Blog

Es ist eine alarmierende Realität im digitalen Zeitalter: kriminelle Aktivitäten, die sich über die digitale Welt erstrecken, werden immer ausgefeilter und allgegenwärtiger. Ein besonders beunruhigender Trend ist das Phishing. Als Experten für Anlagebetrug bei Ritschel & Keller sind wir uns der verheerenden Auswirkungen von Phishing Attacken auf die finanzielle Stabilität unserer Mandanten bewusst und widmen diesen Artikel diesem wichtigen Thema.

Was ist Phishing?

Phishing ist eine Form des Online-Betrugs, bei dem Täter versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendetails zu erlangen. Sie geben sich hierbei meist als vertrauenswürdige Einrichtung wie eine Bank oder Versicherung aus. Der Kontakt erfolgt dabei häufig per E-Mail, Instant Messaging oder über gefälschte Websites.

Die Mechanismen von Betrugsattacken

Die Täter von Phishing Attacken sind raffiniert und nutzen verschiedene Techniken, um ihre Opfer zu täuschen. Die am häufigsten verwendeten Methoden sind:

1. E-Mail-Phishing: Hier erhalten die Opfer eine E-Mail, die so aussieht, als käme sie von einer legitimen Quelle, wie ihrer Bank, ihrem Internetdienstanbieter oder einem sozialen Netzwerk. Diese E-Mails enthalten oft Links zu gefälschten Websites, die die Opfer dazu auffordern, ihre persönlichen Daten einzugeben.
2. Spear-Phishing: Bei dieser spezifischeren Form von Phishing zielen die Täter auf bestimmte Personen oder Organisationen ab. Sie sammeln detaillierte Informationen über ihre Opfer, um überzeugendere Betrugs-E-Mails zu erstellen.
3. Smishing und Vishing: Bei Smishing senden Betrüger SMS-Nachrichten mit betrügerischen Links oder Telefonnummern. Vishing ist das Äquivalent dazu, nur dass die Betrüger telefonisch vorgehen.
4. Pharming: In diesem Fall manipulieren die Täter die DNS-Einstellungen eines Computers oder Netzwerks, um die Opfer auf ihre gefälschten Websites umzuleiten, auch wenn sie die korrekte Adresse eingegeben haben.

Wie man Phishing erkennt und sich davor schützt

Trotz ihrer Raffinesse gibt es bei Phishing-Angriffen häufig Warnzeichen. Hier sind einige Schlüsselstrategien, um Phishing zu erkennen und sich davor zu schützen:

1. Schauen Sie genau hin: Viele Phishing-E-Mails sind von der echten Sache fast nicht zu unterscheiden. Oft gibt es jedoch kleine Hinweise. Achten Sie auf schlechte Grammatik und Rechtschreibung, seltsame oder unprofessionelle Formatierungen und E-Mail-Adressen, die nicht ganz zu der Organisation passen.
2. Verifizieren Sie die Quelle: Wenn Sie eine Nachricht erhalten, die sensible Informationen anfordert, nehmen Sie direkt mit der angeblichen Quelle Kontakt auf. Benutzen Sie dabei aber nicht die bereitgestellten Kontaktinformationen, sondern suchen Sie die korrekten Kontaktdaten selbstständig.
3. Klicken Sie nicht vorschnell: Öffnen Sie keine Anhänge und klicken Sie nicht auf Links in unaufgeforderten E-Mails, Nachrichten oder Pop-ups. Wenn Sie unsicher sind, navigieren Sie manuell zur Website, indem Sie die URL direkt in Ihren Webbrowser eingeben.
4. Nutzen Sie Sicherheitsmaßnahmen: Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Antivirensoftware auf dem neuesten Stand sind. Nutzen Sie starke, einzigartige Passwörter und aktivieren Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung.
5. Seien Sie vorsichtig mit öffentlichen WLAN-Netzen: Öffentliche Netzwerke sind oft weniger sicher und daher ein Ziel für Phishing. Vermeiden Sie es, persönliche Informationen einzugeben oder auf sensiblen Websites zu surfen, wenn Sie mit einem öffentlichen Netzwerk verbunden sind.

