-
24/7 können Sie uns schreiben Fall schildern
-
Ihr kostenloses Erstgespräch 08031 / 7968029
-
Sie brauchen sofort Hilfe? Termin eintragen
Bankkonto gehackt? Phishing erkennen & klären
Mehr als 50 Prozent der Menschen in Deutschland nutzen das Online-Banking für ihre Zahlungen. Damit machen sie sich zu beliebten Angriffszielen von Hackern. Seit geraumer Zeit verschaffen sich Cyberkriminelle Zugriff auf die sensiblen Daten der Bankkunden, um Schäden zu verursachen und ihre betrügerischen Aktivitäten durchzuführen. Ist Ihr Bankkonto gehackt worden?
Beispiele: Ausgewählte Gerichtsurteile zu Betrugsfällen, die CDR Legal in den vergangenen Monaten erstritten hat (PDF-Dateien): 112 C 100/23 (AG Bonn) 🞄 318 O 21/23 (LG Hamburg) 🞄 2-27 O 79/23 (LG Frankfurt am Main)
Inhalte des Artikels
Das Wichtigste im Überblick
- Phishing ist eine Betrugsmasche, bei der sich die Täter Zugang zum Online-Banking von Bankkunden verschaffen
- Für das Abgreifen von persönlichen Daten nutzen die Kriminellen E-Mails, SMS, eine Schadsoftware oder gefälschte Webseiten
- Es gibt eine Reihe von Anzeichen, die Sie auf Phishing hinweisen
Was sind Anzeichen für ein gehacktes Bankkonto?
Es gibt einige Anzeichen, die darauf hinweisen, dass Ihr Online-Banking gehackt wurde. In der Regel stellen Sie einen Hackerangriff zuerst durch unautorisierte Transaktionen fest. Das sind Zahlungen, die Ihnen unbekannt sind und nicht von Ihnen durchgeführt wurden. Oft ist nach einem solchen Angriff auch der Zugang zum eigenen Bankkonto nicht mehr möglich. Falls Sie keine Benachrichtigungen mehr über Transaktionen oder Kontozugriffe auf Ihrem Smartphone erhalten, könnte dies auf ein gehacktes Gerät hinweisen.
Was ist Phishing?
Phishing ist mittlerweile zu der wohl beliebtesten Betrugsmasche im Internet geworden. Der Begriff leitet sich aus dem englischen Wort für Angeln (Fischen) ab. Das Bild kommt insbesondere deshalb zum Tragen, weil die Hacker eine Art Köder auswerfen, um Zugriff auf die sensiblen Daten ihrer Opfer zu erhalten.
Dieser Phishing Köder besteht vorwiegend aus betrügerischen E-Mails und SMS, die Links zu gefälschten Webseiten beinhalten. Unter einem Vorwand werden Sie als Opfer dazu aufgefordert, dem Link zu folgen und auf der gefälschten Webseite Ihre Daten herausgeben.
Oft wird dabei das Vorgehen der Kriminellen nicht als Betrug erkannt. Denn die gefälschten Webseiten bekannter Banken sind im Detail so nachgebildet, dass sie kaum oder gar nicht vom Original zu unterscheiden sind. Mit dem erschlichenen Zugang zum Online-Banking führen die Täter illegale Transaktionen durch.
Zum einen können Cyberkriminelle so einen hohen Betrag an Geld auf Konten ins Ausland überweisen. Zum anderen nutzen sie ihre Opfer aber auch immer öfter für Geldwäsche. Betroffene agieren in diesem Fall als sogenannte Finanzagenten.
Wie werden Bankkonten per Phishing gehackt?
Leider sind die Hacker beim Phishing mittlerweile sehr kreativ geworden, sodass es mehrere Phishing Arten gibt. Die Verbreitetsten sind in dem Zusammenhang:
- SMS (Kurznachrichten)
- Phishing-Webseite
- Schadsoftware
- Telefon
- per Post (Briefkasten)
Verschiedene Arten und Begriffe des Phishings erklärt das Bundesamt für Sicherheit in der Informationstechnik.
Bankkonto über E-Mail gehackt
Die am häufigsten verwendete Phishing Art ist nach wie vor das Versenden einer E-Mail mit Link. Innerhalb der Mail fordern die Täter das Opfer dazu auf, die angebliche Seite einer Bank aufzusuchen. Bei der Seite handelt es sich allerdings um eine betrügerische Internetseite. Dort sollen Sie Ihre persönlichen Zugangsdaten eingeben, beispielsweise zur Kontrolle oder aufgrund eines angeblichen System-Updates. So erhalten die Betrüger Zugriff auf Ihre Daten.
