Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?
Dr. Bernhard Freund: Vishing ist eine Betrugsmethode, bei der Passwörter und andere wichtige Daten mittels Telefonanruf erbeutet werden. Das Vorgehen ist ähnlich wie beim Phishing. Auch Vishing wird oft durch E-Mails vorbereitet, aber die finale Täuschung erfolgt am Telefon – entweder durch eine Bandansage oder unmittelbar durch die Stimme der Betrüger. Der Begriff ist daher eine Kombination aus „Voice“ und „Phishing“.
Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?
Dr. Bernhard Freund: Das Ziel ist der Kriminellen ist jeweils dasselbe, nämlich wichtige Zugangsdaten auszuspähen. Häufig geht es um das Login für das Online-Banking. Mit Kenntnis dieser Daten werden missbräuchliche Zahlungen durchgeführt und Konten „abgeräumt“. Allerdings gibt es viele Spielarten. Zum Teil werden die Opfer durch Täuschung selbst zu Zahlungen veranlasst. Insoweit hat die Bedeutung des Begriffs Phishing eine Ausweitung erfahren. Ursprünglich ist es eine Metapher, nach der böse Menschen im Meer des Internets massenweise Köder auslegen in Form betrügerischer Emails – in der Hoffnung, dass gutgläubige Nutzer anbeißen und ihre Passwörter preisgeben. Beim Smishing werden statt E-Mails SMS-Nachrichten genutzt. Beim Vishing schließlich sind es Anrufe, die entweder von den Betrügern initiiert werden oder zu denen das Opfer veranlasst wird. Dies kann zum Beispiel durch eine Nachricht (SMS oder E-Mail) geschehen, die scheinbar von Ihrer Bank ausgeht und in der Sie dringend um Rückruf gebeten werden. Die Kommunikationswege werden von den Kriminellen im Rahmen eines Angriffs also durchaus auch kombiniert. Immer häufiger geben Opfer sogar ihre Computer für Fernverbindungen frei. Die Betrüger schalten sich dann auf und „helfen“ ihnen zum Beispiel, eine vermeintliche Überzahlung auf ihr Bankkonto „rückgängig“ zu machen.
Wir sind stets besonders gefährdet, wenn wir arglos sind. Insofern ist die Entwicklung vom Phishing über das Smishing zum Vishing auch dadurch zu erklären, dass wir uns an Ersteres gewöhnt haben und bei E-Mails eher wachsam sind. Nachrichten über unerhoffte Erbschaften oder Hilferufe nigerianischer Prinzen treffen heutzutage auf ein gesundes Misstrauen. Dies hat einerseits zu immer ausgefeilteren und auch persönlicheren Phishing-Nachrichten geführt, die für uns von ehrlichen Nachrichten oft nur schwer zu unterscheiden sind. Andererseits gibt es teilweise eine Verlagerung auf andere Kommunikationswege wie SMS und Telefon. Das Telefon birgt dabei ganz eigene Gefahren. So konnten die IT-Anbieter auf Phishing mit Spam-Filtern reagieren, die vieles abfangen. Mittlerweile sind wir so auch auf dem Handy vor betrügerischen SMS geschützt – wenn auch nie zu 100%. Betrügerische Anrufe werden hingegen seltener ausgefiltert.
Wer erst einmal im persönlichen Gespräch mit einem professionellen Betrüger ist, erliegt schnell dessen psychologischen Tricks. Das gezielte Hervorrufen menschlicher Emotionen wie Sorge, Mitgefühl, schlechtes Gewissen, Dankbarkeit oder auch Gier vernebelt unseren Verstand. Oft wird auch eine vermeintliche Dringlichkeit vermittelt – perfiderweise gerne mit dem Argument, dass aktuell ein Hackerangriff läuft oder Dritte das eigene Konto missbraucht haben. Und nicht zuletzt sind Angreifer oft gut vorbereitet und haben Informationen über uns in sozialen Netzwerken recherchiert. Ihre Kenntnisse erwecken dann unser Vertrauen. So werden wir zu Handlungen verleitet, die wir später kaum mehr glauben können und bereuen. Insofern halte ich Vishing für die größte Gefahr.
Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?
