Phishing: So wollen Betrüger an Ihre Daten

Sie haben eine Email erhalten, die auf den ersten Blick von der Postbank, der Deutschen Bank, Volksbank, Sparkasse oder Ebay stammt? Sie werden darin „aus Sicherheitsgründen“ aufgefordert, eine Internetseite zu besuchen, um dort Ihre Daten einzutragen? Dann sind Sie in die Fänge eines so genannten Phishers geraten – und in größter Gefahr, dass ein Dritter Ihre Daten missbrauchen will. Wie Phishing funktioniert und wie Sie als Opfer reagieren sollten.

 

Was ist Phishing?

Beim sogenannten Phishing (ausgesprochen: „Fisching“) sollen Sie dazu gebracht werden, vertrauliche Daten wie Passwörter, Bank- oder Kreditkartendaten (PIN, TAN oder andere Passworte) an Betrüger zu übermitteln. Im Jahr 2016 wurden dem Bundeskriminalamt 2175 Fälle bekannt, in denen Menschen beim Online-Banking Opfer von Phishing wurden. Der durchschnittliche Schaden lag bei rund 4000 Euro. Daneben wird Phishing auch eingesetzt, um an andere Passworte zu kommen, etwa an Zugangsdaten von Ebay-Accounts, Facebook-Accounts oder Packstationen der Post.

Übersetzen könnte man Phishing mit dem „Angeln“ oder „Abfischen“ von persönlichen Daten. Der Begriff stammt aus dem Englischen (fishing), und wurde in der Szene etwas verfremdet.

 

So funktioniert das Phishing per Mail

Nachfolgende Grafik (Veröffentlichung mit freundlicher Genehmigung der Polizeidirektion Augsburg) zeigt, wie der Betrug durch Phishing in der Praxis funktioniert:

Das ist Phishing: Die Grafik der Polizeidirektion Augsburg zeigt, wie der Datenklau funktioniert.

Die Anbahnung des Betruges

In eMails, die scheinbar von seriösen Banken oder Firmen wie Volks- und Raiffeisenbank, Sparkasse oder Deutsche Bank stammen, werden Sie aufgefordert, auf der Internetseite des Kreditinstituts oder des Unternehmens ihre Daten erneut einzugeben (1). Oft wird als Grund eine notwendige Aktualisierung, ein angeblicher Datenverlust oder sogar eine Sicherheitsmaßnahme angegeben. Abgeschickt werden diese Mails in der Regel zu Hunderttausenden; die Server stehen in Asien, in den USA oder in Osteuropa. Sehr oft missbrauchen die Täter auch Bot-Netze zum Versenden, also eine Reihe ferngesteuerter, fremder Computer für den Versand.

Die Abschöpfung des Geldes

Die in der eMail angegebenen Links führen auf Webseiten, die den Seiten der echten Unternehmen täuschend ähnlich sehen. Tatsächlich handelt es sich aber um mehr oder weniger gut gemachte Fälschungen. Wenn Sie in gutem Glauben Ihre Daten dort eingeben, landen diese direkt bei den Betrügern (2) Gleiches gilt, wenn Sie die Daten direkt in ein Formular in der eMail eintragen. Binnen weniger Stunden missbrauchen die Täter PIN (Persönliche Identifikations Nummer) und TAN (Transaktionsnummer) dann, um von Ihrem Konto Geld abzuheben und dieses auf ein anderes Konto zu buchen (3).

Der Einsatz von Strohmänner

Bei der Abschöpfung des Geldes von Ihrem Konto kommen in der Regel mehr oder weniger arglose Strohmänner ins Spiel. Diese „Finanzagenten“ werden mit der Aussicht auf gute Provisionen – und unter dem Vorwand, für ein seriöses Unternehmen arbeiten zu können – von den Tätern dazu gebracht, ihr Konto für Transaktionen bereitzustellen. Sobald diese einwilligen, wird das bei den Phishing-Attacken erbeutete Geld auf das Konto eben dieser Strohleute gebucht (4). Diese heben das Geld ab und zahlen es bar auf ein Konto einer so genannten Transfer-Bank – etwa die Western Union – ein (5). Von dort wird die Beute binnen Minuten weitertransferiert (6) und von den Tätern irgendwo im Ausland wieder in bar abgehoben (7). Damit ist das Geld weg, die Täter sind kaum zu fassen.

