Nepper, Schlepper, Bauernfänger

Wer keine TANs auf Phishing-Seiten eingibt, muss auch keine Angst vor ungewollten Abbuchungen haben, so die landläufige Meinung. Ohnehin seien die Angriffe leicht zu erkennen, nicht zuletzt durch die ständigen Warnungen und Hinweise in allen Medien. Nur Ober-DAUs würden auf Links in Phishing-Mails klicken und ihre Kontodaten Betrügern in die Hände geben. Die Banken stoßen ins gleiche Horn: Alles kein Problem, bislang sei kaum ein Kunde zu Schaden gekommen.

Doch die Daten über Betrugsfälle beim Online-Banking zeigen das Gegenteil. Allein in Berlin wurden von Anfang dieses Jahres bis Ende August rund 120 Fälle zur Anzeige gebracht - höchster registrierter Einzelschaden: 29 000 Euro. Die Opfer sind in allen Berufsgruppen zu finden. Auf die immer besser formulierten Mailtexte der PIN/TAN-Spendenaufrufe fallen sogar Banker herein. Obendrein verbreiten sich auf Homebanking spezialisierte trojanische Pferde immer mehr. Grund genug, das Thema Sicherheit beim Online-Banking einmal näher unter die Lupe zu nehmen.

Paradigmenwechsel

Trickbetrügereien, um an Passwörter und Identitäten zu gelangen, sind seit langem eines der zentralen Probleme des Internet. Phishing (Passwort Fishing) ist nur eine Ausprägung solcher Angriffe und seit längerem durch Angriffe auf eBay- und PayPal-Konten bekannt. Seit 2004 steigt auch die Zahl der Betrugsversuche im Bankenbereich rapide an. Deutsche Anwender erhalten Mails mit der Aufforderung, für eine Sicherheitsüberprüfung auf dem Homebanking-Server ihre Kontodaten und eine oder mehrere TANs einzugeben. Die Links in der Mail führen statt auf den Bankserver auf eine täuschend echt nachgemachte Phishing-Seite. Die dort eingegebenen Daten landen statt bei der Hausbank bei den Betrügern, die mit PIN und TAN eine Überweisung auf ein anderes Konto vornehmen.

Anfangs registrierten die Mailprovider einige hundert Mails pro Monat. Innerhalb kurzer Zeit stieg die Zahl sprunghaft. Mitte März 2004 zählte der Mailprovider Messagelabs weltweit über 200 000 Phishing-Mails für Banken, Bezahldienste und Internetauktionshäuser pro Monat. Anfang 2005 waren es bereits 100 000 am Tag.

Die Texte aktueller Lock-Mails sind in verständlichem Deutsch verfasst und immer mehr Empfänger fallen auf die Betrugsversuche herein. Die Anti-Phishing-Working-Group geht davon aus, dass die Betrüger eine Trefferquote von fünf Prozent erzielen. Bei ihren Raubzügen konzentrieren sich die TAN-Fischer auf die großen Institute Postbank, Deutsche Bank, Sparkasse, Volksbanken und Citibank. Zwar sind die Phishing-Mails in der Regel völlig ungerichtet und erreichen oft den falschen Empfänger - Citibank-Kunden erhalten vermeintliche Mails der Deutschen Bank. Da schätzungsweise 30 Prozent aller Bankkunden Online-Banking nutzen, landen die Mails nicht selten doch im richtigen Postkasten.

Allein die Postbank verzeichnete 2004 rund 2,3 Millionen Online-Kunden und ist deshalb bevorzugtes Ziel. Das erklärt auch den hohen Anteil der zurzeit kursierenden Postbank-Betrugs-Mails. Trotz aller Warnhinweise der Banken, dass sie niemals Mails mit Links zu Sicherheitsüberprüfungen verschicken würden und ihre Klientel solche Mails einfach löschen soll, landen weiterhin genügend Anwender auf den Seiten der TAN-Diebe.