Neues Urteil vom LG Stade nimmt Banken in die Pflicht – positives Ende für Geschädigte

Die zugrundeliegende Situation dreht sich um einen Fall, bei dem Unbekannte ein neues Authentifizierungsverfahren im Online-Banking einer Geschädigten im eigenen Namen aktivierten und dabei unter anderem eine Überweisung von 24.890,- EUR an einen ihr nicht bekannten Dritten autorisierten. Wie die Betrüger Zugang zum Online-Banking-Konto erhielten, konnte während des Verfahrens nicht geklärt werden. Umstritten war zudem, ob die Betrüger durch grobe Fahrlässigkeit der Geschädigten an einen sogenannten Aktivierungscode kamen. Vor der Aktivierung des neuen Authentifizierungsverfahrens gab es einen Anruf bei unserer Klientin von der Telefonnummer der Hausbank durch einen vermeintlichen Bankmitarbeiter, der nach dem Eingang eines Schreibens fragte. Die Bank behauptet jedoch, keinen Anruf getätigt zu haben. Da Cyberkriminelle durch sogenanntes Call-ID-Spoofing von jeder beliebigen Nummer aus anrufen können, auch von der Nummer der eigenen Bank, konnte nicht ausgeschlossen werden, dass der Anruf tatsächlich gefälscht war.

Ob der Bank, die in dieser Hinsicht die Darlegungs- und Beweislast trägt, der Nachweis einer solchen Weitergabe während der Beweisaufnahme gelungen ist, ließ das Landgericht offen. Denn es stellte mit überzeugender und detaillierter Begründung fest, dass selbst wenn die Bank diesen Nachweis erbringen könnte, das Nennen eines solchen Aktivierungscodes im Rahmen eines sehr authentisch wirkenden Fakeanrufs keineswegs grob fahrlässig ist.

Grobe Fahrlässigkeit besteht, wenn die notwendige Sorgfalt in einem außergewöhnlich hohen Maße missachtet wurde und offensichtliche Überlegungen nicht angestellt oder das, was jedem offensichtlich hätte sein müssen, ignoriert wurde. Dabei sind die Sorgfaltspflichten, die der Bankkunde erfüllen muss, auch nach der Art des spezifischen Angriffs zu beurteilen. Es müssen immer alle objektiven und subjektiven Umstände des individuellen Falls berücksichtigt werden.

In dieser Einzelfallanalyse anerkannte das Landgericht, dass ein solcher Aktivierungscode weder ein Passwort noch eine Transaktionsnummer ist, der direkten Zugang zum Konto ermöglicht. Seine Funktion beschränkt sich vielmehr auf eine Vorstufe zur Freigabe von Überweisungen. Ohne Wissen über weitere personalisierte Sicherheitsmerkmale wie Zugangsdaten ist er für Dritte nutzlos. Im Gegensatz zu ständig genutzten Passwörtern und Benutzernamen ist eine absolute Geheimhaltung eines solchen Aktivierungscode daher nicht selbstverständlich. Für einen durchschnittlich informierten Laien ist es nicht offensichtlich, dass die Weitergabe eines Aktivierungscodes ein hohes Risiko für Missbrauch darstellt, da er davon ausgehen muss, dass sein Konto durch die Zugangsdaten ausreichend geschützt ist.

Daher ist die Bank verpflichtet, die Überweisung zu erstatten.

Was tun, wenn Sie Opfer von Phishing geworden sind?

Falls Sie trotz aller Vorsichtsmaßnahmen doch Opfer eines Phishing-Angriffs geworden sind, ist es wichtig, sofort zu handeln:

1. Ändern Sie Ihre Passwörter: Beginnen Sie mit den Konten, die kompromittiert wurden. Ziehen Sie dann alle anderen Konten in Betracht, insbesondere wenn Sie dasselbe oder ähnliche Passwörter verwenden.
2. Kontaktieren Sie Ihre Bank oder Kreditkartenanbieter: Wenn Ihre finanziellen Informationen kompromittiert wurden, informieren Sie Ihre Bank oder Ihren Kreditkartenanbieter sofort, um Betrug zu verhindern oder zu stoppen.
3. Informieren Sie die betroffene Organisation: Wenn der Phishing-Angriff so aussah, als käme er von einer bestimmten Organisation, sollten Sie diese informieren. Dadurch werden zumindest andere Kunden gewarnt und es kann gegen den Betrug vorgegangen werden.
4. Melden Sie den Betrug: Informieren Sie die zuständigen Behörden über den Phishing-Angriff, damit sie den Fall untersuchen und andere potenzielle Opfer warnen können.

Lesen Sie auch unseren Beitrag zum Bankenrecht:

Ritschel & Keller: Ihr Partner im Kampf gegen Anlagebetrug

Als Anwälte, die auf Anlagebetrug spezialisiert sind, sind wir bei Ritschel & Keller bestrebt, Sie aktiv bei der Rückerlangung verlorener Gelder zu unterstützen. Sollten Sie Opfer eines Phishing-Angriffs geworden sein, zögern Sie nicht, uns zu kontaktieren.