Finanzagenten als Geldwäscher

Damit die Daten-Fischer sich in der Anonymität verstecken können, benötigen Sie Helfershelfer vor Ort, die den Geldtransfer vor Ort erledigen. Diese mehr oder weniger arglosen Komplizen gewinnen sie durch Jobangebote, die sie wahllos per Mail verschicken. In diesen Mails bieten sie – scheinbar seriöse – Nebentätigkeiten an. Trotz ständig wechselnder Namen und neuer Formulierungen läuft es dabei immer auf das Gleiche hinaus:  Die „Finanzagenten“ bekommen das bei Phishing-Opfern erbeutete Geld auf ihr Konto überwiesen und sollen dieses dann – bar oder als Überweisung – an einen Empfänger im Ausland weiterleiten. Die Folge: Wenn die Polizei ermittelt und die Banken die Schaden einfordern, endet die Spur beim Finanzagenten. Die eigentlichen Täter bleiben unbehelligt.

So sieht eine „klassische“ Mail aus, mit der Daten-Fischer Finanzagenten – also Komplizen – werben :

Firma: Global Transportation Group
Position: Versandmanager
Kategorie: Versand/Manager
Arbeitszeit: Heimarbeit/Teilzeitbesch.ftigung
Ort: Deutschland
Verg.tung: 1950 Euro monatlich + Bonus
Erfahrung: nicht erforderlich
Ausbildung: keine 

Sehr geehrten Damen und Herren!

Wir freuen uns, Ihnen mitzuteilen, dass die Firma "Global Transportation Group"
auf der Suche nach Mitarbeitern in West-, Nord- und Sude Europa fur die Position
eines Assistenten des Versandmanagers ist.

Falls Sie Fragen bezuglich unseres Stellenangebots oder andere Fragen haben,
setzten Sie sich bitte mit mir in Verbindung.
Ich bin fur Sie per E-Mail jederzeit erreichbar.

Mit freundlichen Gruben

Kontakt: 

 

Wenn sich jemand auf diese Mail meldet und seine Kontodaten angibt, dann wird nach kurzer Zeit tatsächlich eine Überweisung auf dem Konto eingehen. Dieses Geld soll der frisch angeworbene Mitarbeiter dann bar abheben und – nach Abzug seiner Provision von ca. 5 – 10 % – per Western Union ins Ausland schicken.

Zur Überraschung frisch geworbenen Finanzagenten steht in der Regel nach wenigen Tagen die Polizei vor der Tür.

Der Finanzagent sieht sich jetzt mit einigen Vorwürfen konfrontiert. Zunächst einmal wird ihm Geldwäsche vorgeworfen, da er einem Betrüger geholfen hat, das ergaunerte Geld zu sichern.

Dann muß sich der Erwischte auch noch mit der „Bundesanstalt für Finanzdienstleistungsaufsicht“ (BaFin) herumschlagen, da diese ihm vorwirft, dass er erlaubnispflichtige Finanzdienstleistungen ohne die erforderliche Erlaubnis erbracht hat. Da der Finanzagent ja seine Provision einbehalten hat kann er auch nur schwerlich behaupten, er habe die Dienstleistung nicht gewerblich erbracht. Und zu guter Letzt muss der Finanzagent dem Phishingopfer auch noch den Schaden ersetzen. Aus diesem Grund: Finger weg von einer Tätigkeit als Finanzagent!

 

So funktioniert das Phishing in Sachen DHL-Packstation

Mit Phishing-Mails wie dieser versuchen Täter regelmäßig, Inhalber einer Packstation zur Herausgabe ihrer Zugangsdaten zu bringen.

Die Packstation der DHL ist ein beliebtes Ziel für Daten-Phisher. Quasi täglich werden Millionen von Mails verschickt, um Inhaber einer Packstation dazu zu bringen, Ihre Zugangsdaten für die Packstation herauszugeben. Warum ist das so?