Das Phishing per E-Mail läuft somit meistens in den folgenden Schritten ab:
- Hacker versenden E-Mail mit Aufforderung zum Folgen eines enthaltenen Links
- Als Begründung nennen die Betrüger scheinbar notwendige Sicherheits-Updates mit Zeitdruck
- Der Link führt zur angeblichen Webseite der Bank, bei der es sich jedoch um eine Betrugsseite handelt
- Hier sollen sich die Opfer mit ihren gewöhnlichen Online-Banking-Daten einloggen, also Kontonummer bzw. IBAN und Passwort
- Für die Authentifizierung benötigen die Täter noch eine TAN. Diese erhalten sie entweder über ein weiteres gefälschtes Eingabeportal oder teilweise durch persönliche Anrufe beim Opfer
- Im letzten Schritt nehmen sie missbräuchliche Überweisungen vom Konto der Geschädigten vor
Online-Banking Hackerangriff über SMS oder Webseite
Das SMS-Phishing ist eine ähnliche Variante wie die oben beschriebene. Statt einer E-Mail erhalten Sie hier eine Textnachricht. Dieses wird auch als Smishing bezeichnet, einer Wortmischung zwischen SMS und Phishing. Der Phishing Angriff ist hier der Gleiche. In der SMS fordern die Kriminellen die Opfer dazu auf, Daten zu aktualisieren und sich in ihrem Bankkonto über den entsprechenden betrügerischen Link einzuloggen.
Eine weitere Phishing-Art benötigt nicht den Umweg über SMS oder E-Mail, sondern läuft direkt über eine gefälschte Webseite. Diese sieht der originalen Bankseite äußerst ähnlich. Lediglich an wenigen Unterschieden ist zu erkennen, dass es sich nicht um die Original-Webseite des Kreditinstitutes handelt. Bei dem Anbieter geben Kunden dann wie gewohnt ihre Zugangsdaten ein. Sie wissen nicht, dass es sich um eine gefälschte Internetseite handelt. Den Hackern ist es nun ein Leichtes, die Daten abzufangen.
Gelegentlich nutzen die Täter auch eine Schadsoftware, um an Ihre Daten zu gelangen. Dazu zählen in erster Linie Trojaner. Mit diesen schalten sich die Betrüger in die Kommunikation zwischen Ihnen und Ihrem Kreditinstitut ein. Im Fachbereich wird dies auch als sogenannter Man-in-the-middle Angriff bezeichnet.
Bankkonto per Telefon oder Brief gehackt
Ebenfalls öfter wird mittlerweile das Phishing per Telefon genutzt. In diesem Fall geben sich die Betrüger als Mitarbeiter von renommierten Unternehmen oder Banken aus. Über einen Anruf auf das Handy wollen sie das Opfer angeblich vor Datenlücken oder Fehlern im Betriebssystem schützen oder einen angeblichen Trojaner vom Rechner entfernen. Letztlich geht es auch bei dieser Masche nur darum, an die persönlichen Online-Daten der Opfer zu gelangen.
Sogar das Phishing per Briefkasten taucht bisweilen in der Praxis auf. In dem Fall erhalten Kunden zum Beispiel Post von ihrer Kreditkartengesellschaft. Sie werden in dem Schreiben aufgefordert, einem bestimmten Link zu folgen und dort ihre Kartendaten und das Passwort einzugeben. In der Regel wird als Vorwand eine Sicherheitsüberprüfung oder Ähnliches genannt. Das Schreiben stammt natürlich nicht von der echten Kreditkartenfirma.
Was passiert mit den gestohlenen Daten?
Das Ziel der Täter besteht beim Phishing immer darin, persönliche und somit sensible Daten für das Online-Banking abzufangen. Mit diesen Daten haben Betrüger die Möglichkeit, auf verschiedene Art und Weise Missbrauch zu betreiben. In den meisten Fällen nutzen sie die gestohlenen Daten wie folgt:
- Identitätsdiebstahl (Übernahme einer fremden Identität)
- Überweisungen auf Konten der Betrüger
- Geldwäsche
Durch den Identitätsdiebstahl können die Hacker sämtliche Geschäfte im Namen des Opfers tätigen, wie Online-Einkäufe oder die Bestellung von Kreditkarten. Außerdem können sie auch direkt Überweisungen auf ihre eigenen Konten im Inland oder Ausland durchführen. Über verzweigte Transaktionen nutzen die Täter ihre Opfer auch für Geldwäsche.
In der Vergangenheit flossen die Gelder der betrügerischen Aktivitäten direkt ins Ausland. Neuerdings nutzen die Täter allerdings oft ein inländisches Konto als eine Art Zwischenstation. Von diesem Konto aus findet dann eine Weiterleitung auf ein ausländisches Konto statt.
In diesem Zusammenhang taucht immer öfter die Bezeichnung Finanzagent auf. Es handelt sich dabei um die Person, die das Zwischenkonto besitzt. Sie weiß oft nichts von dem illegalen Hintergrund. Trotzdem können sich solche unwissentlichen Finanzagenten strafbar machen, wenn ihnen grobe Fahrlässigkeit nachgewiesen werden kann.
Informationen zum Identitätsdiebstahl
Wenn Ihnen Ihre Checkliste hilft, dann freuen wir uns über eine Bewertung hier oder rechts unten auf Ihrer Checkliste.
