Als Phishing wird eine Form des Computerbetruges bezeichnet, bei dem die Konten- oder Zugangsdaten zum Online-Banking der Opfer "abgefischt" werden. Danach wird von den Konten Geld transferiert und überwiesen.  Dieser Artikel zeigt einige Hintergründe auf.

Das Auspionieren der Daten

Die Zugangsdaten werden zumeist durch Spam Mails ausspioniert. Diese Mails erscheinen zunächst als ob sie von einer Bank kommen. Es wird zumeist von der Notwendigkeit gesprochen, die persönlichen Daten zu überprüfen. Hierzu muss sich der Benutzer mit seinen Zugangsdaten einloggen und Daten angeben. Diese Angaben sind mit TAN's zu bestätigen.

Da einige Banken inzwischen aus diesem Grund nur noch durchnummerierte TAN-Blöcke verschicken und immer eine ganz spezifische Bestätigungstan mit einer bestimmten laufenden Nummer abfragen, sind die Betrüger mittlerweile dazu übergegangen gleich ganze Blöcke von 20 TAN abzufragen und dann einen Fehler vorzutäuschen um noch weitere 20 TAN abzufragen. Damit ist die Chance sehr hoch, die entsprechende TAN, welche für die spätere Transaktion gefordert wird auch zu finden.

In Wirklichkeit befindet sich der Benutzer natürlich nicht auf den Seiten der Bank, sondern auf einer optisch teilweise identischen Seite der Betrüger. Dies fällt jedoch nicht auf, da teilweise die richtige Bankenseite in einem großen Fenster geöffnet wird und die Daten in einem kleinen Pop-Up ohne Einblendung der URL oder durch die Verwendung von ähnlichen Domainnamen wie zum Beispiel die Ersetzung des deutschen a durch ein russisches im Banknamen.

Die so getäuschten Kunden geben Ihre Daten bekannt und ermöglichen den Betrügern hiermit den Zugang zu Ihren Konten und die Gelegenheit, Überweisungen auszuführen.

Der Geldtransfer

Zumeist wird der Geldtransfer nicht direkt auf das Empfängerkonto durchgeführt, sondern man bedient sich zumeist nichts ahnenden "Finanzagenten". Diese werden ebenfalls durch Spam gewonnen. In den Mails wird häufig von einer Erbschaft oder einem Vermögen aus Goldminen gesprochen, die über den Umweg eines deutschen Kontos aus z.B. Nigeria transferiert werden muss... Dafür ist man bereit, großzügige Provisionen zu zahlen. Das Geld trifft auf dem Kurierkonto ein und wird unter Abzug der Provision weitergeleitet.

Die Betrüger überweisen mittels der von ihnen durch Täuschung erhaltenen Zugangsdaten Geld vom Opfer zum Kurier und veranlassen diesen es weiter zu überweisen. Über teilweise mehrere Stationen gelangt so das Geld zum eigentlichen Bestimmungsort. Die Betrüger sind hierbei häufig nicht mehr zurück zu verfolgen und treten bei den Transferkonten nicht in Erscheinung.

Rechtlicher Hintergrund

Das Phishing ist scho nach aktuellem Recht strafbar. Eine in Umsetzung des EU-Rahmenbeschluss über Angriffe auf Informationssysteme sowie das Europarat-Übereinkommen über Computerkriminalität bevorstehende Novellierung (Stand 09/2006) soll jedoch weitere Tatbestände unter Strafe stellen. Bereits jetzt können insbesondere Folgende Normen einschlägig sein:

• Das Ausspähen von Daten (§ 202a StGB )
• Betrugs/Computerbetrug (§ 263 /§ 263a StGB )
• Fälschung beweiserheblicher Daten (§ 269 StGB )
• Unbefugten Datenerhebung und -verarbeitung (§§ 44 , 43 BDSG) in Betracht.

Urteile

Strafrechtliche Verfahren

• "Verurteilung eines "Finanzagenten" wegen Verstoßes gegen das Kreditwesengesetz zu einer Geldstrafe (AG Überlingen - 1 Cs 60 Js 26466/05 AK 183/06)" Quelle JurPC
• "Das AG Hamm (Urt. v. 05.09.2005- Az.: 10 Ds 101 Js 244/05-1324/05) hatte - soweit ersichtlich - als erstes deutsches Strafgericht über den Themenkomplex des Phishings zu entscheiden. " Die Meldung von Dr. Bahr

• "Das AG Darmstadt (Urt. v. 11.01.2006 - Az.: 212 Ls 360 Js 33848/05) hatte als zweites deutsches Gericht zur strafrechtlichen Dimension des Phishings Stellung zu nehmen..." Dr. Bahr berichtet

Zivilrechtliche Verfahren

• "Das OLG Hamburg (Beschl. v. 07.07.2006 - Az.: 1 U 75/06: PDF via a-i3.org) hat entschieden, dass die Bank gegen ihre Kundin einen Rückerstattungsanspruch hat, wenn diese über ihr Konto Phishing-Überweisungen laufen lässt" Meldung von Dr. Bahr

Ausführliche Informationen finden sich auf a-i3.org

Neueste Entwicklungen

Wie Handakte WebLAWg berichtet, begrüßen die Experten die umfassende Strafbarkeit des Phishing in einer öffentlichen Anhörung des Rechtsausschusses des Bundestages. Lesen Sie dazu hier mehr