Die Masche beim Packstation-Phishing ist immer gleich. Die Täter verschicken Mails mit dem Anschein, sie kämen von der Post oder von DHL. Darin behaupten sie, der Empfänger müsse auf einer verlinkten Seite seine Zugangsdaten eingeben – etwa aus Sicherheitsgründen, zur Aktualisierung des Datenbestands oder wegen eines Hackerangriffs.

Wer das tatsächlich glaubt, schickt seine Zugangsdaten direkt  in die Hände von Verbrechern. Auf den Punkt gebracht: Die Täter stehlen sich zunächst einmal per Phishing fremde Kreditkarten-Daten. Damit kaufen sie bei einem Online-Händler ein und lassen die Waren  an eine Packstation liefern, deren Zugangsdaten sie ebenfalls gestohlen haben. Sobald sie die betrügerisch erlangten Beutestücke aus der Packstation entnommen haben, verschwinden sie wieder.

Die Dummen sind a) der Online-Händler, b) der bestohlene Kreditkarten-Besitzer und c) der Nutzer der Packstation.  Erstere haben Geld und Ware verloren.  Letzterer wird früher oder später Besuch von der Polizei bekommen- und im Verdacht stehen, dass er sich betrügerisch erlangte Waren zuschicken ließ.

Nutzer einer Packstation sollten deshalb niemals Mails öffnen, in denen nach ihren Zugangsdaten für die Station gefragt wird. Und sie sollten niemals Zugangsdaten herausgeben.

 

Das müssen Sie als Opfer von Daten-Phishing tun

Sollten Sie zum Opfer eines Daten-Fischers geworden sein, bleibt Ihnen nur noch schnelle Reaktion. Folgende Tipps zeigen, wie Sie in dieser Situation am besten reagieren.

  1. Setzen Sie sich sofort mit Ihrer Bank oder Ihrem Kreditkarteninstitut in Verbindung. Informieren Sie diese(s) über den Vorfall und bitten Sie um Reaktion, bzw. Sperrung Ihrer Zugangsdaten. Dies ist sehr wichtig, weil Sie sonst unter Umständen selbst für den entstandenen Schaden haften müssen. Die Kartensperrung kann man auch über die zentrale Sperr-Hotline unter der Rufnummer 116116 vornehmen lassen.
  2. Sollten die Betrüger bereits Geld von Ihrem Konto abgebucht haben, bitten Sie Ihre Bank, dieses sofort zurückzubuchen.
  3. Ändern Sie gegebenenfalls sofort Ihr Passwort. Sollte es sich um Online-Banking handeln, ändern Sie Ihre PIN und lassen beim Kreditinstitut Ihre TAN-Liste sperren.
  4. Sofern Ihnen finanzieller Schaden entstanden ist, erstatten Sie umgehend Strafanzeige bei Ihrer örtlichen Kriminalpolizeidienststelle. Sichern Sie dazu alle verfügbaren Beweise, etwa die Phishing-Mail. Erstellen Sie einen Screenshot der Betrugsseite. Für einen Bildschirmausdruck gehen Sie auf die entsprechende Seite und drücken die Tasten Alt GR + Druck. Dann öffnen Sie ein leeres Word-Dokument. Nun klicken Sie die rechte Maustaste und gehen im Kontextmenü auf „Einfügen“. Dann haben Sie ein Dokument mit einer Kopie des Bildschirms, das Sie ausdrucken und vorlegen können.
  5. Sollten die Täter bei Ihnen auch ein Passwort erbeutet haben, welches Sie bei anderen Diensten verwenden, ändern Sie umgehend bei allen betroffenen Zugängen die Passwörter.

