Weitere Phishing-Fälle (Online Banking) auch im April 2024 bei Sparkassen und Banken

Bereits im Mai 2021 berichtet die Journalistin Regina Wolf auf ruhr24.de  von dem Verlust von bis zu fünfstelligen Geldbeträgen. Demzufolge seien allein in Unna in Nordrhein-Westfalen zwei Anzeigen von Betrugsopfern eingegangen, bei denen Bankkunden vermeintliche Emails von ihrer Bank erhalten haben sollen. Beide sollen den Anweisungen der vermeintlichen Bankmitarbeiter gefolgt sein und den Täter wohl unbeabsichtigt Zugang zum Online Banking verschafft und hierbei schließlich fünfstellige Geldbeträge verloren. Zudem sei die Masche nicht lokal begrenzt und auch eine Rückfrage bei der regionalen Verbraucherzentrale habe ergeben, dass die Cyber-Attacken auf Bankkonten zunehmen würden. ilex Rechtsanwälte kann fast 3 Jahre später, im April 2024, feststellen, dass die Zahl der Hackingsangriffe seitdem nicht nachgelassen hat. Deshalb wurde von uns die Arbeitsgruppe Prävention Cybercrime gegründet. Ziel der Arbeitsgruppe ist es, dass Wissen zu den neuesten Tatvarianten zu bündeln, um so präventive Empfehlungen zu erteilen und den betroffenen Bankkunden Informationen zukommen zu lassen, der über den begrenzten Wissensstand ihres eigenen Falles hinausreicht.

Wie gehen die Täter vor?

In der aktuellen Fallvariante beginnt die Tat häufig, aber nicht immer, mit einer sogenannten „Spear-Phishing-Mail“. Gemeint ist damit eine hochprofessionelle Phishing-Mail, die sich von früheren Phishing-Mails hinsichtlich der Professionalität und der geringen Erkennbarkeit seiner Fälschung unterscheidet (das Wort spear steht für Speer). Insofern sind die früher gebräuchlichen Rechtschreibfehler und die laienhafte Nachahmung einer von der eigenen Hausbank stammenden Mail inzwischen überwunden.

Heute werden Bankkunden persönlich angesprochen. Statt einer unpersönlichen Anrede wird der Betroffene persönlich angesprochen, die Mails sind meist im fehlerfreien deutsch verfasst und Logo und Layout stammt täuschend echt von der eigenen Hausbank. Die Tathandlung beginnt damit, dass die Bankkunden einen Link anklicken und auf einer täuschend ähnlich nachgeahmten Internetseite der vermeintlich eigenen Hausbank landen und dort lediglich den üblichen Zugang zum Onlinebanking eingeben. Währen dies geschieht, lesen die Täter alle Daten mit und sind ggf., je nach IT-Sicherheitsstand, dann in der Lage, sogar das komplette Onlinebanking zu übernehmen.

Was ist im Schadensfall zu tun?

ilex Rechtsanwälte hat in einem Kurzvideo auf Youtube (Link https://www.youtube.com/watch?v=r2wgzNlbvK8) die sieben wichtigsten sofort umsetzbahren Handlungsschritte für Bankkunden veröffentlicht und erteilt entsprechende Tipps, was aus Sicht eines Geschädigten sofort umgesetzt werden sollte.

Dazu gehört

• der sofortige Anruf bei der Sperrhotline der eigenen Bank, die Dokumentation von Datum und Uhrzeit des Sperrauftrages und die Beauftragung des sogenannten Rückrufs/Recall der nicht autorisierten Zahlungsanweisung
• die Anfertigung eines Screenshots von der Phishing-Mail, damit sie das Layout und den Text später dokumentiert darstellen können. Falls die Bankkunde auf die Online-Website der Bank geleitet wurden, sollte auch hier eine Dokumentation angefertigt werden, wie diese aussah.
• Sie sollten die Polizei einschalten und das polizeiliche Aktenzeichen zu dieser Strafanzeige sollte dokumentiert werden.
• Ferner sollten sich die geschädigten Bankkunden frühzeitig an einen Fachanwalt ihres Vertrauens wenden und die Korrespondenz mit der Bank nicht selbst vornehmen.
• Grundsätzlich sollten die Bankkunden solange davon ausgehen, dass ihre Computer oder der Tablet-PC mit einer Schadsoftware infiziert ist, solange nicht das Gegenteil nachgewiesen worden ist. Hierzu benötigt man häufig die Hilfe einer Fachfirma.
• ilex Rechtsanwälte hat zudem einen mehrseitigen Fragebogen als Checkliste entwickelt, die geschädigte Bankkunden kostenlos anfordern dürfen und die eine detaillierte Zusammenfassung derjenigen Unterlagen enthält, die die Bankkunden nun zusammentragen sollten.
• Auch sollten Bankkunden prüfen (lassen), inwiefern der Schadensfall versichert ist. Dies betrifft nicht allein die Deckung der Kosten, durch eine Rechtsschutzversicherung, sondern auch den Haftpflichtfall an sich, dessen Schadenseintritt möglicherweise von einer Haftpflichtversicherung übernommen wird.