Dreisprung

Um das Konto eines Opfers auszuplündern und dabei so gut es geht die Spuren zu verwischen, nutzen die Drahtzieher der Phishing-Angriffe zwei oder mehrere Mittelsmänner. Mit den geklauten Bankdaten überweist Täter A einen Betrag auf das Konto eines oftmals deutschen Strohmannes. Der wird in der Regel über dubiose Foren und Mails angeworben und stellt sein Konto für Überweisungen bereit. Dafür soll er beispielsweise zehn Prozent der Summe erhalten, die über ihn transferiert wird. Das von Täter A empfangene Geld zahlt der Strohmann abzüglich seiner Provision anschließend bei Western Union ein und sendet dem Drahtzieher den Auszahlungscode, der sich damit in einer der in 190 Ländern vertretenen Western-Union-Niederlassung das Geld auszahlen lässt.

Da das Western-Union-Transfersystem ohne Konten funktioniert, lässt sich danach der Empfänger nicht mehr ermitteln. Klar ist nur, dass der größte Teil der Zahlungen in Richtung Russland geht. Die Drahtzieher sitzen aber auch in den USA, Asien und der EU. Einzig der Strohmann ist schnell ermittelt, der von den Phishern beim Anwerben im Unklaren gelassen wurde, woher die Überweisungen stammen. Dass das Angebot allerdings nicht ganz koscher ist, dürfte dennoch klar gewesen sein. Seit die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Mitte des Jahres die Kreditinstitute aufgefordert hat, auf die Tätigkeiten von Geldwäschern zu achten, warnen sogar vereinzelt Banken auf ihren Seiten vor Anwerbeversuchen für „Finanzagenten“.

Unter bestimmten Umständen kann eine Bank das Leerräumen eines Kontos schnell rückgängig machen oder gleich verhindern. Ab Überweisungsbeträgen von 12 500 Euro greifen nämlich im Rahmen der Geldwäscheprävention besondere Kontrollsysteme, um einen Verdacht zu überprüfen. Das wissen aber auch die Phisher. Um die Kontrollen zu unterlaufen, überweisen sie statt einer großen Summe mehrere kleine Beträge. Da für dieses auch Murphing genannte Vorgehen mehrere TANs erforderlich sind, fragen die Phisher manchmal bis zu zehn TANs ab.

Ist das Geld dann vom Konto verschwunden, ist guter Rat teuer. Zeigten sich in den Anfangstagen des Phishing die Banken noch kulant und übernahmen ab und zu den Schaden, so weisen sie mittlerweile jegliche Ersatzansprüche ab und raten, den Betrug zur Anzeige zu bringen.

Sitzt der Geld waschende Finanzagent in Deutschland oder in der EU, ist der Fall meist schnell geklärt. Schwieriger wird es für die Ermittlungsbehörden, wenn bereits die erste Überweisung in ein Land außerhalb der EU ging. Dann müssen sie über ein Rechtshilfeersuchen um Unterstützung beim Verfolgen der Verdächtigen bitten. Bis alles in die Wege geleitet ist, sind die heißen Spuren in der Regel erkaltet und die Täter über alle Berge.

Wenig hilfreich beim Kampf gegen Phishing erweist sich die deutsche Gesetzgebung. Das Versenden von Phishing-Mails und das Betreiben einer Phishing-Seite stellt in der Regel nur eine straffreie Vorbereitungshandlung zum Computerbetrug dar und rechtfertigt noch keine Ermittlungen. Erst wenn ein Konto mittels der geklauten TAN erleichert wurde und das Opfer Anzeige erstattet hat, dürfen die Kriminalbeamten loslegen.

So wundert es nicht, dass beim Kampf gegen Phishing bisher kaum echte Erfolge erzielt wurden. Über die Anklage der Strohmänner wegen Geldwäsche und das Abschalten der Phishing-Seiten sind die Ermittlungsbehörden und Banken im Wesentlichen nicht hinausgekommen.

Im US-Staat Kalifornien sind Phishing-Versuche seit Anfang Oktober verboten und werden mit einer Geldbuße von 2500 US-Dollar bestraft. In Großbritannien fordert ein Gesetzesentwurf schon für das Verschicken von Phishing-Mails einen zehnjährigen Gefängnisaufenthalt.

"Risiko Online-Banking"
Weitere Artikel zum Thema Online-Banking finden Sie in der c't 22/2005:
Risiken beim Online-Banking	S. 148
Tricks der Phisher und Tools zur Abwehr	S. 154

(dab)