Die Methoden werden immer perfider, zunehmend auch mithilfe von Künstlicher Intelligenz (KI): Kriminelle verschaffen sich Zugang zu sensiblen Daten, erwecken am Telefon Vertrauen bei ihren Opfern, um diese dann online auszuplündern.
Betrug: Fake-Anrufe mit KI
Sie rufen mit gefälschter Telefonnummer, gefälschter Stimme – und Wissen um vertrauliche Konto- und Einkaufsdaten an. Die neuen Maschen treffen immer mehr Menschen, auch jüngere. Längst sind nicht mehr nur Rentner betroffen.
Betrug mit angeblichem Bankmitarbeiter
Ralf Schorn (Name geändert) aus der Nähe von Stuttgart wurde so um sein gesamtes Erspartes betrogen:
Im Oktober klingelt sein Telefon. Auf dem Display: die Nummer seiner Bank. Der Anrufer habe gesagt, er sei ein Sicherheitsbeauftragter der Bank, erinnert er sich: „Die Stimme am Telefon sagte, dass auf mein Onlinebanking ein Zugriff erfolgt sei”, das Sicherheitssystem sei angesprungen, weil es mehrere Abbuchungsversuche aus dem Ausland gegeben habe.
Abzocke über die bankeigene Authentifizierungs-App
Der vermeintliche Bankmitarbeiter schlägt vor, das Onlinebanking zu sperren und ihm innerhalb von zwei Tagen neue Zugangsdaten zukommen zu lassen. Um diesen Vorgang zu legitimieren, solle er in die Santander-App, die ja für die zwei Stufen Authentifizierung mit dem Onlinebanking zuständig ist, sein Passwort eingeben.
Da alles in der bankeigenen App passiert, hat Schorn keine Bedenken. Was er nicht ahnt: damit gibt er die Kontrolle über sein Konto komplett an die Betrüger ab. Und die räumen alles ab, was geht. Insgesamt 21.000 Euro!
Wie kommen die die Betrüger an sensible Daten?
Diese spezielle Form des Telefonbetrugs wird "Vishing" genannt. Die Wortneuschöpfung setzt sich zusammen aus den Begriffen Voice + Phishing: Durch Phishing (englisch für: Abfischen) werden zunächst sensible Daten der Opfer erbeutet. Mittels Voice, also der (vertrauenerweckenden) Stimme am Telefon, werden die Opfer überzeugt, im Sinne der Täter zu handeln.
Ziel solcher Anrufe ist in vielen Fällen, sie zur Authentifizierung einer Aktion im Onlinebanking zu bringen, wenn die Verbrecher darauf schon Zugriff haben.
Wenn die Stimme mit KI imitiert wird
Damit keine Zeit bleibt, kritisch nachzufragen, erzeugen die Betrüger Druck: Es drohen Verluste auf dem Konto.
„Die Täter fangen an, bewusst eine leichte Panik zu generieren. In dieser Phase ist man natürlich geneigt, dem Bankmitarbeiter zu glauben: Ja, der hilft mir jetzt schon aus dieser Sache raus!“, erklärt Michael Lerch, Polizeihauptkommissar vom Polizeipräsidium Rheinpfalz in Ludwigshafen.
Solche Vishing- Betrügereien nehmen nicht nur zu, sondern werden immer ausgefeilter. Seitdem sich mithilfe von KI mit relativ wenig Aufwand die Stimme nahezu jeder Person imitieren lässt (es genügen schon wenige Sekunden Sound-Schnipsel), tätigen Betrüger immer öfter Fake-Anrufe, bei denen die Opfer vermeintlich die Stimme eines Familienangehörigen in Not hören – oder einen Vorgesetzten oder Mitarbeiter einer Bank.
Anrufer unter falscher Nummer: Caller ID Spoofing
Betrüger können heute zudem mittels krimineller Softeware schnell und einfach ihre Rufnummer verschleiern: Im Telefon-Display erscheint dann die echte Rufnummer einer Behörde, der Polizei, eines Familienmitglieds oder eben einer Bank.
