Phishing: Auf diesen Seiten wollen Betrüger Ihr Bankkonto plündern

Auf den ersten Blick sieht die Webseite aus wie die Seite einer Sparkasse. Wer genauer hinschaut und den Text auch liest, findet jedoch einige schräge Formulierungen. Da ist zum Beispiel die Rede davon, dass "nach Abschluss der Anweisungen zum Konto zu aktualisieren" der Online-Zugang wiederhergestellt werde. Rechtschreibfehler oder grammatikalische Ungenauigkeiten sind typisch für eine Phishing-Seite. Unter Phishing versteht der Bankenverband eine Methode, "bei der ein krimineller Angreifer die E-Mail-Adresse oder die Internetseite einer Bank und eines Dienstleisters vortäuscht". Betrüger bauen dabei Internetseiten von Banken oder auch Versandhändlern täuschend echt nach. Einziges Ziel: Die Kontodaten samt Geheimnummer (PIN), Code für eine Überweisung (Tan-Nummer) und Passwort abzusahnen (phishen). Statt an ihren Händler oder die Bank senden Kunden ihre Zugangsdaten dann an die Kriminellen. Und noch bevor der Kunde es merkt, ist sein Bankkonto geplündert. Wer zum Beispiel bei dieser nachgebauten Sparkassen-Seite oben auf den roten Kasten mit dem Pfeil klickt, landet auf einer Internetseite in Polen.

Bild: Screenshot

Dieses Formular ist dann zu sehen. Dort sollen Sparkassenkunden ihre PIN-Nummer eintippen. Keine Bank würde jedoch etwa per Email nach der PIN-Nummer fragen. Einen zusätzlichen Hinweis auf eine Phishing-Seite liefern in diesem Beispiel die Links. Wer auf das Impressum oder die Sicherheitshinweise klickt, kommt nicht weiter. Die Links funktionieren schlich nicht.

Bild: Screenshot

Die Daten von Kreditkarten sind für Betrüger besonders interessant. Um schneller zum Ziel zu gelangen, üben die Bösewichte Druck aus. Diese VISA-Betrüger etwa geben den Empfängern gerade mal zwei Tage Zeit. Am liebsten aber wäre es ihnen natürlich, wenn die Opfer ihre Karte sofort verifizieren (im Screenshot markiert).

Bild: Screenshot

Die Sparkasse Bielefeld warnt ganz aktuell in ihrem Blog vor Betrügern.

Bild: Screenshot

Die erkennt man dabei manchmal ganz einfach. Es fehlen schlicht Dinge, die auf einer echte Webseite vorhanden wären. Wie eine korrekte Seite ausschaut, macht eine Sparkasse auf ihrer Internetseite deutlich: Wichtig ist etwa das kleine Schloss-Symbol im Browser (siehe Screenshot).  Mehr Sicherheit biete außerdem das Verschlüsselungsmerkmal der URL https:// statt http://.

Bild: Screenshot

Die Sparkassen versuchen nun, die Sicherheit zu steigern, indem sie neue Technik einsetzen. So tauschten Sparkassen vor einigen Monaten die alten Tan-Listen auf Papier gegen das Chip-Tan-System aus. Eine Tan-Nummer ist der Sicherheitscode, mit dem ein Bankkunde eine Überweisung tätigen kann. Früher bekamen Kunden eine Liste mit Dutzenden Tan-Nummern zugeschickt. Heute wird dem Kunden die aktuelle Tan-Nummer für einen Überweisungsauftrag immer erst dann zur Verfügung gestellt, wenn er sie tatsächlich benötigt. Das Chip-Tan-System generiert immer wieder eine neue Tan-Nummer. Betrüger konnten Tan-Nummern früher einfacher abfangen und für eine Überweisung auf das eigene Konto nutzen. Mit dem neuen System soll es für sie nun schwieriger sein, Tan-Nummern abzufangen.

Bild: dpa

Geht es doch mal schief, müssen die Kunden mitunter haften. Der Bundesgerichtshof hat 2012 entschieden, dass ein Kunde, der auf einer gefälschten Webseiten seine Tan-Codes preisgibt, für den Schaden selbst aufkommen muss. Eine seit Herbst 2009 geltende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Doch auch heute dürfte es als fahrlässig gewertet werden, wenn jemand bedenkenlos mehrere Tan-Nummern auf einer fremden Webseite preisgibt. Die neue EU-Gesetzgebung vor, dass Kunden mit 150 Euro haften, wenn ein Betrüger seine Zahlungskarte missbraucht. Der Verband der Sparkassen teilte auf Anfrage mit, dass die Sparkassen über das gesetzliche Niveau hinaus gingen und ihren Kunden den vollen Schaden ersetzten, wenn der Kunde sorgfältig mit der Karte und der Geheimzahl (PIN) umgegangen ist. Beim Phishing, wo keine Bankkarte im Spiel ist, gilt laut Sparkassenverband folgendes: "Sobald ein Kunde sein Online-Banking gesperrt hat, haftet er nicht für eventuelle Schäden durch missbräuchliche Nutzung. Vor der Sperranzeige ist die Haftung auf 150 Euro begrenzt, sofern der Kunde seinen Sorgfaltspflichten entsprochen hat." Viele Karten kann man über den zentralen Sperrnotruf 116 116 sperren.

Bild: Fotolia

Nicht nur für Banken ist Phishing ein Problem auch die Kundendaten des Online-Versandhändlers Amazon sind für Betrüger interessant. Sie können sich mit den Zugangsdaten ins Kundenkonto einloggen. Denkbar ist, dass ein Betrüger damit auf Shopping-Tour im Internet geht und er sich die Ware etwa an eine neue Adresse schicken lässt. Wer eine Phishing-Mail mit dem vermeintlichen Absender Amazon bekommt, kann sie an stop-spoofing@amazon.com weiterleiten. Auf seiner Webseite erklärt Amazon, wie Kunden gefälschte Emails von einer echte unterscheiden können:

www.amazon.de/gp/help/customer/display.html/?nodeId=15344101

Wer sich unsicher ist, ob eine Email echt oder gefälscht ist, schaut am besten auf der Internetseite seines Anbieters nach dem Stichwort "Phishing". Fast alle Anbieter haben dazu eine Passage mit Informationen veröffentlicht.

Bild: REUTERS