Phishing bei der Commerzbank?


Einleitung:

Überall online zu sein hat Vorteile. Ständige Verfügbarkeiten von Informationen, Dienstleistungen und Unterhaltung haben unser Leben nachhaltig verändert und tragen dazu bei, dass wir immer größere Teile und Bereiche unseres Lebens auf die Online-Welt verlagern. Dazu gehören mittlerweile auch Bankgeschäfte. Natürlich sind in der heutigen Zeit unsere Konten auch online verfügbar, sodass wir unsere Bankgeschäfte jederzeit, auch unterwegs, erledigen können.

Die Vernetzung birgt jedoch auch neue Probleme und Gefahren. Letztlich verlagert sich auch die Kriminalität in Richtung des Internets. Während früher die Menschen nach dem Abheben des Geldes überfallen werden mussten, reicht heute vielleicht eine E-Mail aus, um den ahnungslosen Bürger zu bestehlen oder zu betrügen. Die Vernetzung durch das Internet ist also auch für Betrüger und andere Kriminelle komfortabel.

Gerade wenn das Geld als Lebensgrundlage betroffen, fragen sich viele, welche Möglichkeiten sie haben, wenn sie gehackt wurden, um gegen solch einen Hackerangriff und Überweisungsbetrug vorzugehen. Sie wollen ihr Geld zurück oder Schadensersatz haben.

Sie sind Opfer einer solchen Hackerattacke und Betrugs geworden? Sie möchten sich wehren und Ihr Geld zurückerhalten? Dann kontaktieren Sie uns gerne dazu. Wir geben Ihnen eine kompetente Ersteinschätzung und übernehmen gerne Ihren Fall.

Commerzbank im Fokus von Hackern

Im Folgenden möchten wir Ihnen eine Masche der Betrüger darstellen: Das sogenannte Phishing am Beispiel der Commerzbank, die über eine Vielzahl an Kunden verfügt und daher ein begehrtes Ziel von Angreifern ist. Ein Unternehmen, in dem der Vorstand alleine über 5 Millionen Euro Festvergütung erhält. Darüber hinaus erhalten die Vorstandsmitglieder überwiegend noch variable Vergütungen sowie einen Versorgungsaufwand, sodass der Vorstandsvorsitzende alleine im Jahr 2015 eine Gesamtvergütung in Höhe 2.459.000 € erhalten hat. Eine Bank die intern also eine Menge Kapital bewegt.

Die Kundenanzahl konnte im vergangenen Jahr auf 11,5 Millionen gesteigert werden. Viele von ihnen nutzen auch das Online-Banking. Dies bedeutet, dass es insgesamt 11,5 Millionen potenzielle Opfer nur bei dieser einen Bank gibt. Ein Phising Angriff mit anschließendem Überweisungsbetrug kann also für derartige Betrüger lohnenswert sein. Im besten Falle müssen diese dazu nicht einmal ihre Wohnung verlassen.

Sie können daher erkennen, warum diese Masche durchaus begehrt ist und ein derartiger Angriff nahezu jeden treffen kann. Dies gilt selbst für Kunden, die das Online Banking nicht nutzen!

Was ist Phishing?

Doch was ist Phishing eigentlich? Und wer kann davon betroffen sein? Diese Fragen werden Sie sich zu recht stellen.

Phishing steht für „Angeln“ und meint damit den Versuch von Betrügern, an persönliche Daten Ihrer Opfer zu gelangen, dass heißt, sich diese Daten zu „angeln“.

Dies geschieht oft mit Hilfe von gefälschten Websites oder Nachrichten, wie E-Mails. So könnten Hacker eine Seite erstellen, die genauso aussieht, wie die Seite der Commerzbank oder auch die, anderer Banken, ja sogar eine Seite, die so aussieht wie ihr Lieblings Online-Shop. Auf diesen Seiten bitten die Betrüger dann ihre Opfer, die gewünschten persönlichen Daten wie Bankverbindungen nebst Pin oder Kreditkarten Daten einzugeben. Diese werden dann von den Hackern gespeichert und können anschließend beliebig verwendet werden.

Insgesamt gibt es zahlreiche Methoden der Betrüger an Ihre Daten zu gelangen. Die Üblichen Methoden sind E-Mails, die Sie entweder auf eine nachgeahmte Web-Präsenz locken oder Sie direkt nach Ihren Daten fragen. In der Vergangenheit wurden dazu aber auch bereits SMS verschickt oder Messenger verwendet.

Und bereits davor wurde versuchten Betrüger telefonisch an die Daten der Betroffenen zu kommen, indem man sich bspw. als Bankmitarbeiter ausgab.

