Die Gefahr, auf Onlinebanking--Betrug hereinzufallen, ist allgegenwärtig. Zigfache Attacken verpuffen täglich unbemerkt. Das Geschäft der Betrüger ist nicht zielgerichtet, sondern auf die Masse abgestimmt, aber letzten Endes können die Täter doch irgendwann technisch andocken, sich das Vertrauen der Kontobesitzer erschleichen und dann mit empfindlichen finanziellen Folgen zuschlagen.
In einer Vielzahl aller Fälle haben die Täter entweder entsprechende Datensätze im Darknet eingekauft und verfügen so über Zugangsdaten zu Homebanking-Accounts Ihrer Opfer. In einem zweiten Schritt geht es darum, das Vertrauen der Opfer zu gewinnen und sie zu überreden, Transaktionen freizugeben. Phishing und Spoofing nennt man die Techniken, die dabei angewendet werden, die Art und Weise, Vertrauen zu generieren ist Teil ausgeklügelter Social Engineering-Strategien.
Die Opfer verlieren teils 5-stellige Summen, bevor der Betrug irgendwann auffällt. Der Ärger ist groß - aber es gibt Hoffnung. Regelmäßig verurteilen deutsche Gerichte Banken zur Übernahme der entstandenen Schäden.
Das Landgericht Köln hat in Sachen Onlinebanking-Betrug zum Aktenzeichen 22 O 43/22 ein ebenso interessantes wie weitreichendes Urteil gefällt. Das Gericht verurteilte eine Sparkasse, einem Kunden einen durch sogenanntes Spoofing entstandenen Schaden komplett zu ersetzen – insgesamt 14.000 Euro.
Der Kunde hatte das sogenannte Push-TAN-Verfahren benutzt, das Banken deutschlandweit als sicher anpreisen und anbieten.
Dabei wird ein Vorgang über das klassische Onlinebanking auf den Weg gebracht, die Transaktion dann über eine spezielle Handy-App – Push-Tan-App - bestätigt, bevor z.B. eine Überweisung abgeschlossen wird. Verbraucherschützer kritisieren das Verfahren, da eine abschließende Genehmigung für was auch immer einzig und allein an einem einzigen „Ich bestätige“-Klick hängt und es Betrügern oft leicht fällt, sich solche Bestätigungen zu ergaunern, z.B. durch diverses hochmanipulatives „Social Engineering“.
Zugang zum Onlinebanking des späteren Opfers verschaffen sich Betrüger in aller Regel im Vorlauf über das sogenannte Phishing: Dabei werden mit täuschend echten Kopien der Bankseite unter diversen Vorwänden Benutzername und PIN des Zugangs abgefragt. Manche Täter machen es sich gleich leichter: Sie kaufen im sog. Darknet Datenbestände aus sog. Datenlecks auf. Diese Bestände enthalten oftmals nicht zur die Zugangsdaten zum Online-Banking selbst, sondern praktischerweise auch sämtliche persönliche Daten potentieller Opfer. In der letzteren Konstellation ist es dann gerade nicht so, dass das spätere Opfer zunächst Opfer von Phishing war, was besonders perfide Täuschungsmanöver ermöglicht. Wer nun an das Geld des Opfers heranwill, muss es in beiden Konstellationen nur noch dazu bringen, eine Transaktion zu bestätigen. Je nach Abhebungslimit kann der Schaden schon mal 5-stellig sein.
Der Kunde war mit angezeigter Sparkassennummer angerufen worden und um eine Bestätigung gebeten worden. Das verhüllen der eigenen Identität wird als Spoofing bezeichnet. Im vorliegenden Fall hatte der Text der PushTan-App um „Registrierung Karte“ gebeten, der vermeintlichen Aufforderung der Bank war der Kunde gefolgt und hatte damit eine digitale Debitkarte aktiviert, über die die Betrüger insgesamt 14.000 Euro abbuchten, bevor der Bank die ungewöhnlichen Transaktionen auffielen.
Da die Bank eine Mitschuld des Kunden zu erkennen glaubte, erstattete sie nur 4000 Euro. Das Landgericht sah die Schadensvermeidungspflicht und damit auch die Verantwortung allerdings zu 100 % bei der Bank und verpflichtete diese zum kompletten Schadensausgleich.
Fritsch: „Das Perfide ist, dass das potentielle Opfer einen Anruf von der richtigen Nummer seiner Bank erhält und der Anrufer dabei nicht etwa Daten abfragt, sondern direkt Details zur Person und Konto liefern kann und hierdurch erst einmal unerschütterlich den Eindruck der Seriosität erweckt. Gepaart mit einer Drucksituation bevorstehender Abbuchungen, die es zu verhindern gilt, ist die nächste „Freigabe“ zur Abwendung ansonsten unvermeidlich bevorstehenden Schadens nicht mehr weit…"
Rechtsanwalt Fritsch, der Opfer von Phishing, Spoofing und Social Engineering deutschlandweit erfolgreich vertritt, empfiehlt, sich auf keinerlei Diskussion mit der Bank einzulassen und nach einer ersten vergeblichen Ansprache sofort juristische Schritte einzuleiten
Schaden durch Spoofing und Social Enginneering
Trickreiche Gesprächsführung am Telefon: So verschaffen sich Betrüger Zugang zu Ihrem Onlinebanking
Weiter lesen
Postbank ersetzt Skimming-Schaden
Mit einem Klageerfolg gegen die Postbank hat der Hamburger Rechtsanwalt Fabian Fritsch die Interessen und Ansprüche eines Mandanten gegen die Postbank voll erfüllt.
Weiter lesen
Wie können wir Ihnen helfen?
Rechtsanwalt Fabian Fritsch steht Ihnen jederzeit zu den angezeigten Themen als kompetenter und erfahrener Rechtsanwalt zur Verfügung in Sachen Onlinebankingbetrug. . Schildern Sie uns Ihren Fall, gern geben wir eine kurze und kostenlose Einschätzung.
Bitte beachten Sie aber, dass für konkreten und individuellen Rechtsrat auf Haftungsgründen ein Mandatsverhältnis bestehen muss. Um hier schnell und hilfreich zueinander zu kommen, biete ich zu allen meinen Themen eine telefonische Erstberatung zum Preis von 100 Euro zzgl. Mwst an. Die Abfrage Ihrer Rechtsschutzversicherung erfolgt kostenlos.
