Warnung vor Online-Banking-Trojaner / Phishing

Mehr zum Thema: Internetrecht, Computerrecht, Anhang, Antivirenprogramm, Antivirensoftware, ausspähen, ausspionieren
5 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
1

Achtung! Betrüger nutzen Online-Banking-Trojaner um Konten zu plündern

Uns erreicht ein Fall eines Phishing/Pharming-Angriffs mittels eines Online-Banking-Trojaners, welcher die Zugangsdaten für das Online-Banking-System einer Sparkasse ausspioniert, um dann unberechtigte Verfügungen vorzunehmen.

Was ist ein Trojaner?

Carsten Herrle
Partner
seit 2010
Rechtsanwalt
Fachanwalt für Strafrecht
Harmsstr. 83
24114 Kiel
Tel: 04313053719
Tel: 04313053717
Web: http://www.ra-herrle.de
E-Mail:
Urheberrecht, Markenrecht, Wettbewerbsrecht, Internetrecht

Ein Trojanisches Pferd, meist kurz Trojaner genannt, ist eine Schadsoftware (Malware), welche sich in der Regel als nützliche Anwendung oder als Dokument tarnt, im Hintergrund jedoch eine andere Funktion erfüllt. In der Regel gelangen solche Trojaner als Anhang einer E-Mail oder durch sogenannte Drive-by-Downloads (das unbewusste und unbeabsichtigte Herunterladen von Software, beispielsweise beim Aufrufen einer dafür präparierten Website) auf ein PC-System.
Funktionen, die ein Trojaner erfüllen kann, sind beispielsweise das Phishing oder das Pharming.

Was ist Phishing/Pharming?

Unter Phishing versteht man den Versuch, durch gefälschte E-Mails, Websites oder Kurznachrichten die Daten eines Internet-Benutzers auszuspähen. Abgesehen haben es die Verbreiter von Schadsoftware dabei häufig auf die Zugangsdaten zu Online-Banking-Systemen, um mit diesen Daten dann unberechtigte Verfügungen vorzunehmen.

Das sogenannte Pharming ist eine weiterentwickelte Form des Phishing, bei welcher eine Weiterleitung auf gefälschte Websites durch die Manipulation der DNS-Abfrage von Webbrowsern geschieht.

Im uns vorliegenden Fall sorgt der Trojaner auf einem infizierten PC-System dafür, dass der Nutzer des Systems bei dem Versuch das Online-Banking-System der Sparkasse zu nutzen, unbemerkt auf eine gefälschte Website umgeleitet wird. Die gefälschte Website ist von der echten kaum zu unterscheiden. Durch die Manipulation der DNS-Abfrage des Webbrowsers, wird auch die richtige Internet-Adresse angezeigt, weshalb der Nutzer keinen Verdacht schöpft.
Gibt der ahnungslose Nutzer hier seine Zugangsdaten ein, so wird er dazu aufgefordert, eine Sicherheitsüberprüfung durchzuführen. Hierbei wird eine durch den TAN-Generator generierte TAN (Transaktionsnummer) abgefragt. Nach Eingabe dieser Nummer gelangt man zurück auf die Startseite des Online-Banking der Sparkasse.

Mit den eingegebenen Daten nehmen die Verbreiter des Trojaners dann eine Überweisung auf ein meist im Ausland befindliches Bankkonto vor, im uns vorliegenden Fall knapp 2.000,- €.

Rechtsprechung

Besondere Vorsicht beim Online-Banking ist seit einem Urteil des Bundesgerichtshofs aus dem Jahr 2012 geboten. Dem Urteil zugrunde lag ein Pharming-Angriff auf den Kläger. Dieser hatte auf einer gefälschten Online-Banking-Seite mehrere TAN eingegeben.
Infolge dieser Eingaben fand kurze Zeit später eine unberechtigte Verfügung von seinem Bankkonto in Höhe von 5.000,- € statt. Der Bundesgerichtshof hat in seinem Urteil einen Anspruch des Klägers auf Schadensersatz verneint. Der Kläger habe sich bei der Eingabe der TAN fahrlässig verhalten, da er zuvor durch eine Mitteilung auf der Online-Banking-Seite seiner Bank vor Phishing-Angriffen gewarnt worden war.
In dem Urteil heißt es hierzu:

„Nach der ständigen Rechtsprechung des Bundesgerichtshofs trägt im Überweisungsverkehr zwar regelmäßig die Bank und nicht der Kunde das Risiko, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (…). Dem Bankkunden kommt jedoch die girovertragliche Pflicht zu, die Gefahr einer Fälschung soweit wie möglich auszuschalten (…). Mangels anderweitiger vertraglicher Ausgestaltung des Haftungsmaßstabes genügte nach der vor dem 31. Oktober 2009 geltenden Rechtslage, die das Berufungsgericht seiner Entscheidung zutreffend zugrunde gelegt hat (Art. 229 § 22 Abs. 1 Satz 2 EGBGB), gemäß § 276 Abs. 1 Satz 1 BGB für ein haftungsbegründendes Verschulden des Bankkunden daher regelmäßig einfache Fahrlässigkeit (…).