Letztlich stellen diese Methoden allesamt einen Versuch dar, die Gutgläubigkeit der Betroffenen auszunutzen. Den Betroffenen werden bestimmte, konkrete Gefahren für Ihr Geld suggeriert. Diese sollen dann in Sorge um ihr Konto und ihr Geld, persönliche Daten preisgeben.

Die Opfer merken dies meist zu spät, nämlich dann, wenn das Geld bereits weg ist. Zu recht möchten die Opfer dann ihr Geld zurückhaben oder verlangen Schadensersatz.

Die Phishing Methode bezüglich Kunden der Commerzbank

Die Phishing Methode, die in betrügerischer Absicht durch Hacker bei Commerzbank Kunden versucht wurde, greift im Ansatz auch auf gefälschte E-Mails zurück.

In aktuellen Phishingmails werden die Kunden der Commerzbank dazu aufgefordert ein Foto Ihrer TAN-Liste hochzuladen.

Die Commerzbank weißt darauf hin:

„Dies geschieht in betrügerischer Absicht! Die Commerzbank wird Sie nie dazu auffordern Ihre TAN-Liste hochzuladen! Wir verschicken nie Aufforderungen per E-Mail zur Anmeldung auf commerzbank.de, wo Sie unter skurrilen Gründen (z.B. Wechsel des TAN-Verfahrens) Ihre Zugangsdaten wie Teilnehmername, PIN, iTANs eingeben sollen.“

Das Perfide daran ist: Während ältere Phishing-Emails oft schlecht geschrieben wurden, gebrochenes, teilweise unverständliches Deutsch enthielten, sind diese E-Mails hingegen täuschend echt. Sogar der Werbeslogan der Commerzbank „Die Bank an ihrer Seite“ wurde von den Betrügern verwendet.

Klickte man auf den Link erschien eine, von der offizielle Commerzbank-Seite kaum zu unterscheidende Internetseite, auf denen die Kunden aufgefordert wurden, sich anzumelden und ein Foto ihrer iTan Liste hochzuladen.

Nach Abschluss dieses Vorgangs hatten die Betrüger alles, was sie brauchen, um unberechtigt an das Geld ihrer Opfer bei der Commerzbank zu kommen. Denn wird bei der Onlineüberweisung eine Tan-Nummer abgefragt, sind nun die Hacker im Besitz dieser Nummer und können bequem Überweisungen damit legitimieren. Die Opfer merken das Phishing erst, wenn es zu spät ist.

Schutz vor Phishing – Was hilft?

Die Banken wie beispielsweise die Commerzbank verwenden zum Schutz vor unberechtigten Zugriffen sogenannte Tans:

Doch was sind Tans?

Eine Tan ist eine Transaktionsnummer und funktioniert wie ein Einmalpasswort. Der Inhaber dieser Tan legitimiert sich dadurch gegenüber der Bank als Berechtigter.

Es gibt verschiedene Arten von Transaktionsnummern:

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Bankingeine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – also vor jeder Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden.

Einen Schritt weiter geht das Verfahren der indizierten Transaktionsnummern, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Der Kunde wird also aufgefordert beispielsweise die Nr. 107 auf der iTAN-Liste einzugeben. Dies macht es für Hacker schon bedeutend schwerer, weil diese nun die richtige Nummer brauchen.

Daher mussten die Hacker im Falle der Commerzbank auch die ganze Liste haben und haben deshalb um den Upload eines Fotos gebeten.

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden. Gefährlich wird dies besonders dann, wenn die Übertragung abgefangen wird (man-in-the-middle-Angriff) oder das Mobiltelefon in die falschen Hände gerät.

Beim photoTAN Verfahren wird die TAN verschlüsselt als mehrfarbige Mosaikgrafik auf dem Bildschirm angezeigt. Mit einer entsprechenden Smartphone-App wird dieser Code eingelesen und entschlüsselt, die Transaktionsdaten zur Kontrolle auf dem Smartphone angezeigt und die zugehörige TAN generiert. Die so generierte TAN wird dann zur Freigabe der Transaktion eingegeben.

Zudem gibt es noch weitere Tan-Verfahren in denen über einen Tan-Generator beim Benutzer Tans generiert werden. Sobald die Kundenkarte (z. B. eine Maestro-Card oder eine V-Pay-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden.

Noch neuer ist das Chip-Tan-Verfahren: Die Kunden erwerben hierbei einen TAN-Generator mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich mehrere optische Sensoren. Nachdem eine Überweisung im Online erfasst wurde, erscheint am Bildschirm eine Grafik, die mehrere flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator danach an den Bildschirm gegen die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei werden Teile der Empfängerdaten übertragen, bei einer Einzelüberweisung beispielsweise der (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag. Auf dem Display des TAN-Generators werden im Anschluss die übermittelten Daten zur Kontrolle und Bestätigung angezeigt. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Sind diese Verfahren sicher?