 

Strafrechtliche Bewertung des Phishings

So wie das Phishing über verschiedene Stationen läuft, sind ist auch bei der strafrechtlichen Bewertung der jeweiligen Tatbestände zu unterscheiden:

  • Die Täter versenden Phishing-Mails, die Opfer reagieren nicht: Hier könnte ein versuchtes Ausspähen von Daten (§ 202a StGB) infrage kommen. Auf jeden Fall strafrechtlich relevant dürfte sein, dass die Täter in aller Regel bei ihren Mail und Webseiten widerrechtlich Logos und Namen von renommierten Banken und Unternehmen verwenden. Hier dürfte nach Meinung von vielen Ermittlern zumindest ein Verstoß gegen das Markengesetz vorliegen.
  • Die Täter versenden Phishing-Mails oder Trojaner, Opfer geben Daten auf der gefälschten Webseite heraus aber es erfolgt kein Geldtransfer: In diesem Fall wurden Daten gem. § 202b StGB abgefangen, wobei als „technische Mittel“ im sinne des Gesetzes zum Beispiel die gefälschte Webseite oder der Trojaner gelten können. Der Verstoß gegen das Markengesetz liegt u.U. ebenfalls vor und kann von den Ermittlern verfolgt werden.
  • Opfer reagieren auf eine Phishing-Mail, geben über eine gefälschte Webseite Daten heraus und werden um ihr Geld gebracht: Hier sind die §§ 202b, 202c StGB und u.U. der Verstoß gegen das Markengesetz vollendet. Hinzu kommt nun auch das Delikt Computerbetrug (§ 263a StGB). Darauf stehen Geld- oder Freiheitsstrafe bis zu fünf Jahren.

 

Recht und Gesetze zu Phishing

Um Computerkriminalität – und damit auch das Phishing – besser bekämpfen zu können, wurden im Jahr 2007 die neuen § § 202b und 202c ins Strafgesetzbuch eingeführt. (Auch) für Phishing können nun angewandt werden:

§ 202a
Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b
Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.     Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.     Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

 

Urteile zu Phishing, Finanzagenten und Haftung

Amtsgericht Wiesloch: Bank muss für Phishing-Schaden haften

Das Amtsgericht Wiesloch hat entschieden, dass eine Bank für den Schaden haftet, der einem ihrer Kunden durch eine Phishing-Attacke entstanden ist. Voraussetzung: Der Kunde hatte beim Betrieb seines Computers Sicherheitsmaßnahmen ergriffen, die den „durchschnittlichen Sorgfaltsanforderungen“ genügen (AG Wiesloch, Urt. v. 20. Juni 2008, Az. 4 C 57/08). In dem Fall hatte sich auf dem Rechner des Bankkunden ein Trojaner installiert, obwohl der Computer mit einem Virenschutzprogramm ausgerüstet war.

 

Amtsgericht Überlingen: Finanzagenten machen sich strafbar

Das AG Überlingen entschied, dass sich Menschen strafbar machen, wenn sie als „Finanzagent“ Täter unterstützen, die unberechtigt Überweisungen beim Online-Banking vornehmen (Strafbefehl vom 1. Juni 2006, Az. 1 Cs 60 Js 26466/05).

Im entschiedenen Fall hatte ein Mann sein Konto zur Verfügung gestellt und sich bereit erklärt, gegen Provision Geld von Opfern per Western Union auf ein Konto der Täter im Ausland weiter zu überweisen. Der Täter wurde nicht wegen Computerbetruges oder Geldwäsche bestraft, sondern wegen unerlaubtem Erbringen von Finanzdienstleistungen. „Eine Genehmigung der Bundesanstalt für Finanzdienstleistungsaufsicht besaßen Sie, wie Ihnen bekannt war, nicht“, stellte das Amtsgericht fest. Der „Finanzagent“ habe daher ohne Erlaubnis Finanzdienstleistungen (Besorgung von Zahlungsaufträgen – Finanztransfergeschäft) erbracht, was strafbar als vorsätzliches Vergehen des Handels ohne Erlaubnis nach dem Kreditwesengesetz (KWG) sei. Gegen den „Agenten“ wurde eine Geldstrafe von 30 Tagessätzen verhängt. Die Strafe fiel auch deshalb so niedrig aus, weil der Geldtransfer nicht zustande kam, nachdem die Bank die Überweisung verweigerte.

 

Amtsgericht Hamm: Geldstrafe für deutschen Helfershelfer der Phisher

Das Amtsgericht Hamm verurteilte einen Helfer der Daten-Phisher zu einer Geldstrafe von 60 Tagessätzen (Urteil vom 5. September 2005, Az. 10 Ds 101 Js 244/05-1324/05).

