Im Internetzeitalter findet Raub nicht mehr vor der eigenen Haustür, sondern am heimischen Computer statt. Betrüger nutzen derzeit die Abschaffung der klassischen TAN-Listen für ihre Zwecke. Der Bundesverband deutscher Banken (BdB) warnt eindringlich vor dem sogenannten iTAN-Phishing.
Internet-Kriminelle kontaktieren per E-Mail Verbraucher mit Falschinformationen zur bevorstehenden Umstellung des TAN-Verfahrens. Das Ziel: Verbraucher sollen eine ihrer TAN-Nummern offenbaren, mit der die Ganoven große Summen auf ein anderes Konto überweisen.
Hintergrund: Am 14. September 2019 tritt die nächste Stufe der Zahlungsdiensterichtlinie (PSD2) in Kraft und es dürfen beim Online-Banking keine klassischen TAN-Listen, die sogenannten iTANs, mehr verwendet werden.
Lesen Sie auch: PSD2 – Ist der gläserne Bankkunde bald Realität?
Vorgehensweise der Betrüger
Ein Praxisbeispiel: Kontoinhaberin Hannah erhält eine E-Mail zum Wechsel des TAN-Verfahrens und folgt dem eingebundenen Link zu ihrer Bank. Jedoch ahnt sie nicht, dass mit dieser URL nicht die Webseite ihrer Bank geöffnet wird, sondern eine gefälschte Seite eines Betrügers.
Hier gibt Hannah vertrauensvoll ihre persönlichen Zugangsdaten und eine ihrer iTANs zur Bestätigung ein. Ab jetzt ist der Datendiebstahl in vollem Gange, die TAN wird abgefangen und kann unbemerkt für eine Überweisung im Namen von Hannah verwendet werden.
Lesen Sie auch: PSD2: Was bringt die Neuerung für Bankkunden?
Der Bankenverband rät allen Verbrauchern, die noch das herkömmliche TAN-Verfahren für ihr Online-Banking verwenden, sehr aufmerksam zu sein und vorausschauend mit verdächtigen E-Mails umzugehen. Solche Mails tatsächlich im Vorfeld zu entlarven, wird allerdings immer schwieriger.
Mittlerweile sind Hacker sehr kreativ und originell. Gefälschte Schreiben sind sogar personalisiert und weisen laut BdB "einen hohen Grad an Perfektion auf". Das macht es Verbrauchern nicht leicht und mit ein paar wenigen Klicks wird man schnell zum Opfer.
Lesen Sie auch: Diese Schwachstellen nutzen Cyberkriminelle aus
Was tun, wenn Ihre iTAN "gefischt" wurde?
Oft ist den Geschädigten nicht klar, wer für die Schäden haftet. Aber auch nicht, ob die Bank das gestohlene Geld in voller Höhe zurückzahlen muss und wie "iTAN-Phishing" aus rechtlicher Sicht geregelt ist.
"Wenn Sie auffällige Bewegungen auf Ihrem Konto feststellen, so nehmen Sie bitte unverzüglich Kontakt mit Ihrer Bank auf und lassen Sie Ihr Konto sperren. Sollten Sie Opfer von Betrug geworden sein, so sollten Sie Anzeige gegen unbekannt erstatten. Dies ist in den meisten Bundesländern online möglich", empfiehlt Sylvie Ernoult, Pressesprecherin des Bundesverbands deutscher Banken (BdB).
Wenn der Betrugsfall auf eine Phishing-Mail zurückzuführen ist, sollte die entsprechende Mail der Bank sowie der Polizei zur Verfügung gestellt werden. Parallel dazu wird auch die Hausbank Informationen beim Kunden einholen, zum Beispiel, welche Antiviren-Software das Opfer benutzt oder zum generellen Online-Banking-Verhalten.
"Wird der Kunde Opfer eines Phishing-Betrugs richtet sich die Haftung nach dem jeweiligen Einzelfall und den gesetzlichen Vorschriften. Trifft den Kunden keinerlei Verschulden ist die Haftung auf maximal 50 Euro begrenzt. Hat er grob fahrlässig seine Sorgfaltspflichten verletzt, kann er ein höheres Haftungsrisiko haben", führt Sylvie Ernoult im Gespräch mit biallo.de weiter aus. In solchen Fällen kann es unter anderem auch ratsam sein, einen Rechtsanwalt, der sich mit Internetbetrug auskennt, einzubinden. Was genau unter grober Fahrlässigkeit zu verstehen ist, muss im Zweifelsfall wohl ein Gericht klären.
Lesen Sie auch: So ist das Bankkonto vor Hacker-Angriffen sicher
Drei Tipps vom Bankenverband, wie Sie sich vor Phishing schützen können
Tipp 1: Wer nimmt Kontakt auf? Handelt es sich dabei tatsächlich um die eigene Bank? Hinweise, ob es sich um eine gefälschte E-Mail handelt, finden sich zum Beispiel im Absender der E-Mail.
Tipp 2: Geben Sie die Online-Banking-Adresse der eigenen Bank selbst in die Leiste des Browsers ein. Auf keinen Fall sollte der in der E-Mail verwendete Link angeklickt werden! Ob es sich beim Einloggen wirklich um die verschlüsselte Seite Ihrer Bank handelt, erkennen Sie auch daran, dass in der Browserleiste ein Schloss-Symbol erscheint und die Adresse mit "https…" beginnt.
Tipp 3: Prüfen Sie die E-Mail auf sonstige Auffälligkeiten, wie beispielsweise Rechtschreibfehler! Im Zweifel sollten Kunden ihre Bank anrufen, um nachzufragen.
Verdächtige E-Mails sollten immer der eigenen Bank gemeldet werden, damit diese dagegen vorgehen und auch andere Bankkunden davor schützen kann, Opfer von Kriminellen zu werden.
Lesen Sie auch: Die besten Banking-Apps im Überblick