Macht die Inhaftungnahme des Geldempfängers Sinn?

Die Haftungsverteilung bei den Fällen des Abgreifens von Bankzugriffsdaten im Onlinebanking spielt sich regelmäßig ausschließlich zwischen Bank und Bankkunden ab. Dies liegt daran, da die Täter sehr häufig nicht greifbar sind. Nur in seltenen Fällen kann man an die Inanspruchnahme des sogenannten Geldboten oder Finanzagenten denken. Dies wäre dann denkbar, wenn das per Überweisung abverfügte Geld (die nicht autorisierte Zahlungsanweisung) tatsächlich auf das Konto eines (greifbaren) Dritten gegangen wäre. Inwiefern diese haften und ob dort überhaupt etwas zu holen ist, ist jedoch eine aufwendig zu ermittelnde Frage des Einzelfalles. In den aktuellen Fällen ist der Geldempfänger sogar nicht selten eine Kryptowährungsbank im Ausland, bei der sich die Spur der Täter am Ende in einem Zielwallet verliert, weil die Täter von dem abverfügten Geld Kryptowährungen gekauft haben.

Wann haftet die Bank?

Kommt es insofern primär auf die genaue Einordnung der Pflichten zwischen der Bank und Bankkunden im Online Banking an, so ergibt sich das hier maßgebliche Haftungsregime aus dem § 675u BGB und § 675v Abs. 3 BGB. Demzufolge haftet für die nicht autorisierten Zahlungsanweisungen zunächst und grundsätzlich die angewiesene Bank. Diese kann jedoch dann die Haftung reduzieren und einen Gegenanspruch in möglicherweise gleicher Größenordnung geltend machen, wenn sich der Bankkunde grob fahrlässig verhalten haben sollte. Dies ist immer eine Einzelfallfrage. Es gibt eine erhebliche Vielzahl an Urteilen, bei denen dieser Vorwurf nicht zutraf und der Bankkunde sein Geld zurückbekommen hat, aber auch stattgebende Entscheidungen zugunsten der angewiesenen Bank. Regelmäßig geht es darum, ob und inwiefern die Bankkunden personalisierte Sicherheitsmerkmale, die ihnen im Bereich des Onlinebankings zur Verfügung gestellt wurden, preisgegeben haben und ob sie dabei im konkreten Einzelfall das Verdikt der groben Fahrlässigkeit trifft. Selbst wenn die Kunden aber aufgrund des Vorwurfes der groben Fahrlässigkeit im Einzelfall haften, so stellt sich am Ende noch die Frage, ob der angewiesenen Bank nicht auch ein Mitverschulden anzulasten ist, wenn auch die für die IT-Sicherheit verantwortliche Bank als verantwortlicher Anbieter des Onlinebanking-Systems ein Vorwurf zu machen ist. Dies setzt dann regelmäßig auf der beratenden Seite eine genaue Kenntnis der technischen Abläufe der durchaus sehr unterschiedlichen Onlinebanking-Systeme voraus.

Warum verliert sich die Spur der Täter bei Überweisungen an Kryptowährungsbanken (Coinbase Ltd. & Co.)

Seit Jahren haben die Täter vor allem ausländische Kryptowährungsbanken als eine neue Möglichkeit für sich entdeckt, ihre Spur zu anonymisieren. Das Geld wird dann meist zu Instituten, wie beispielsweise Coinbase Limited überwiesen und von dem Geld werden gerne Kryptowährungen erworben (Bitcoin etc.). Gelingt es den Ermittlungsbehörden tatsächlich im Rahmen eines Internationalen Rechtshilfeersuchens die Kryptowährungs-Adresse zu ermitteln (etwa von der ausländischen Bank wäre dann das sogenannte Zielwallet zu ermitteln), so ergibt die Transaktionsanalyse anhand der Blockchain häufig, dass von den Tätern eine sogenannte Clustering-Technik eingesetzt wurde. Mit dieser Clustering-Technik werden dann zahlreiche weitere Kryptowährungs-Transaktionen in Gang gesetzt. Nicht gerade selten wird dann mit Hilfe einer Desktop-Wallet-Software und des sogenannten „CoinJoin-Verfahren“ jede Transaktion oft so anonymisiert, dass eine weitere Nachverfolgung zwar theoretisch möglich, aber praktisch unmöglich geworden ist.