Vorgehensweise der Betrüger
Ein Praxisbeispiel: Kontoinhaberin Hannah erhält eine E-Mail zum Wechsel des TAN-Verfahrens und folgt dem eingebundenen Link zu ihrer Bank. Jedoch ahnt sie nicht, dass mit dieser URL nicht die Webseite ihrer Bank geöffnet wird, sondern eine gefälschte Seite eines Betrügers.
Hier gibt Hannah vertrauensvoll ihre persönlichen Zugangsdaten und eine ihrer iTANs zur Bestätigung ein. Ab jetzt ist der Datendiebstahl in vollem Gange, die TAN wird abgefangen und kann unbemerkt für eine Überweisung im Namen von Hannah verwendet werden.
Der Bankenverband rät allen Verbrauchern, die noch das herkömmliche TAN-Verfahren für ihr Online-Banking verwenden, sehr aufmerksam zu sein und vorausschauend mit verdächtigen E-Mails umzugehen. Solche Mails tatsächlich im Vorfeld zu entlarven, wird allerdings immer schwieriger.
Mittlerweile sind Hacker sehr kreativ und originell. Gefälschte Schreiben sind sogar personalisiert und weisen laut BdB "einen hohen Grad an Perfektion auf". Das macht es Verbrauchern nicht leicht und mit ein paar wenigen Klicks wird man schnell zum Opfer.
Was tun, wenn Ihre iTAN "gefischt" wurde?
Oft ist den Geschädigten nicht klar, wer für die Schäden haftet. Aber auch nicht, ob die Bank das gestohlene Geld in voller Höhe zurückzahlen muss und wie "iTAN-Phishing" aus rechtlicher Sicht geregelt ist.
"Wenn Sie auffällige Bewegungen auf Ihrem Konto feststellen, so nehmen Sie bitte unverzüglich Kontakt mit Ihrer Bank auf und lassen Sie Ihr Konto sperren. Sollten Sie Opfer von Betrug geworden sein, so sollten Sie Anzeige gegen unbekannt erstatten. Dies ist in den meisten Bundesländern online möglich", empfiehlt Sylvie Ernoult, Pressesprecherin des Bundesverbands deutscher Banken (BdB).
Wenn der Betrugsfall auf eine Phishing-Mail zurückzuführen ist, sollte die entsprechende Mail der Bank sowie der Polizei zur Verfügung gestellt werden. Parallel dazu wird auch die Hausbank Informationen beim Kunden einholen, zum Beispiel, welche Antiviren-Software das Opfer benutzt oder zum generellen Online-Banking-Verhalten.
"Wird der Kunde Opfer eines Phishing-Betrugs richtet sich die Haftung nach dem jeweiligen Einzelfall und den gesetzlichen Vorschriften. Trifft den Kunden keinerlei Verschulden ist die Haftung auf maximal 50 Euro begrenzt. Hat er grob fahrlässig seine Sorgfaltspflichten verletzt, kann er ein höheres Haftungsrisiko haben", führt Sylvie Ernoult im Gespräch mit biallo.de weiter aus. In solchen Fällen kann es unter anderem auch ratsam sein, einen Rechtsanwalt, der sich mit Internetbetrug auskennt, einzubinden. Was genau unter grober Fahrlässigkeit zu verstehen ist, muss im Zweifelsfall wohl ein Gericht klären.
Drei Tipps vom Bankenverband, wie Sie sich vor Phishing schützen können
Tipp 1: Wer nimmt Kontakt auf? Handelt es sich dabei tatsächlich um die eigene Bank? Hinweise, ob es sich um eine gefälschte E-Mail handelt, finden sich zum Beispiel im Absender der E-Mail.
Tipp 2: Geben Sie die Online-Banking-Adresse der eigenen Bank selbst in die Leiste des Browsers ein. Auf keinen Fall sollte der in der E-Mail verwendete Link angeklickt werden! Ob es sich beim Einloggen wirklich um die verschlüsselte Seite Ihrer Bank handelt, erkennen Sie auch daran, dass in der Browserleiste ein Schloss-Symbol erscheint und die Adresse mit "https…" beginnt.
Tipp 3: Prüfen Sie die E-Mail auf sonstige Auffälligkeiten, wie beispielsweise Rechtschreibfehler! Im Zweifel sollten Kunden ihre Bank anrufen, um nachzufragen.
Verdächtige E-Mails sollten immer der eigenen Bank gemeldet werden, damit diese dagegen vorgehen und auch andere Bankkunden davor schützen kann, Opfer von Kriminellen zu werden.
Lesen Sie auch: Die besten Banking-Apps im Überblick