Onlinesicherheit
Phishing
Hinter der Versendung von gefälschten E-Mails im Namen von Bankinstituten, Mobilfunkprovidern und dergleichen sowie dem Einsatz gefälschter Webseiten im Internet durch Cyberkriminelle stecken zumeist finanzielle Motive. Ziel ist es, Anwenderinnen und Anwender dazu zu verleiten, Links zu kompromittierten Webseiten aufzurufen, kompromittierte Dateianhänge zu öffnen und persönliche Daten wie Zugangs- und Kontodaten preiszugeben. Phishing-Angriffe sind oftmals auch eine Möglichkeit einen späteren Ransomware-Angriff zu bewirken.
Gefährdungstrend
Die Gefährdung durch Phishing nimmt weiter zu. Insbesondere die Gestaltung von gefälschten E-Mails und Webseiten wird zunehmend professioneller. Durch das Fehlen offensichtlicher Merkmale, wie z.B. viele Tippfehler oder schlechtes Deutsch, sind viele auf den ersten Blick nicht mehr als Fälschungen zu erkennen.
Volumen
Im Laufe des zweiten Quartals 2022 erhöhte sich die Anzahl der Phishing-E-Mails auf rund 65.400 gemeldeten Kampagnen. Mit etwa 1.098.000 Stück wurden auch nochmals mehr Phishing-Webseiten als im Vorquartal identifiziert. Die extremen Steigerungen Mitte 2020 entstanden teilweise aufgrund einer geänderten Zählweise.
(Datenquelle: Anti Phishing Working Group – Phishing Activity Trends Report Q2 2022)
Betroffene Sektoren
Der Finanzsektor war im zweiten Quartal 2022 mit 27,6 Prozent am stärksten von Phishing-Kampagnen betroffen, gefolgt von SaaS - und Webmail-Diensten mit 19,1 Prozent.
(Datenquelle: Anti Phishing Working Group – Phishing Activity Trends Report Q2 2022)
Phishing-Fall in Fürstenfeldbruck: Täter kommen oft ungeschoren davon
Von Stefan Salger, Fürstenfeldbruck
Die Kriminalpolizei Fürstenfeldbruck ermittelt aktuell in einem Fall von Phishing. Wie die SZ berichtete, ist jüngst ein Ehepaar aus Fürstenfeldbruck Betrügern auf den Leim gegangen, das beim Homebanking offenbar zunächst auf eine falsche Seite geleitet worden war und dann einer Anruferin, die sich als Bankmitarbeiterin ausgab, vertrauliche Daten mitgeteilt hatte. Am Ende wurde das Konto des Ehepaars abgeräumt. Schaden: etwa 38 000 Euro.
Ein Sprecher des Polizeipräsidiums Oberbayern-Nord warnt eindringlich davor, es den mit dieser zurzeit häufigen Masche agierenden Betrügern "allzu leicht zu machen". Wird die Bankadresse über eine Suchmaschine eingegeben, klickt man schon mal den falschen Link an und landet auf einer Fake-Domain. Werden dort arglos Pin und Tan eingegeben - oder für ein angebliches Update am Telefon genannt - haben die Betrüger leichtes Spiel. Ausführliche Verhaltensregeln zum sicheren Onlinebanking gibt es auf der Webseite des Bundesamtes für Sicherheit und Informationstechnik (BSI).
Die Erfolgsaussichten der Ermittler sind abhängig von der Zeitspanne zwischen Abbuchung und Verständigung der Bank und der Behörden. Je eher die eigene Bank über die Notfall-Hotline und die Polizei über den Sachverhalt informiert werden, desto höher sind die Chancen, transferiertes Geld einzufrieren und zurückzuholen. Bei Sepa-Echtzeitüberweisungen wird das Geld oft binnen Sekunden auf das Empfängerkonto transferiert und von den Tätern umgehend auf weitere Konten überwiesen, so der Sprecher des Präsidiums. Dann ist das Geld in der Regel verloren. Bei der aktuellen Phishing-Welle konnten durch die sofortige Verständigung mittels Sperrung der Empfängerkonten im Bereich der Kriminalpolizei Fürstenfeldbruck aber bereits weitere Schäden im sechsstelligen Bereich verhindert werden.
Wie viele Ermittler sich dort mit solchen Internet-Betrugsfällen beschäftigen, dazu werden keine Angaben gemacht. Im Landkreis Fürstenfeldbruck bewegen sich die Fälle von Online-Betrug im ein- bis zweistelligen Bereich pro Monat. Phishing-Angriffe "treten zumeist in Wellen auf und haben vor allem Bankkunden im Visier". Immerhin: Eine signifikante Steigerung seit 2020 sei bislang nicht feststellbar. Wohl auch deshalb, weil die Banken ihre Tan-Freigabesysteme optimiert und ebenso wie die Polizei öffentlich über die Gefahr informieren.
2020 wurden im Bereich Fürstenfeldbruck 48 Fälle von Computerbetrug registriert. Im Jahr 2021 lag die Fallzahl mit 46 nahezu beim gleichen Wert. Die polizeiliche Kriminalstatistik listet unter Computerbetrug allerdings nur den direkten Zugriff auf den Computer durch Hacker auf und nicht die arglose Preisgabe von Kontodaten durch Bankkunden per E-Mail oder Telefon an Betrüger. Genaue Zahlen zum Gesamtkomplex Betrug beim Onlinebanking lassen sich aus statistischen Gründen offenbar schwer nennen.