Der Angeklagte war über das Internet von einer Person in russischer Sprache kontaktiert worden. Er ließ sich auf das Angebot ein, dass auf sein deutsches Konto Überweisungen von angeblich deutschen Kunden überwiesen werden. Nach Erhalt des Geldes zog er von den Summen jeweils zehn Prozent als Provision für sich selbst ab und überwies den Rest auf ein Konto nach Moskau. In Wahrheit handelte es sich bei den „deutschen Kunden“ um Phishing-Opfer, von deren Konten heimlich Zahlungen auf das Konto des A ngeklagten überwiesen wurden. Die russischen Hintermänner konnten von der Kripo nicht ermittelt werden. Das Amtsgericht Hamm verurteilte so nur den Angeklagten wegen Beihilfe zum Computerbetrug.

 

Amtsgericht Darmstadt: Freiheitsstrafe für Hilfe bei Phishing

Das Amtsgericht Darmstadt verurteilte einen Ingenieur wegen Beihilfe zur Geldwäsche zu eineinhalb Jahren Freiheitsstrafe auf Bewährung (Urteil vom 11. Januar 2005, Az. 212 Ls 360 Js 33848/05).

Der Mann hatte in fünf Fällen Geld von Phishing-Opfern auf sein Konto überwiesen bekommen und dieses Geld dann über western Union abzüglich einer Provision von zehn Prozent an Empfänger in Moskau und in der Ukraine überwiesen. Das Gericht billigte dem Angeklagten zwar eine gewisse „Naivität“ zu; dennoch hätte er wissen müssen, dass er hier Beihilfe zum Phishing begeht.

 

OLG Hamburg: Bank darf Geld von Phishing-Überweisung zurückfordern

Teuer wurde ihre Mithilfe zum Phishing für eine Frau aus dem Raum Hamburg. Das Oberlandesgericht Hamburg entschied, dass sie 32.000 Euro, die auf ihr konto überwiesen wurden, an die geschädigte Bank bezahlen muss (Beschluss vom 7. Juli 2006 – Az. 1 U 75/06).

In dem entschiedenen Fall waren auf das Konto der Bankkundin rund 32.000 Euro überwiesen worden. Das Geld stammte von dritten Personen, die Opfer von Phishing-Mails wurden. Die Frau leitete einen Teil des Geldes an ihr unbekannte Auftraggeber weiter. Ihre Hausbank, eine Sparkasse, stornierte wenig später die Überweisung der 32.000 Euro und forderte die Rückzahlung der abgehobenen Beiträge. Zu Recht, wie das OLG Hamburg entschied: „Die hier streitgegenständlichen Gutschriften waren fehlerhaft, weil eine wirksame Überweisung nicht vorlag, denn die berechtigten Kontoinhaber hatten einen Überweisungsauftrag nicht erteilt.“ Jetzt sitzt die Frau auf den Schulden.

Die Hoffnung auf das schnelle Geld durch einen Job als „Finanzagent“ kann also ganz schnell nach hinten losgehen. Weitere Informationen über rechtliche Fallstricke im Internet finden Sie in unseren Kapiteln Recht für Internetsurfer und Recht für Blogger und Webseitenbetreiber.

 

LG Bad Kreuznach: Finanzagent muss Bank entschädigen

Das Landgericht Bad Kreuznach entschied im Januar 2008 (Az. 3 O 331/07), dass ein Finanzagent das an ihn aufgrund von Phishing überwiesene Geld an die Bank zurückbezahlen muss. Und das kam den Mann teuer. Denn die 5800 Euro hatte er bereits per Western Union an die Drahtzieher in Russland weitergeleitet. Nach Ansicht des Gericht konnte er sich trotzdem nicht auf so genannte Entreicherung berufen.

 

Landgericht Leipzig: Finanzagent muss Schaden ersetzen

Das Landgericht Leipzig entschied ebenfalls, dass ein Finanzagent das Opfer seiner Geldtransfers sowohl unter dem Gesichtspunkt der ungerechtfertigten Bereicherung als auch  der unerlaubten Handlung in Verbindung mit dem Straftatbestand der leichtfertigen Geldwäsche den entstandenen Schaden ersetzen muss  (Urt. v. 22.07.2010 – Az. 03 O 3699/09)