Dr. Bernhard Freund: Früher gaben sich Anrufer gerne als Bankmitarbeiter aus, die ein Problem mit dem Konto klären wollten. Zur Sicherheit fragten sie dann nach dem Passwort für das Online-Banking und wenig später – nachdem sie es selbst auf der Website der Bank eingegeben hatten – nach einer TAN. Diese eher plumpen Angriffe sind u.a. aufgrund der 2-Faktor-Authentifizierung mittlerweile zum Glück seltener.
Aufwendiger sind Angriffe, bei denen die Betrüger Websites von Banken nachbauen und die Opfer am Telefon veranlassen, sich dort einzuloggen. Die Websites sehen oft täuschend echt aus und die Internetadresse unterscheidet sich nur minimal, zum Beispiel durch einen doppelten Buchstaben. Tatsächlich werden aber alle Eingaben von den Betrügern abgefangen und können zum Login in die echte Bank-Website genutzt werden. In einer Variante wird dem Opfer ein überhöhter Kontostand angezeigt und dieses gebeten, den zu hohen Betrag zurückzuüberweisen. Die Kriminellen nutzen dann die Daten, um selbst eine Zahlung auf eines ihrer Konten durchzuführen.
Immer häufiger werden auch Unternehmen zum Opfer. Zum Beispiel werden Mitarbeiter angeblich vom IT-Support angerufen und gebeten, sich in das VPN oder in ihren Mail-Account einzuloggen. Auch hierfür werden oft gefälschte Websites eingesetzt. Um die Mitarbeiter unbemerkt auf diese Fake-Websites zu lotsen, wird ihnen der Link zum Beispiel per Mail oder SMS zugesandt. Die Kriminellen erhalten so Zugriff auf das Unternehmensnetzwerk und versuchen von dort aus, sich weiter vorzuarbeiten und Sicherungsmechanismen auszuhebeln.
Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?
Dr. Bernhard Freund: Das ist die entscheidende Frage. Der Kunde ist per Gesetz und durch die AGB der Banken verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um Zugangsdaten und Authentifizierungsinstrumente vor unbefugtem Zugriff zu schützen. Wer diese Daten grob fahrlässig offenbart, muss den gesamten Schaden tragen (§ 675v Abs. 3 Nr. 2 BGB). Grob fahrlässig handelt nach der Rechtsprechung, wer die erforderliche Sorgfalt in besonders schwerem Maße verletzt. Dies ist der Fall, wenn man schon ganz naheliegende Überlegungen nicht anstellt und das nicht beachtet, was im gegebenen Fall jeden einleuchten müsste. Diesen Maßstab muss man auf den konkreten Fall anwenden.
Es gibt hier also kein Schwarz oder Weiß, sondern man muss alle Umstände abwägen. Je plumper und durchschaubarer der Angriff und je sorgloser das Verhalten des Kunden, umso schlechter sind seine rechtlichen Argumente gegen die Bank. Viele Vishing-Angriffe beruhen jedoch auf raffinierten Methoden, gegen die man sich nur bedingt wappnen kann. Daher gibt es oft gute Argumente des Kunden, nicht grob fahrlässig gehandelt zu haben. Dann muss die Bank den Betrag erstatten und kann regelmäßig nur 50 Euro Schadensersatz verlangen. Bei vollständig fehlendem Verschulden des Kunden trägt sie sogar den ganzen Schaden.
Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?
Dr. Bernhard Freund: Lesen Sie zuallerst die Tipps Ihrer Bank. Diese kennt die aktuellen Angriffsformen und warnt meist frühzeitig. Vermeiden Sie es, am Telefon Daten preiszugeben, wenn Sie das Gegenüber nicht kennen. Seien Sie skeptisch, wenn Sie von Bankangestellten, dem IT-Support oder sonstigen Dritten angerufen werden. Rufen Sie im Zweifel zurück und stellen Sie sicher, dabei die richtige Nummer zu wählen. Lassen Sie sich nicht hetzen! Versuchen Sie in hektischen Situationen, einen Schritt zurück zu treten und nehmen Sie sich Zeit für eine sorgfältige Prüfung. Öffnen Sie Links und Anhänger nicht, ohne den Absender zu prüfen. Ziehen Sie im Zweifel eine Person Ihres Vertrauens hinzu, um sich vor übereiltem Handeln zu schützen. Für Geschäfte rund um Ihr Bankkonto ist Ihre Bank der richtige Ansprechpartner. Vorsicht ist die Mutter der Porzellankiste!