Die Aufklärungsquote ist gering. Die Täter gehen banden- und gewerbsmäßig vor und sitzen zumeist im Ausland. Sie nutzen oft Verschlüsselungssoftware, um ihre Identität nicht preiszugeben. Vereinzelt kommt es bei langwierigen und komplexen Ermittlungen gegen Bandenstrukturen dennoch zu Erfolgen. Zuständig für die organisierte Cyberkriminalität ist die Zentralstelle Cybercrime Bayern (ZCB) bei der Generalstaatsanwaltschaft Bamberg.
Ich habe Phishing-E-Mails erhalten
Betrüger versuchen, mit immer dreisteren Methoden, Zugangsdaten fürs Onlinebanking auszuspionieren und ahnungslosen Nutzern Geld vom Konto zu stehlen.
Haben Sie auch schon E-Mails von einer Bank erhalten, deren Kunde Sie zwar nie waren, die Sie aber trotzdem um eine „eilige Überprüfung Ihrer Sicherheitseinstellungen“ bittet?
Obwohl sie in ihrer Aufmachung offiziell wirken, stammen solche E-Mails nicht wirklich von einer Bank. Stattdessen stecken Betrüger dahinter, die Sie unter einem scheinbar wichtigen Vorwand auf eine Webseite locken wollen, die der Original-Webseite der Bank sehr ähnlich ist. Gibt man seine Zugangsdaten auf einer solchen gefälschten Webseite ein, landen diese nicht bei der Bank, sondern bei Kriminellen und die räumen anschließend das Girokonto leer.
Beim Onlinebanking ist das Phishing („das Abfischen von Passwörtern“) gegenwärtig die häufigste Variante, um an die Zugangsdaten der Nutzer zu gelangen. Dabei finden Online-Kriminelle häufig Wege und Möglichkeiten, wie sie die Rechner und mobilen Endgeräte mit Schadsoftware (z. B. Trojaner) infizieren können, um anschließend die gewünschten Daten während der Kommunikation des Anwenders mit seiner Bank beim Onlinebanking abzufangen und zu ihren Gunsten auszunutzen.
In Brandenburg liegt die durchschnittliche Schadenssumme je Opfer und bekannt gewordenem Phishingfall bei mehreren tausend Euro. Hauptsächlich sind Privatpersonen unter den Opfern zu finden.
Was wir für Sie tun können:
Damit die Polizeibeamten Kenntnis von der Straftat erlangen und entsprechend reagieren können, ist es erforderlich, dass Sie eine Strafanzeige erstatten oder einen entsprechenden Hinweis geben. Dies ist bei jeder Polizeidienststelle oder per Internet möglich. Die Polizeibeamten werden daraufhin umgehend Ermittlungen wegen des Verdachtes des Ausspähens von Daten nach § 202a StGB und des Computerbetruges nach § 263a StGB einleiten.
Wenn Ihnen beim regelmäßigen Durchsehen Ihrer Kontoauszüge von Ihnen nicht autorisierte Geldabbuchungen auffallen oder Sie möglicherweise auf betrügerische E-Mails, gefälschte Webseiten bzw. Eingabeaufforderungen für PIN/TAN reagiert haben sollten, ist es zudem ratsam, Ihre Bank so schnell wie möglich darüber zu unterrichten. So geben Sie Ihrem Geldinstitut die Möglichkeit, vielleicht noch rechtzeitig die von den Betrügern veranlasste Geldüberweisung (zumeist auf ein Auslandskonto) zu stoppen und den jeweiligen Geldbetrag zurück zu überweisen.
Woran Sie denken sollten:
Für die Ermittlung des oder der Straftäter ist für die Polizei von Bedeutung, dass Sie insbesondere Folgendes beachten:
Angaben zur Straftat (was ist passiert, welcher Schaden ist entstanden),
Genaue Angaben zur Tatzeit/ Feststellungszeit,
Möglichst konkrete Angaben zum Vorgehen des Täters bzw. Tatverdächtigen,
Kopien eines aktuellen Kontoauszuges bzw. Fotos vom PC-Bildschirm,
Angabe der Adressen (URLs) von gefälschten Webseiten,
Sicherung der ggf. erhaltenen Phishing-E-Mails auf CD und Übergabe dieser an die Polizei,
Ihr Computer oder Smartphone wird möglicherweise zur Identifizierung der darauf befindlichen Schadsoftware benötigt,
Angaben zum Geschädigten / Betroffenen der Straftat (Person, Firma, Institution usw.),
Angaben zum verwendeten PC-Betriebssystem, der genutzten Antiviren-Software sowie dem für das Onlinebanking verwendeten technischen Sicherungsverfahren,
Welche Maßnahmen wurden bereits von Ihnen oder anderen Personen eingeleitet?
Stehen Ihnen weitere Unterlagen (schriftliche oder elektronisch gesicherte Beweise oder Ähnliches) zur Verfügung?
Wie geht es weiter?
Auch wenn Sie die Anzeige online erstatten, erfolgt die Sachbearbeitung bei der dafür zuständigen Polizeidienststelle. Es ist möglich, dass der polizeiliche Sachbearbeiter weitere Rückfragen hat oder Sie zu einer Zeugenvernehmung vorgeladen werden. Die Kosten hierfür werden Ihnen erstattet.
Ihre Bank kann bei rechtzeitiger Benachrichtigung möglicherweise die fehlgeleitete Geldüberweisung zurückbuchen bzw. den entstandenen Schaden ersetzen.