Veröffentlicht von:

Rechtsanwalt Dr. Jochen Strohmeyer

Spoofing, Phishing – was ist das überhaupt?

02.09.2024
5 Minuten Lesezeit

Derzeit häufen sich Fälle in unserer Kanzlei, bei denen Betrüger Privat- aber auch Geschäftskonten leerräumten. Die Schäden, um deren Ersatz wir für unsere Mandanten kämpfen: 15.000 € wurden einem Targo-Bankkunden abgezockt, fast 40.000 € einem Kunden von Comdirect und fast 10.000 € eines Kunden der Postbank - um nur die prominentesten Fälle aufzuzählen.

Die Gauner kennen kein Limit. Die bisherige Höchstsumme einer Mandantin: einer Viertelmillion € Schaden auf dem Unternehmenskonto.

Die Häufigkeit zeigt, wie clever die Betrüger vorgehen. Vor zwei Methoden des Betrugs sollten Sie besonders auf der Hut sein: Phishing und Spoofing.

Was Phishing und Spoofing gemeinsam haben:

Ihr Ziel: Sowohl Phishing als auch Spoofing zielen darauf ab, die Opfer zu täuschen und sie dazu zu bringen, etwas zu tun, was sie sonst nicht tun würden.
Die Methoden: Beide Techniken können gefälschte Nachrichten, Websites oder Anrufe verwenden, um ihre Opfer zu täuschen.
Der Schaden: Sowohl Phishing als auch Spoofing können zu finanziellem Schaden, Identitätsdiebstahl und anderen schwerwiegenden Folgen führen.

Was Phishing und Spoofing unterscheidet:

Phishing ist eine Technik, die darauf abzielt, Benutzer dazu zu bringen, sensible Informationen preiszugeben.
Spoofing ist eine Technik, die darauf abzielt, die Identität einer anderen Person oder Organisation vorzutäuschen.

Besonders perfide: Die Kombination aus Spoofing und Phishing

Der Angriff beginnt in der Regel mit einer SMS, die angeblich von der Bank stammt, häufig von bekannten Instituten wie der Sparkasse, Targobank oder Postbank. Der Absendername und die Nummer erscheinen unverdächtig, und die Kunden werden aufgefordert, einen Link zu öffnen und ihre Daten einzugeben. Einige Empfänger klicken auf den Link, während nur wenige tatsächlich ihre Daten preisgeben.

Screenshot eines Mandanten der Stadtsparkasse Düsseldorf mit der betrügerischen SMS vom 20.02.2024. Ob die im Verlauf wiedergegebene Nachricht vom 08.07.2023 auch ein Betrugsversuch war, ist nicht bekannt.
Die Links sind nicht identisch.

Im nächsten Schritt erfolgt oft ein Anruf, bei dem auf dem Display die korrekte Nummer des Kreditinstituts oder der Name der Bank angezeigt wird, beispielsweise "Sparkasse". Dies wird durch die Verwendung spezieller Software erreicht, die es den Betrügern ermöglicht, den Anruf so aussehen zu lassen, als käme er von der Bank. Zusätzlich verfügen die Täter in der Regel über viele Informationen über den Kunden, darunter Kontaktdaten, Kontonummer, Kontostand und andere Details.

In dem betrügerischen Anruf wird dem Kunden suggeriert, dass sein Konto in Gefahr sei und Maßnahmen ergriffen werden müssten, um einen Diebstahl zu verhindern. Der Kunde erhält einen scheinbar echten Link aus dem Bankensystem, den er nach Anweisung des Anrufers vorlesen, kopieren oder weiterleiten soll. Dadurch wird das Handy des Kunden mit der Banking-App der Betrüger verbunden, und diese können das Konto übernehmen. Zunächst werden die Limits erhöht, ohne dass der Kunde benachrichtigt wird, und anschließend wird das Konto innerhalb kurzer Zeit geleert.

Bekommen die Betrugsopfer ihr Geld zurück?

Phishing- und Spoofing-Opfer haben das Recht, den abgefischten Betrag innerhalb von 24 Stunden von ihrer Bank zurückzuerhalten, sofern sie keine Schuld tragen.

Allerdings entsteht genau darüber oft ein Disput zwischen dem Kunden und der Bank. Die Bank argumentiert in der Regel, dass der Kunde grob fahrlässig gehandelt habe, indem er beispielsweise am Telefon einen nur für ihn bestimmten Code weitergegeben habe und somit den Betrügern den Zugang gewährt habe.

Für die Kunden ist diese Sichtweise oft schwer nachvollziehbar, da das Weitergeben von Codes per SMS und die Bestätigung von Transaktionen mit Codes eine gängige Praxis der Banken sind. Zudem ist der Anruf der Betrüger oft kaum von dem eines echten Bankangestellten zu unterscheiden, was die Täuschung für die Opfer erschwert.

Müssen die Betrugsopfer vor Gericht um Schadensersatz streiten?

Wir versuchen zunächst, mit den Kreditinstituten eine außergerichtliche Lösung zu finden. Allerdings wird häufig abgeblockt, so dass der Klageweg beschritten werden muss.

Die Rechtsschutzversicherungen geben dafür regelmäßig ihre Deckung, sofern Privatkonten betroffen sind.

Wie können Sie sich vor Bankbetrug schützen?

Der wichtigste Grundsatz: Keine Bank wird Sie jemals dazu auffordern wird, Ihre Logindaten per Mail, SMS, Anruf oder auf andere Weise preiszugeben.

Es ist ratsam, keine Links in Nachrichten zu öffnen, mit denen Sie nicht gerechnet haben.

Wenn Sie einen vermeintlichen Anruf von Ihrer Bank erhalten und es sich nicht um Ihren vertrauten Ansprechpartner handelt, sollten Sie auflegen und die Bank direkt unter der bekannten Nummer kontaktieren.

Was können Sie tun, wenn Betrüger Ihr Konto leergeräumt haben?

Wenn Sie Opfer einer Phishing- oder Spoofing-Attacke wurden, sollten Sie folgende Schritte unternehmen:

Machen Sie Screenshots von allen Nachrichten, Formularen, Links, usw.
Schreiben Sie sofort und detailliert auf, was wann passiert ist, um eine Chronologie der Ereignisse zu erstellen.
Erstatten Sie Strafanzeige bei der Polizei.
Verwenden Sie diese Beweise und das Ablaufprotokoll, um eine sachliche Darstellung an die Bank zu senden. Es ist empfehlenswert, dies nach Rücksprache mit einem Fachanwalt für Bank- und Kapitalmarktrecht zu tun, um wichtige Details zu berücksichtigen.
Wenn die Bank den von den Betrügern erlangten Betrag nicht oder nur teilweise innerhalb von 24 Stunden zurückbucht, holen Sie sich die Zusage Ihrer Rechtsschutzversicherung und suchen Sie anwaltliche Unterstützung.

Wir helfen Phishing- und Spoofing-Opfern

Gerne stehen Rechtsanwalt Dr. Jochen Strohmeyer, Fachanwalt für Bank- und Kapitalmarktrecht, und sein Team von mzs Rechtsanwälte Geschädigten zur Verfügung.

Sie können die Kanzlei und Dr. Strohmeyer gerne telefonisch unter 0211-69002-0 oder per E-Mail an info@mzs-recht.de kontaktieren.