Phishing-Daten werden im Internet frei zum Kauf angeboten
Die Betrüger haben sich in den verschiedenen Schritten des Verbrechens spezialisiert. Die einen erbeuten zum Beispiel mit Phishing oder auch mit Hilfe von Schadsoftware Bankzugangsdaten, die anderen nutzen diese dann für den Betrug via Anruf.
Leonard Bunjaku ist Experte für Computersicherheit in Freiburg. Er zeigt eine Webseite, für alle frei zugänglich im Internet. Dort werden Bankkunden-Daten ganz offen zum Kauf angeboten: Commerzbank, Volksbank, Deutsche Bank – 20 Euro pro Onlinezugang. Offenbar stammen die Daten aus Phishing-Angriffen.
„Es ist natürlich hoch kritisch anzusehen – für jeden zugänglich, das ist schon sehr erschreckend!“ sagt der IT-Sicherheitsexperte.
Leonard Bunjaku zeigt ein Beispiel für eine Phishing-Seite: Durch Spam-Mails werden die Kunden auf falsche Bank-Seiten gelockt und geben dort nichtsahnend ihre Logindaten ein. Manchmal werden auch einzig zum Zweck des Datendiebstahls Fake-Shops eingerichtet, bei denen Kunden beim vermeintlichen Kaufvorgang ihre Daten eingeben. Mit diesen Daten können Telefonbetrüger dann ihre Anrufe tätigen.
Unsicheres Online-Banking?
Einige Banken machten es den Betrügern ziemlich einfach, sich in fremde Konten einzuloggen, meint Experte Bunjaku. So reichen beispielsweise bei manchen Banken immer noch Nutzername und Passwort aus, um ins Onlinebanking zu gelangen. Besser: die Zwei-Faktor-Authentifizierung mittels beispielsweise einer Handy-App.
Phishing und Online-Betrug: Wie kann ich mich schützen?
Hinter solchen Anruf-Abzocken durch falsche Bankangestellte stecken professionelle Banden, die oft aus dem Ausland heraus agieren, sagt Polizeihauptkommissar Michael Lerch. Diese zu fassen und das Geld wiederzubekommen sei nahezu unmöglich.
Wie kann man sich vor ihnen schützen? „Grundsätzlich: bei unerwarteten Anrufen misstrauisch sein, insbesondere wenn man die Person, die da anruft, nicht kennt. Die Identität zu verifizieren macht natürlich immer Sinn. Also nicht einfach blindes Vertrauen haben, sondern überprüfen, hinterfragen", emfiehlt Lerch. Ganz wichtig: nicht unter Druck setzen lassen!
Was tun, wenn Geld von meinem Konto abgebucht ist?
- Erster Schritt: Sofort die Bank kontaktieren, um das Konto sperren zu lassen. Dadurch kann nicht noch mehr Geld abfließen. Wenn eine Obergrenze für Abbuchungen besteht - beispielsweise 1.000 Euro - könnten Kriminelle jeden Tag 1.000 Euro abziehen, bis das Konto leer ist.
- Zusätzlich zur Konto-Sperrung am besten auch alle dazugehörigen Karten sperren lassen. Meist ist im ersten Moment unklar, wie Kriminelle an ein Konto gekommen sind. Dafür hat jede Bank eine Sperr-Hotline.
- Wer mehrere Konten hat, sollte auch diese unbedingt auf verdächtige Aktivitäten checken. Außerdem alle Passwörter und Sicherheitsmaßnahmen ändern, die mit Finanzen zu tun haben.
- Zweiter Schritt: Anzeige bei der Polizei erstatten. Mit allen Informationen, die vorliegen. Das ist nicht nur wichtig, um den oder die Täter verfolgen zu können, sondern später vor allem, um Ansprüche gegenüber der Bank geltend machen zu können.
"Enkeltrick" und mehr Abzocke und Betrug im Internet: Die gängigen Maschen
Kriminelle denken sich viele Tricks aus, um ahnungslosen Menschen ihr Geld abzunehmen. Manche Methoden sind leicht, manche weniger leicht zu durchschauen. Eine Übersicht:
Haftet die Bank?
Grundsätzlich ist die Bank verpflichtet, bei einem nicht autorisierten Zahlungsvorgang den Betrag zu erstattet. ABER: Der geschädigte Bankkunde muss nachweisen, dass es sich tatsächlich um einen Betrug handelt, den er nicht grob fahrlässig verschuldet hat. Und das ist oft nicht einfach.