So bemüht die Commerzbank und andere Banken auch sind, die Sicherheit ihrer Kunden gegen Phishing zu gewährleisten, keines der oben dargestellten Verfahren bietet hundertprozentige Sicherheit. Die Gefahr, dass Ihre persönlichen Daten ausgespäht werden, zumal wenn diese durch Sie selbst eingegeben werden, lässt sich technisch nicht gänzlich verhindern. Zudem sind beispielsweise die Tan-Generatoren, die relativ sicher sind, unkomfortabler in der Bedienung und sind daher für eine schnelle Überweisung von unterwegs nicht so gut geeignet. Auch ist deren Verbreitung bisher als gering einzustufen. Kein absoluter Schutz besteht auch deshalb, weil selbst derartige Geräte auch in die Hände von Betrügern fallen können.

Es gilt also stets wachsam zu sein. Die Commerzbank weißt ihre Kunden darauf hin, dass niemals ungefragt E-Mails von Seiten der Commerzbank versendet werden. Dies dürfte auf andere Banken übertragbar sein.

Das Gesetz sagt dazu sogar: „Der Zahler [also der Kunde] ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l BGB).“

Sie müssen also dafür Sorge tragen, dass Ihre Tans nicht in falsche Hände geraten können.

Bei den folgenden Dingen sollten Sie stutzig werden; bzw. auf diese Dinge sollten Sie achten:

  1. Schon dann, wenn die Bank Ihnen etwas derart Wichtiges per E-Mail mitteilt
  2.  Die E-Mail oder der Link, auf den geklickt werden soll, enthält Schreibfehler
  3. Vor der Webadresse steht kein „https“ oder das „s“ fehlt. Dies ist ein Zeichen dafür, dass die Verbindung nicht verschlüsselt ist
  4. Die Verknüpfungen auf der Zielseite (z.B. Impressum oder Links auf andere Seiten) funktionieren nicht oder führen stets zu einer Seite zurück
  5. Vergewissern Sie sich zuvor, ob die Bank einen Phishing Vorgang veröffentlicht hat
  6. Seien Sie misstrauisch, wenn Sie nicht persönlich angesprochen werden
  7. Loggen Sie sich nicht über öffentliche Netzwerke ein. Denn diese könnten von Betrügern erstellt worden sein, um Ihre Daten abzufangen
  8. Denken Sie daran, dass jeder behaupten kann der zuständige Kundenbetreuer Ihrer Bank zu sein (und Grundmisstrauen im Bereich Internet ist durchaus angebracht).

Wer haftet dafür? Und, bekomme ich mein Geld zurück?

Haben die Betrüger das Konto durch einen Überweisungsbetrug leergeräumt, dann stellt sich für das Opfer stets die Frage, wie das Geld zurückerlangt werden kann, bzw., ob die Bank dafür haften muss, also auf Schadensersatz verklagt werden kann. Kann also z.B. die Commerzbank verklagt werden?

Diese Fragestellung kann weder mit Nein, noch mit Ja eindeutig beantwortet werden. Unstreitig ist jedoch, dass der Betrüger verpflichtet ist, dass Geld zurückzuzahlen, bzw. Schadensersatz zu leisten. Doch dies ist in seltenen Fällen erfolgsversprechend, da dieser zunächst gefasst werden muss. Dann müssen ihm die Vorgänge auch einwandfrei nachgewiesen werden müssen.

Naheliegender ist eine Haftung der Bank. Zwischen der Bank und deren Kunden besteht ein Vertragsverhältnis, welches Grundlage für eine Haftung sein kann. Insofern müsste sich letztlich ein Kunde bei der Commerzbank nach dem Phishing an die Commerzbank halten.

Achtung bei Schadensersatz:

Dieses ist nicht nur Grundlage für die Haftung der Bank, sondern auch dann, wenn die Bank von den Opfern Schadensersatz fordern möchte. Dies kann dann der Fall sein, wenn diese besonders leichtfertig gehandelt und ihre Daten herausgegeben haben. Ebenso wenden die Banken oft ein, dass die Kunden ein veraltetes Betriebssystem oder Antivirenprogramm verwendet haben. Bevor man also die Bank in Anspruch nehmen möchte, sollte bedacht werden, ob nicht dadurch „schlafende Hunde“ geweckt werden könnten.