Welche Warnhinweise gibt es für Phishing-Attacken?
Die gute Nachricht ist, dass Sie den Phishing-Attacken meistens entkommen können. Dafür sollten Sie zum einen auf bestimmte Warnhinweise achten und zum anderen Sicherheitsmaßnahmen ergreifen. Im Folgenden möchten wir zunächst einige Merkmale nennen, an denen Sie mögliches Phishing erkennen können:
- Per E-Mail oder SMS werden Sie unter Zeitdruck dazu aufgefordert, sicherheitsrelevante Daten bei der angeblichen Bank einzugeben (seriöse Banken fordern Sie dazu nie per Mail oder SMS auf)
- Sie erhalten die Nachricht entweder am späten Abend, nachts oder am Wochenende
- Als Betreff sind Systemfehler oder angebliche Datenlecks genannt
- Sie werden in der E-Mail nicht mit Ihrem Namen, sondern lediglich allgemein angesprochen
- Die E-Mail-Adresse kommt von einem allgemeinen Mail-Provider, beispielsweise GMX
- Die Browser-Adresse für die angebliche Bankwebseite beginnt nicht mit „https“, sondern nur mit „http“
- SMS oder E-Mail enthalten (mehrere) Rechtschreib- oder Grammatikfehler
Neben diesen durchaus auffälligen Merkmalen können Sie sich gut gegen Phishing Attacken schützen. Die folgenden Tipps können dabei helfen, dass Sie kein Opfer der Hacker werden:
- Klicken Sie nicht auf Links in E-Mails oder SMS, wenn Sie den Absender nicht kennen
- Speichern Sie Ihre Passwörter und Zugangsdaten auf keinen Fall auf Ihrem PC
- Ignorieren Sie E-Mails und SMS von unbekannten Absendern
- Öffnen Sie keine unbekannten Anhänge in E-Mails und per SMS-Nachrichten
- Halten Sie Ihre Anti-Schadware-Software stets auf dem Laufenden
- Tippen Sie die Internetadresse Ihrer Bank stets manuell ein (auch in den Favoriten gespeicherte Links können manipuliert werden)
- Prüfen Sie das Zertifikat der entsprechenden Internetseite
- Achten Sie darauf, dass das Schloss-Symbol in der Browserzeile beim Online-Banking geschlossen ist
- Überprüfen Sie, ob die Browserzeile der Bankwebseite mit „https“ beginnt
- Nutzen Sie immer eine Zwei-Faktor-Authentifizierung über Ihr Smartphone oder ein anderes Gerät
- Legen Sie bei unerwarteten Anrufen angeblicher Microsoft- oder Bankmitarbeiter sofort auf. Gegebenenfalls rufen Sie Ihre Bank direkt an und erkundigen sich, ob der vorherige Anruf seine Richtigkeit hatte.
So erhalten Sie mit CDR Legal Ihr Geld zurück
Haben Sie den Verdacht oder sind Sie sich sicher, Opfer einer Phishing-Attacke geworden zu sein? Wurde Ihr Online-Banking gehackt? In dem Fall sollten Sie idealerweise Beweise sichern, unter anderem einen Screenshot vom PC machen. Im zweiten Schritt ist es dringend zu empfehlen, bei der Polizei eine Anzeige zu erstatten. Das gilt auch für einen Betrugsversuch, den Sie abweisen konnten.
Kostenloses Erstgespräch
Sind Kreditkarten-Daten betroffen oder wurde bereits eine missbräuchliche Überweisung in die Wege geleitet, sollten Sie umgehend Ihre Bank informieren. Diese kann Ihre Karte sperren und eine eventuelle Überweisung gegebenenfalls noch aufhalten oder zurückbuchen. Zum Beweise sammeln gehört auch, dass Sie die Daten des entsprechenden Empfängers der Transaktion (IBAN) notieren. Die Aufarbeitung des Schadenshergangs ist unumgänglich. Erst dann kann eine Beurteilung darüber stattfinden, wer den Schaden zu tragen hat. Im ersten Schritt muss eine grobe Fahrlässigkeit des Opfers ausgeschlossen werden. Wenn Ihr Bankkonto gehackt wurde, ist eine anwaltliche Beratung sinnvoll. Die Kanzlei CDR Legal hat bereits zahlreiche Opfer von Online-Banking Betrug vertreten. Mit dieser Erfahrung unterstützt Sie die Bankrecht-Anwaltskanzlei gerne bei der Wahrung Ihrer Rechte.
RA Corinna D. Ruppel (LL.M.) berät und begleitet Sie im Bankrecht, im Erbrecht, im Kapitalmarktrecht und im Insolvenzrecht. Rechtsanwältin Ruppel ist Spezialistin im Prüfen, Durchsetzen und Abwehren von Forderungen. Seit 2013 ist Frau Ruppel Inhaberin der Kanzlei CDR Legal und hat bereits über 9.000 Erstberatungen erteilt und mehr als 2.000 Mandanten vertreten.