prüfen, wie Ihre Erfolgschancen aussehen. Unsere Kanzlei vertritt bereits zahlreiche geschädigte Kontoinhaber, die um ihr Geld betrogen worden sind und unter anderem Opfer von Phishing wurden. Bislang konnten wir in vielen Fällen den Geschädigten helfen und das Geld von der Bank durch juristische Überzeugungsarbeit zurückfordern.
Unsere Anwälte
* Angestellte Anwälte, ** Vorstand, *** Freischaffende Rechtsanwälte