Die Bank haftet dabei vor allem dann, wenn diese eine Pflicht aus dem Vertrag verletzt hat. Eine solche Pflichtverletzung kann zum Beispiel darin liegenden, dass die Bank ein zu unsicheres Tan-Verfahren verwendet oder ihre Kunden nicht rechtzeitig gewarnt hat. So hat das Kammergericht Berlin entschieden, dass die Verwendung des einfachen TAN-Verfahrens bei Verfügbarkeit des ITAN-Verfahrens zu unsicher ist (Kammergericht Berlin, Urteil vom 29.11.2010 – 26 U 159/09).

Wird aber Geld unautorisiert vom Konto des Opfers mittels Überweisungsbetrugs abgebucht, dann hat die Bank diesen Verlust grundsätzlich auszugleichen. Dies gilt jedoch dann nicht, wenn die dafür notwendigen Daten nicht sorgsam aufbewahrt oder zu leichtfertig herausgegeben wurden. In der Praxis entbrennt hier oft ein Streit um genau diese Fragen.

Der Bundesgerichtshof hat entschieden, dass z.B. die mehrmalige Eingabe der TAN durch den Kunden ein derartiges fahrlässiges Verhalten darstelle (BGH 24. April 2012, XI ZR 96/11).

Die Banken sind daher fast immer der Ansicht, nicht zahlen zu müssen, weil der Kunde seine Pflichten zur sicheren Aufbewahrung seiner Daten verletzt habe. Oder den Kunden wird gar vorgeworfen, dass dieser mit den Betrügern gemeinsame Sache gemacht hat. Ob diese Vorwürfe rechtens ist bedarf oft der genauen Prüfung durch Fachleute. Denn erforderlich für eine rechtliche Prüfung ist das Nachvollziehen des gesamten Vorgangs in tatsächlicher und anschließend in rechtlicher Hinsicht. Dabei ist insbesondere maßgeblich, wie die Hacker und Betrüger letztlich an Ihre Daten gekommen sind und wie diese dann verwendet wurden.

Was wir für Sie nach einem Phishing-Angriff tun können

Als Experten auf dem Gebiet des Internetrechts wissen wir, worauf es bei der rechtlichen Prüfung nach dem Phishing ankommt. Wir können nachvollziehen, wie die Daten von Ihnen betrügerisch abgeschöpft wurden und prüfen anschließend rechtlich, ob Ihnen dabei ein rechtlich relevanter Vorwurf zu machen ist. Es geht um die Frage, ob Sie das Geld von Ihrer Bank zurückerhalten können.

Anschließend werden wir nach positiven Ergebnis der Prüfung die Bank außergerichtlich auf Ausgleich des verlorengegangenen Geldes in Anspruch nehmen. Dazu werden wir die Bank unter Darlegung aller relevanten Tatsachen und rechtlichen Erwägungen anschreiben. Durch eine Kommunikation auf Augenhöhe ist die Wahrscheinlichkeit, dass Sie Ihr Geld zurückerhalten deutlich erhöht.

Sofern die Bank sich unrechtmäßig weigern sollte, Ihrer Pflicht nachzukommen, können wir mit Ihrer Zustimmung ein Klageverfahren in Gang setzen und gegen die Bank auf Schadensersatz oder Rückzahlung des durch den Überweisungsbetrug von den Hackern erlangten Geldes klagen.

Des Weiteren können wir für Sie auch gegen die Betrüger selbst vorgehen, Strafanzeige stellen und die Zusammenarbeit mit den Behörden übernehmen. Sodass Sie eine Sorge weniger haben.

Gerne übernehmen wir eine solchen Fall für Sie. 

Fazit

Phishing meint das „Angeln“ von persönlichen Daten des Opfers unter Ausnutzung seines guten Glaubens. Die Opfer werden dazu als Werkzeug gegen sich selbst verwendet, da diese oft selbst die benötigten Daten übermitteln. Zuletzt wurden u.a. die Kunden der Commerzbank in das Visier der Hacker genommen.

Dabei kann es zu erheblichen Schäden kommen, die oft auch mehrere tausend oder gar zehntausend Euro betragen. Dieses Geld soll selbstverständlich von der Bank zurückerlangt oder im Wege des Schadensersatzes geltend gemacht werden. Erfahrungsgemäß haben alle Banken, nicht nur die Commerzbank ein genuines Interesse daran, eine solche Rechtsstreitigkeit über die Rückzahlung von mehreren zehntausend Euro für sich zu entscheiden.

Dies erfordert eine umfangreiche tatsächliche und rechtliche Prüfung und sollte nur durch einen mit der Materie vertrauten Anwalt vorgenommen werden. Dieser kann die gesamte Abwicklung des Falles für den Betroffenen übernehmen.

1 Star2 Stars3 Stars4 Stars5 Stars 12 Bewertung(en), durchschnittlich: 4,92 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen