Seit immer mehr Menschen ihre Bankgeschäfte online abwickeln, nehmen auch die Betrugsfälle zu. Konto leergeräumt durch Phishing: Betrüger fälschen dabei Internetseiten und E-Mails und versuchen damit, sich den Zugang zu fremden Konten zu verschaffen. Ziel dabei ist es immer, Ihr Geld zu stehlen.
Inhaltsverzeichnis
- Vorsicht beim Online-Banking
- Konto leer durch Phishing: Kreditinstitute bauen auf Sicherheitsverfahren
- Phishing: Die häufigste Betrugsmasche, um das Konto leer zu räumen
- Phishing-E-Mails erkennen – Konto leer
- Was muss misstrauisch machen?
- Identität bei Phishing-Mails nicht echt
- Konto leer durch Phishing: Phishing-Webseiten erkennen
- Jeden Link sorgfältig prüfen
- Konto leer durch Phishing: Hohe volkswirtschaftliche Schäden durch Phishing
- Sich gegen Phishing-E-Mails schützen
- Datendiebstahl vermeiden
- Checkliste für den Ernstfall, wenn es (vermutlich) doch passiert ist
- Konto leer durch Phishing: Haftung bei Betrug nach Phishing
- Fahrlässig gehandelt? Kein Ersatz
- Sorgfaltspflichten des Kunden
- Konto leer durch Phishing: Finanzagent beteiligt?
- Leider ist es mir doch passiert
- Konto leer durch Phishing: Anwalt hilft bei Konto leergeräumt durch Phishing
- FAQ Konto leer durch Phishing
- Konto leer? Fachanwalt für IT-Recht hilft bundesweit!
Vorsicht beim Online-Banking
Für eine große Anzahl an Menschen in Deutschland ist Online-Banking aus dem Alltag nicht mehr wegzudenken. Ist es doch besonders schnell und einfach, Geldgeschäfte vom PC oder Handy aus zu erledigen und seine Konten zu verwalten. Das hat allerdings auch seine Tücken.
Konto leer durch Phishing: Kreditinstitute bauen auf Sicherheitsverfahren
Schon seit Jahren bemühen sich die Banken, mit immer neuen Sicherheitsverfahren das Online-Banking sicherer zu machen. Dazu verwenden die Geldinstitute Sicherheitsalgorithmen, entwickeln spezielle TAN-Apps oder setzen auf die Zwei-Faktor-Authentifizierung.
Raffinierten Tätern gelingt es immer wieder, Zugriff auf fremde Bankkonten zu erhalten. Das sogenannte Phishing ist dabei die beliebteste Form, um an die Bankdaten des späteren Geschädigten zu gelangen.
Phishing: Die häufigste Betrugsmasche, um das Konto leer zu räumen
Die häufigste und auch beliebteste Betrugsmasche beim Online-Banking, das Phishing, gibt es schon seit Jahren. Phishing ist ein Kunstwort, das sich aus einer Mischung aus den englischen Begriffen „password“ und „to fish“ zusammensetzt. Bei dieser Methode geht es den Betrügern darum, an Ihre Kundendaten, wie beispielsweise Passwörter oder Kreditkartendaten zu gelangen, um diese im Anschluss missbräuchlich zu verwenden. In der Regel nutzen die Betrüger dafür gefälschte E-Mails oder manipulierte Webseiten, in welche sie Links einbauen.
Oft wird zum Beispiel unter dem Vorwand, der Kunde müsse Daten beim Online-Banking erneuern, eine Phishing E-Mail versendet, die einen Link enthält, auf den der Kunde klicken soll.
In der Regel führt dieser Link zu einer von dem Betrüger erstellten Webseite. Das Fatale an diesen Seiten ist, dass sie der Originalseite der Bank zum Verwechseln ähnlich sehen. Auf den ersten Blick können die meisten Bankkunden so den Betrug nicht erkennen. Gutgläubig geben viele daraufhin ihre persönlichen Daten wie die PIN ein, welche die Betrüger sofort sehen und verwenden können.
Die Betrüger fordern die Kunden auch noch auf, als Bestätigung Ihrer Angaben eine TAN einzugeben. Damit können die Täter dann von dem Konto des Kunden missbräuchlich Geld versenden. Meistens verfügen die Betrüger so schnell über das Geld, dass keine Rückbuchung mehr möglich ist.
Phishing-E-Mails erkennen – Konto leer
Vor einigen Jahren fielen Phishing-E-Mails vornehmlich dadurch auf, dass sie direkt keine persönlichen Daten enthielten und somit die Anrede unpersönlich formuliert war. Weitere Kennzeichen waren meist Tippfehler, ein Nachrichtentext in schlechtem Deutsch oder seltsame Umlaute und Zeichen innerhalb des Textes. Mittlerweile gehen Kriminelle professioneller vor.
Die oben genannten Kennzeichen sind nur noch selten ein Hinweis für einen Phishing-Versuch. Selbst bei einem gut formulierten Text sollten Sie wachsam sein.
Was muss misstrauisch machen?
Misstrauisch sollten Sie werden, wenn Sie eine E-Mail erhalten, die mindestens eines der folgenden Merkmale enthält:
- Der Text gaukelt dringenden Handlungsbedarf vor. Beispielsweise wird beschrieben, dass, wenn Sie eine bestimmte Handlung nicht sofort ausführen, ihre Daten unwiederbringlich verloren seien.
- Oft kommen auch Drohungen oder Handlungsanweisungen zum Einsatz. Beispielsweise teilen die Betrüger mit, dass das Konto gesperrt würde, wenn Sie eine bestimmte Handlung nicht ausführen.
- Die E-Mail enthält eine Aufforderung, vertrauliche Daten einzugeben.
So kann beispielsweise nach der PIN für den Online-Bankzugang oder nach der Kreditkartennummer gefragt werden. - Die erhaltene E-Mail enthält Formulare oder Links, welche unbedingt ausgefüllt oder angeklickt werden sollen.
- Ihnen kommt das Anliegen des Absenders der E-Mail ungewöhnlich vor, obwohl es sich scheinbar um eine bekannte Person oder Organisation handelt.
- Um Ihr Vertrauen zu wecken, enthält der Betreff schon persönliche Daten oder besondere Angebote.
- Die Anrede ist unpersönlich. Vermutlich kennen die Betrüger Ihren Namen (noch) nicht.
- Der Text enthält verdrehte Formulierungen, ungewöhnliche Rechtschreibfehler oder aufgelöste Umlaute (ae tatt ä).
- Der Text ist in einer Fremdsprache oder schlechtem Deutsch verfasst.
Identität bei Phishing-Mails nicht echt
Gerade bei Phishing-Mails im HTML-Format haben die Betrüger noch mehr Möglichkeiten, ihre Identität zu verschleiern. So verbirgt sich zum Beispiel hinter einer angezeigten E-Mail-Adresse eine völlig andere.
Auch können Bilder zur Verlinkung genutzt werden. Meistens werden Sie aufgefordert, diese Bilder anzuklicken. Und schon wieder können Sie durch diese Aktion auf die Webseite der Betrüger weitergeleitet werden.
Um bei HTML-E-Mails mögliche Phishing-Attacken erkennen zu können, haben Sie mehrere Möglichkeiten. Arbeiten Sie mit einem Browser, können Sie sich den Quelltext der HTML-Mail anzeigen lassen.
Mit ein wenig Übung finden Sie darin dann die oben genannten Anzeichen. Verwenden Sie dagegen ein E-Mail-Programm, führen Sie den Cursor der Maus über die Absenderadresse, aber ohne darauf zu klicken. Diese Methode zeigt Ihnen an, ob noch eine andere Adresse in der eigentlichen Absenderadresse eingebettet ist.
Konto leer durch Phishing: Phishing-Webseiten erkennen
Noch vor kurzer Zeit galt die Meinung, dass die Abkürzung „https://“ im Adressfeld des Browsers für eine vertrauenswürdige Webseite steht, da es sich ja um eine gesicherte Verbindung handelt.
Das muss jedoch nicht so sein. Die Abkürzung bedeutet lediglich, dass der Betreiber ein sogenanntes SSL-Zertifikat für die Seite erworben hat. Auch Phishing-Betrüger verfügen über diese Möglichkeit, um damit Vertrauenswürdigkeit vorzutäuschen.
„https://“ bedeutet heute also keine absolute Sicherheit.
Jeden Link sorgfältig prüfen
Damit Sie nicht in Phishing-Fallen tappen, ist es notwendig, dass Sie jeden Link in E-Mails und sozialen Netzen vor dem Anklicken sorgsam überprüfen. Auch für Laien ist es möglich, verdächtige Inhalte zu erkennen. Größtes Misstrauen sollten Sie zum Beispiel dann einer Seite entgegenbringen, welche in ihrer Internetadresse neben dem richtigen Namen, zum Beispiel einer Bank, weitere Zahlen oder Zeichenkombinationen enthält. Ein solches Beispiel wäre „www.IhreBank-24service.de“.
Ein weiteres klares Indiz für eine gefälschte Phishing-Seite ist es, wenn eine TAN abgefragt wird, ohne dass Sie eine Transaktion ausgelöst haben. Besonders misstrauisch sollten Sie dann sein, wenn Sie nach der Anmeldung aufgefordert werden, eigentlich bekannte Daten wie zum Beispiel Ihren Namen oder die IBAN neu einzugeben. Das Risiko ist in dem Falle hoch, dass Sie auf einer gefälschten Webseite gelandet sind.
Passend zu diesem Thema: Konto-Betrug durch Phishing: Was es ist und wie man sich schützt
Konto leer durch Phishing: Hohe volkswirtschaftliche Schäden durch Phishing
Auf mindestens einen zweistelligen Millionenbetrag pro Jahr werden die volkswirtschaftlichen Schäden in Deutschland geschätzt, die durch Cyber-Delikte entstehen, die mit Phishing-Attacken beginnen.
Die Risiken für Verbraucherinnen und Verbraucher sind dabei je nach Zielrichtung der Phishing-Attacke verschieden.
Wurde man perfekt getäuscht und gibt auf einer gefälschten Bank-Webseite zum Beispiel arglos seine Kreditkartennummer einschließlich Gültigkeitsdatum und Sicherheitscode ein, so haben die Täter alle Daten in der Hand, welche Sie für eine Online-Shopping-Tour benötigen.
Die Angabe von Login-Namen, PIN und einer TAN als Antwort auf eine Phishing-E-Mail ermöglicht es den Betrügern, Ihr Konto leerzuräumen.
Demnach sind also finanzielle Schäden die Hauptgefahr von Phishing. Daneben bergen Phishing-E-Mails zusätzlich die Gefahr, sich Trojaner oder Malware auf den Rechner zu laden.
Sich gegen Phishing-E-Mails schützen
Geben Sie keine sensiblen Daten per E-Mail heraus. Es gilt folgende Grundregel: Kein Kreditinstitut und kein seriöser Anbieter wird Sie jemals per E-Mail auffordern, vertrauliche Zugangsdaten preiszugeben. Banken, Institutionen und Behörden werden dafür immer den Postweg nutzen.
Datendiebstahl vermeiden
Damit Sie Datendiebstahl entgehen und auch vermeiden, dass Ihr Konto leergeräumt wird, sollten Sie die folgenden Punkte zusätzlich beachten:
- Speichern Sie Bank- und Zugangsdaten nicht auf dem PC oder Smartphone.
- Nutzen Sie die Zweifaktor-Authentifizierung bei Bankgeschäften und Zahlungen.
- Nutzen Sie zwei voneinander unabhängige Geräte. Beispielsweise den Computer für das Online-Banking und das Smartphone zur Authentifizierung der getätigten Aufträge.
- Beim Aufrufen einer mitgeteilten Internetadresse überprüfen Sie stets die Adressleiste in Ihrem Browser. Häufig besuchte Login-Seiten tragen Sie am besten in die Favoritenliste des Browsers ein.
- Links in dubiosen E-Mails sollten Sie niemals anklicken. Sie können versuchen, die genannte Seite aus dem E-Mail Text über die Startseite des Anbieters zu erreichen – also keinesfalls den angegebenen Link in die Adressleiste des Browsers eintippen.
- Sind Sie nicht sicher, ob Sie tatsächlich handeln müssen, fragen Sie am besten telefonisch bei der Bank oder dem Anbieter nach.
- Geben Sie keinesfalls persönliche Daten die PIN, Passwörter oder Kreditkartennummern via E-Mail preis.
Weitere Aspekte, um einen Datendiebstahl zu vermeiden:
- Achten Sie darauf, dass Sie nur in gewohnter Weise Informationen auf Webseiten eingeben. Beenden Sie dagegen die Verbindung sofort, wenn Ihnen etwas seltsam vorkommt. Kontaktieren Sie in dem Falle den Website-Betreiber.
- Können Sie sich nicht zu 100 % auf die Echtheit einer E-Mail verlassen, so starten Sie niemals einen Download aus dieser Mail. Downloads starten Sie am besten immer direkt von der Anbieter-Website.
- Dateianhänge in verdächtigen E-Mails sollten Sie niemals öffnen.
- Loggen Sie sich immer aus, anstelle nur das Browserfenster zu schließen.
- Behalten Sie die Umsätze und den Saldo ihrer Konten stets im Blick. So haben Sie immer noch die Möglichkeit auf eine schnelle Reaktion, sollten Ihnen Unregelmäßigkeiten auffallen.
- Auf Webseiten mit unverschlüsselter Verbindung sollten Sie niemals persönliche Daten eingeben. Sichere Seiten erkennen Sie an der Abkürzung „https://“ in der Adresszeile und einem kleinen Schlosssymbol.
- Halten Sie Ihre Antivirus-Software stets aktuell und achten Sie darauf, dass die Firewall aktiv ist.
- Legen Sie Limits für Ausgänge auf dem Girokonto fest.
- Legen Sie bei ungefragten Anrufen angeblicher Bank- oder Polizeimitarbeiter auf. Durch Prüfung der Rufnummer und eigenen Rückruf können Sie feststellen, ob es sich um echte Mitarbeiter handelt.
v
Checkliste für den Ernstfall, wenn es (vermutlich) doch passiert ist
Versehentlich Zahlungsdaten weitergegeben :
- Sperren Sie Ihr Bankkonto oder Ihre Karte.
- Kontrollieren Sie die Umsätze Ihres Bankkontos und nehmen Sie schnellstmöglich Kontakt mit Ihrer Bank auf. Melden Sie den Betrug.
- Erstatten Sie Anzeige bei der Polizei und geben Sie die Daten des Empfänger-Kontos weiter.
- Kontaktieren Sie die Empfängerbank. Teilen Sie mit, dass ein dort vorhandenes Konto für einen Betrug verwendet wurde. Vielleicht friert die Bank das Konto ein.
- Für die Entsperrung Ihres eigenen Kontos nutzen Sie ausschließlich neue Passwörter und PINs.
Zugangsdaten zu anderen Konten, wie zum Beispiel Online-Shops, weitergegeben :
- Ändern Sie umgehend das Passwort.
- Kontaktieren Sie den Anbieter.
- Zusätzlich sollten Sie überprüfen, ob auch Zahlungsdaten betroffen waren. In dem Falle handeln Sie entsprechend.
Zugangsdaten für Ihr E-Mail-Konto weitergegeben:
- Ändern Sie sofort das Passwort.
- Mit dem Zugang zu ihrem E-Mail-Postfach können möglicherweise auch die Zugänge zur anderen Online-Diensten offengelegt worden sein. Deshalb müssen sie auch dort ihren Zugang ändern.
Falls Sie den Verdacht haben, dass jemand ihre Daten abgeschöpft hat:
- Erstatten Sie in jedem Fall Anzeige bei der Polizei. Bei Internetkriminalität haben Sie als Opfer die gleichen Rechte, wie die Opfer anderer Straftaten auch.
Ich rate Ihnen, für alle Online-Account-Zugänge unterschiedliche Passwörter zu benutzen. Ein Passwort-Manager kann dabei hilfreich sein.
Konto leer durch Phishing: Haftung bei Betrug nach Phishing
Konto leergeräumt durch Phishing: Nach einem eingetretenen Schaden infolge einer erfolgreichen Phishing-Attacke stellt sich schnell die Frage, wer für den Schaden haftet. Zumeist wenden sich Opfer zuerst an ihre Hausbank, um den Schaden ersetzt zu bekommen. Wurde die Transaktion durch die Bank ohne eine Autorisierung durchgeführt, muss die Hausbank in der Regel für den Schaden aufkommen. Dies bestätigen mehrere Urteile.
Liegt seitens des Kontoinhabers oder eines anderweitig Berechtigten keine eindeutige Freigabe vor, ist dieses Kriterium erfüllt. Daneben ist es auch möglich, dass die Bank kein sicheres System zur Autorisierung verwendet. In diesem Fall müsste die Bank selbst dann für den Schaden aufkommen, wenn der Kunde mit grober Fahrlässigkeit gehandelt hat.
Fahrlässig gehandelt? Kein Ersatz
Dennoch kann die Frage einer eventuellen Fahrlässigkeit entstehen.
Hat das Online-Banking-Opfer fahrlässig gehandelt, kann es durchaus passieren, dass die Bank nicht verpflichtet ist, den Schaden zu regulieren und der Betroffene auf ihm sitzen bleibt.
Ein Bankkunde kann die Hausbank nur in die Haftung nehmen, wenn er selbst nicht grob fahrlässig gehandelt hat. Von einer groben Fahrlässigkeit ist dann auszugehen, wenn der Kunde die notwendige Sorgfalt im Zahlungsverkehr in schwerem Maße verletzt hat.
In den meisten Fällen erfüllt ein Kunde den Tatbestand der groben Fahrlässigkeit dann, wenn er beispielsweise seine PIN einem Unbekannten telefonisch oder per E-Mail mitgeteilt hat.
Sorgfaltspflichten des Kunden
Zusätzlich sind die Sorgfaltspflichten des Kunden zu beachten.
Eine Verletzung der Sorgfaltspflichten kann neben der groben Fahrlässigkeit dazu führen, dass die Bank für den entstandenen Schaden nicht haften muss. Prinzipiell haben auch Online-Banking-Nutzer die Verpflichtung, alle zumutbaren Vorkehrungen zu treffen, um den Zugriff auf die eigenen Sicherheitsdaten durch Unbefugte zu schützen.
Eine solche Verletzung der Sorgfaltspflichten kann zum Beispiel angenommen werden, wenn:
- per E-Mail oder Telefon einer unbekannten Person die PIN oder TAN herausgegeben wird
- Bankkarte und Geheimzahl zusammen aufbewahrt werden
- für Online-Bankgeschäfte ungesicherte Geräte benutzt werden
- Endgeräte, welche für das Online-Banking benutzt werden, zum Beispiel keinen ausreichenden Antiviren-Schutz besitzen.
Konto leer durch Phishing: Finanzagent beteiligt?
Eine weitere Möglichkeit der Haftung steht im Raum, wenn an dem Betrug eine dritte Person, ein sogenannter Finanzagent, beteiligt ist.
Bei Online-Betrügereien überweisen die Täter das Geld, bevor es in das Ausland weitergeleitet wird, auf das Konto einer dritten Person. Die Finanzagenten sind jedoch selbst oft Opfer eines Betruges
Ob eine Haftung des Finanzagenten infrage kommt, hängt von den Umständen und dem Einzelfall ab. Neben Urteilen, in denen der Finanzagent in Haftung genommen wird, gibt es ebenso Urteile, in welchen der Finanzagent freigesprochen wurde.
In einer weiteren Überlegung stellt sich meist die Frage, ob nicht auch die Empfängerbank in Haftung genommen werden könnte. In den weitaus meisten Fällen kann der Bank des Empfängers weder schuldhaftes Handeln noch ein Versäumnis nachgewiesen werden. Somit ist die rechtliche Frage nach einer Haftung der Empfängerbank äußerst komplex.
In der überwiegenden Anzahl an Fällen gibt es hinsichtlich der Haftung nur zwei Optionen. Hat es sich um eine nicht autorisierte Zahlung gehandelt, übernimmt die Hausbank die Haftung. Haben Sie als Geschädigter jedoch grob fahrlässig gehandelt oder ihre Sorgfaltspflichten verletzt, so müssen Sie selbst für den Schaden haften.
Einen eventuell beteiligten Finanzagenten in die Haftung zu nehmen, gelingt meist nur dann, wenn ein vorsätzliches Handeln vorliegt. Äußerst selten wird die Haftung der Empfängerbank durchsetzbar sein.
In jedem Falle sollte der Schadenshergang genauestens aufgearbeitet werden. Nur so lässt sich beurteilen, wer für den Schaden haften muss.
Leider ist es mir doch passiert
Konto leergeräumt durch Phishing: Ich erlebe häufig, dass Betroffene eines Phishing-Betrugs sich für ihre Gutgläubigkeit schämen und mit niemandem darüber sprechen. Sie müssen sich nicht schämen.
Die Täter gehen oft so clever vor, dass viele Menschen darauf hereinfallen. Wenn Sie nichts unternehmen, bleiben Sie auf jeden Fall auf dem Schaden sitzen und die Betrüger machen munter weiter.
Konto leer durch Phishing: Anwalt hilft bei Konto leergeräumt durch Phishing
Sind Sie Opfer einer Phishing-Attacke geworden, können Sie unverzüglich mit mir per Mail unter kanzlei@recht-freundlich.de Kontakt aufnehmen. Ich ergreife zeitnah alle rechtlichen und technischen Maßnahmen und unterstütze Sie gerne bei der Wahrnehmung Ihrer Rechte bei „Konto leergeräumt durch Phishing“.
FAQ Konto leer durch Phishing
Liegt eine nicht autorisierte Zahlungsanweisung vor, muss die Hausbank für den Schaden haften. Dies regelt § 675u BGB. Voraussetzung ist, dass der Kontoinhaber die Überweisung nicht selbst wissentlich und mit Absicht ausgeführt hat.
Nach meiner Erfahrung in den letzten Jahren im Umgang mit Phishing-Betrugsfällen empfehle ich, zuerst einen Anwalt einzuschalten. Im Zusammenhang mit Phishing gibt es einige rechtliche Fallen, die dazu führen können, dass durch vorschnelles Handeln rechtliche Nachteile entstehen. Auch eine Strafanzeige sollte mit anwaltlicher Begleitung erstattet werden.
Die gesetzlichen Regelungen gehe nicht davon aus, dass die Hausbank uneingeschränkt haftet. handelt ein Bankkunde grob fahrlässig, kann im Rahmen der gesetzlichen Regelungen die Hausbank einen Schadensersatz oder Schadensausgleich verweigern.
Eine grobe Fahrlässigkeit liegt unter anderem vor, wenn unbekannten Personen am Telefon oder per E-Mail PIN und/oder TAN mitgeteilt werden. Haben ihre für das Online-Banking eingesetzten technischen Geräte keinen ausreichenden Antiviren-Schutz, kann dies ebenfalls eine grobe Fahrlässigkeit sein.
Ich empfehle Ihnen, vor allen anderen Maßnahmen zur erst Kontakt zu einem spezialisierten Rechtsanwalt aufzunehmen. Mit anwaltlicher Unterstützung können Sie dann die nächsten richtigen Schritte einleiten.
ich habe in den letzten Jahren die Erfahrung gemacht, dass keine Bank von Sicherheitsrisiken ausgeschlossen ist. Sparkassen, Volksbanken oder große Online-Banken sind alle von Phishing-Angriffen betroffen.
Leider ist dies nicht uneingeschränkt möglich. Insbesondere bei Echtzeit-Überweisungen ist einer Rückholung einer Überweisungsgrenzen gesetzt. Die Täter agieren häufig am Wochenende oder in den Nachtstunden. Dann ist die Bank telefonisch nicht erreichbar und es bestehen kaum Möglichkeiten, Zahlungen aufzuhalten.