Ein Beispiel: Wenn mit einer EC-Karte Geld an einem Automaten abgehoben wird, muss ein Betrüger irgendwie an die dazugehörige PIN gelangt sein. Möglicherweise, weil die Nummer mit der Karte zusammen im Geldbeutel aufbewahrt wurde. Wie kann da ein Konto-Inhaber das Gegenteil beweisen?
Ist der PC, der für Online-Banking genutzt wird, geschützt? Durch einen Virenscanner, eine Firewall, die neuesten Updates - oder war es für Kriminelle ganz einfach, sich ins System zu hacken, weil kein ausreichender oder überhaupt kein Schutz bestand? Das könnte dann als grobe Fahrlässigkeit ausgelegt werden, und ein betrogener Bankkunde bekommt sein Geld nicht zurück. Verbraucherschützer sagen, dass viele Banken sich erstmal genau darauf berufen.
Wie lässt sich der Betrug nachweisen?
Das ist tatsächlich oft extrem schwierig. Ein Beispiel: Durch einen Phishing-Angriff, also eine gefälschte E-Mail, die angeblich von der eigenen Bank kommt, wird ein Bankkunde auf eine Betrüger-Seite geleitet und gibt dort sensible Daten ein. Mithilfe dieser Daten wird dann Geld vom Konto abgehoben. Der Vorgang wird am Ende jedoch kaum noch aufzuklären sein, denn diese Seiten verschwinden in der Regel sehr schnell wieder.
Hier selbst Beweise zu sichern, ist schwierig – es handelt sich dabei um Logdateien aus dem Internetrouter oder Telefondaten. Wenn ein Bankkunde etwa von einer manipulierten Nummer angerufen wurde, die bei ihm oder ihr aussah wie die von der eigenen Bank, ist externe Hilfe nötig. Entweder unterstützt die Polizei, wenn Anzeige erstattet wird. Oder es muss ein Fachanwalt eingeschaltet werden, wenn es um größere Summen geht und ein juristischer Streit mit der Bank ansteht. Auf jeden Fall sollte ein Phishing-Opfer seine elektronischen Geräte nicht wesentlich verändern, also zum Beispiel nicht neu aufsetzen, damit mögliche Beweise noch gesichert werden können.
Einigung mit der Bank auch ohne Streit möglich?
Verbraucherschützer sagen, dass Banken sehr oft die Schuld beim Kunden oder bei der Kundin sehen und auf grobe Fahrlässigkeit verweisen. Ein Kulanz-Angebot, dass dann manchmal kommt, sieht vor, dass ein kleinerer Teilbetrag des Schadens erstattet wird. Wer sich wirklich sicher ist, dass er nichts falsch gemacht hat, sollte sich darauf nicht einlassen und sich Hilfe holen.
Abbuchungen oder Überweisungen selbst wieder zurückholen?
Gerade bei Überweisungen ist das am schwierigsten. Eine Überweisung, die ein Kontoinhaber oder eine Kontoinhaberin "aktiv getätigt" hat, kann nicht mehr zurückgeholt werden. Dabei ist es erstmal egal, ob es das Opfer war oder ein Betrüger, denn das muss das Opfer ja nachweisen. Am einfachsten geht eine Rückbuchung bei Lastschriften. Lastschriften können beim Online-Banking selbst zurückholt werden, acht Wochen lang. Kreditkarten-Abbuchungen können reklamiert werden. Dafür gibt es bei der Bank ein Formular. Es ist etwas aufwändig, in der Regel hat man aber bis zu 120 Tage Zeit.
Phishing-Radar: Aktuelle Warnungen vor Betrug
Und noch Hinweis: Wer eine verdächtige E-Mail erhält, kann diese an die Verbraucherzentrale weiterleiten. Auf dieser Basis informieren die Verbraucherschützer auf ihren Internetseiten ständig über neue Betrugsvarianten. Personenbezogene Daten werden dabei anonymisiert. Die E-Mail-Adresse lautet: phishing@verbraucherzentrale.nrw