Dass das Berufungsgericht aufgrund dieser Umstände einen fahrlässigen Sorgfaltsverstoß des Klägers bejaht, ist naheliegend und revisionsrechtlich nicht zu beanstanden. Dem Kläger hätte trotz fehlender optischer Auffälligkeiten der Online-Banking-Maske aufgrund des Warnhinweises und der während des Log-In-Vorgangs erfolgten Anforderung zur gleichzeitigen Eingabe von zehn TAN bewusst sein müssen, dass er sich außerhalb der "vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle" (Nr. 8 AGB) bewegt und somit nicht die Bank, sondern ein unbefugter Dritter die TAN anforderte (…). Dies gilt umso mehr, als für den Zugang zum Online-Banking niemals eine, geschweige denn mehrere TAN, sondern alleine Kontonummer und PIN abgefragt werden (…). Der Vorwurf fahrlässigen Verhaltens gründet demnach nicht auf dem Umstand, dass der Kläger überhaupt Opfer eines Pharming-Angriffs geworden ist. Ein solcher Angriff dürfte im Regelfall schwer zu erkennen sein (…). Der Fahrlässigkeitsvorwurf beruht vielmehr darauf, dass der Kläger diesen Angriff trotz massiver Anhaltspunkte und Warnungen im Einzelfall nicht erkannt und diesbezügliche Verdachtsmomente ignoriert hat (…)."
(BGH, Urteil vom 24. 4. 2012, Az.: XI ZR 96/11)

Zwar trat am 31. Oktober 2009 eine Gesetzesänderung bezüglich der Erbringung und Nutzung von Zahlungsdiensten in Kraft (§§ 675j – 676c BGB), nach welcher ein Verbraucher nur bei „grober Fahrlässigkeit" haftet, ab wann in dem Verhalten eines Bankkunden eine „grobe Fahrlässigkeit" zu sehen ist, lässt jedoch sowohl das Urteil als auch das Gesetz offen.

Empfehlung:

Beachten Sie unbedingt Warnhinweise Ihrer Bank bezüglich aktueller Phishing- und Pharming-Angriffe.

Öffnen Sie niemals den Anhang einer Nachricht von einem Ihnen unbekannten Absender! Eine darin möglicherweise enthaltene Schadsoftware kann sich sonst auf Ihrem PC-System installieren und im Hintergrund unbemerkt Ihre Daten ausspähen oder Sie auf betrügerische Websites umleiten. Löschen Sie solche Nachrichten einfach. Wer tatsächlich eine berechtigte Forderung hat, wird sich wieder bei Ihnen melden.

Auch bei Nachrichten von Ihnen bekannten Absendern ist Vorsicht geboten. Betrügern kann es gelingen, einen E-Mail-Account zu „hacken" um dann über diesen die Schadsoftware zu verbreiten. Scannen Sie also im Zweifelsfall jeden Anhang mit einem aktuellen Virenscanner oder erfragen Sie bei dem Absender, ob die Nachricht tatsächlich von diesem stammt.

Wie können Phishing-Mails erkannt werden?

Phishing-Mails oder auch SPAM-Mails werden häufig an Rechtschreib- bzw. Grammatikfehlern oder an Anhängen mit einem Formular zum Ausfüllen erkannt. Manchmal haben SPAM-Mails auch eine Kontoverbindung direkt im Anschreiben enthalten. Bei dubiosen E-Mails werden die Adressaten oftmals gar nicht mit dem richtigen Namen angesprochen.
Bei angeblich abgeschlossenen Abos oder anderen Verträgen sollte man stutzig werden. Hat man zufällig wirklich gerade ein Abo oder anderen Vertrag abgeschlossen, so sollte man – neben dem entsprechenden Vertragspartner – auf die richtige Abo oder Vertragsnummer achten.

Was tun, wenn das PC-System bereits infiziert ist?

Haben Sie in einem unachtsamen Moment doch einmal einen solchen Anhang geöffnet, so sollten Sie ihr PC-System schnellstmöglich mit einem geeigneten Virenscanner auf einen Befall mit Schadsoftware überprüfen und diese gegebenenfalls entfernen.
Überprüfen Sie Ihre Kontoumsätze auf unberechtigte Verfügungen und melden Sie diese Ihrer Bank.
Außerdem sollten Sie, sofern Sie eine unberechtigte Verfügung feststellen, Anzeige bei der Polizei erstatten.

Sollten Sie Opfer eines Phishing-Angriffs geworden sein, können Sie sich gerne mit mir

telefonisch (0431/3053719)

per Fax (0431/3053718)

oder per email (contact@ra-herrle.de) in Verbindung setzen.