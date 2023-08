„Dachte, es kann nur ein echter Mitarbeiter sein“: Sparkassen-Kundin verliert tausende Euro an Betrüger

Von: Bjarne Kommnick

Betrüger haben viele Wege, um ihr Ziel zu erreichen. Der Fall einer Sparkassen-Kundin zeigt, wie täuschend echt die Kriminellen auftreten können.

Bremen – Die Betrugsversuche von Cyber-Kriminellen im Internet scheinen immer vielfältiger zu werden. Alleine zwischen April und August dieses Jahres warnte das Computer-Notfallteam der Sparkassen-Finanzgruppe vor zehn neuen Betrugsmaschen, vor denen sich die Kunden in Acht geben sollen. Der Fall einer Sparkassen-Kundin aus München zeigt, dass selbst explizite Warnungen oft nicht ausreichen. Mit dem Schaden stehen Verbraucher häufig alleine da.

„Kann nur echter Mitarbeiter sein“: Telefonbetrüger kennt Daten von Sparkassen-Kundin

Zu den häufigsten Betrugsmaschen würden betrügerische Telefonanrufe, Phishing-Mails und Banking-Trojaner zählen. Das hat auch Claudia P. aus München erfahren müssen, wie die ARD in der Sendung Plusminus berichtet. Am 27. Juni erhielt die Sparkassen-Kundin einen unscheinbaren Anruf. Auf der anderen Seite der Leitung habe sich ein Mann gemeldet, der sich als Mitarbeiter ihrer Sparkasse ausgegeben habe. Insgesamt warnen Experten bei bestimmten Nummern nicht ans Handy zu gehen, um Betrüger zu vermeiden.

Die Bankkundin ahnte nicht, dass es sich dabei um einen Betrüger handeln könnte. Immerhin soll der vermeintliche Bankmitarbeiter ihre Daten samt Adresse, Geburtsdatum und weiteren Informationen gekannt haben. „Und dann habe ich gedacht, das kann nur ein echter Mitarbeiter sein, weil wer soll sonst meine Kontonummer haben“, erklärte die Kundin gegenüber der ARD.

Betrüger versuchen ihr Glück häufig über Anrufe bei ihren Opfern. © Karl-Josef Hildenbrand/dpa

Betrüger gibt sich als Sparkassenmitarbeiter aus und droht Opfer mit Kontoschließung

Der Mann habe sich bei der Frau erkundigt, ob sie noch nicht in ihr Mail-Postfach geschaut hätte. Laut dem Betrüger wurde die Frau darin aufgefordert ihr Push-Tan-Verfahren zu verifizieren, also jener Sicherheitsprozess, der für die Bestätigung einer Online-Zahlung nötig ist. Der Betrüger erklärte demnach, dass es der Kundin innerhalb von zwei Tagen nicht mehr möglich sei, online zu zahlen, wenn sie dieser Aufforderung nicht Folge leisten würde.

Unabhängig vom Betrug ist es in der Praxis von Banken tatsächlich üblich, in bestimmten Abständen – häufig einmal im Quartal – das eigene online Banking aktuell verifizieren zu müssen, um den Zugang nicht zu verlieren. Überschreitet die Frist, müssten Kunden erst einmal wieder Kontakt mit der Bank aufnehmen, um ihr Online-Banking zu entsperren. Doch genau das nutzen die Betrüger unter anderem, um unrechtmäßig an Geld zu gelangen. Immer wieder versuchen Kriminelle auch mit einem Fingerprint-System, Sparkassen-Kunden zu täuschen.

Sparkassen-Kundin erhält täuschend echte Mail und SMS von Cyber-Betrügern

Wohl auch deshalb schöpfte die Sparkassen-Kundin zunächst keinen Verdacht. Der Fake-Bankmitarbeiter erklärte ihr zudem am Telefon, dass er dabei helfen könnte, der Aufforderung der Bank nachzukommen, und zwar „jetzt gleich sofort, er würde mir was schicken per SMS“, so die Kundin.

Noch während des Telefonates sei eine für sie echt aussehende SMS ihrer Sparkasse auf dem Handy der Kundin eingegangen. Auch dieses Verfahren ist bei echten Banken nicht ungewöhnlich. Jedoch habe sie nicht geahnt, dass sie in diesem Fall Betrügern einen Zugang zu ihrem Online-Banking verschafft hatte, weil es sich um eine täuschend echte Phishing-Mail handelte. Anschließend folgt eine ebenfalls täuschend echte E-Mail in ihrem Postfach. Auch der Link in der SMS führt sie auf eine Seite, die von der originalen Sparkassen-Website kaum zu unterscheiden ist.

Tausende Euro verlor eine Sparkassen-Kundin, weil sie auf eine täuschend echte Phishing-Mail hereinfiel. © suedraumfoto/IMAGO

„Kriminelle mittlerweile professioneller“: Schlechtes Deutsch in Phishing-Mail nur noch eine Seltenheit

Das Bundesamt warnt: „Während Phishing-E-Mails bis vor einigen Jahren meistens dadurch auffielen, dass die Anrede unpersönlich oder der Nachrichtentext in schlechtem Deutsch verfasst war, gehen Kriminelle mittlerweile professioneller vor“. Tippfehler oder seltsame Umlaute seien im Text nur noch selten ein eindeutiger Hinweis auf einen Phishing-Versuch. Auch bei gut formuliertem Texten sollten Verbraucher deshalb wachsam sein.

Was passiert, wenn Verbraucher darauf trotzdem hineinfallen, zeigt auch der Fall der Sparkassen-Kundin. Denn nur kurze Zeit, nachdem sie den Link in der SMS geöffnet hatte, hätten die Betrüger mehrere tausende Euro von ihrem Konto abgebucht. „Da kriegt man einen riesigen Schreck“, so die Kundin. Insgesamt hätten die Betrüger 4.600 Euro von dem Konto der Frau abgebucht. Auch vor einer Betrugsmasche, bei der eine Liebesbeziehung vorgegaukelt wird, warnen Experten.

Wie schütze ich mich vor Phishing-Mails? Wenn Sie also eine E-Mail erhalten, auf die mindestens eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden. Denn dann handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail: Der Text der Mail gibt dringenden Handlungsbedarf vor, etwa: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …“.



Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …“. Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben. Die E-Mail enthält Links oder Formulare. Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch kommt Ihnen das Anliegen des Absenders ungewöhnlich vor. Quelle: Bundesamt für Sicherheit in der Informationstechnik

Als ihr der Betrug aufgefallen war, sei sie sofort zu ihrer Sparkassen-Filiale gefahren. Dort sei es immerhin noch gelungen, zwei Buchungen rückgängig zu machen. Doch auf dem verbleibenden Schaden von mehr als 2.000 Euro würde die Frau selbst sitzenbleiben. Sie erklärt: „Ich habe aus meiner Sicht überhaupt nichts Unrechtes getan und daher finde ich es auch unglaublich, dass die Bank jetzt mir sagt, ich bin eigentlich selbst schuld“, weil sie auf den Link in der SMS gedrückt habe.

Laut Europäischer Bankenaufsicht bleiben zwei Drittel aller betroffenen Kunden auf Schaden sitzen

Laut der Europäischen Bankenaufsicht bleiben insgesamt zwei Drittel aller Kunden in der EU, die Opfer eines solchen Betrugsversuchs geworden sind, auf den Kosten sitzen – und das, obwohl die EU bereits beschlossen hatte, dass es angemessen sei, „dass im Falle eine Online-Zahlung die Beweislast für eine angebliche Fahrlässigkeit bei der Bank liegt, da die entsprechenden Möglichkeiten des Kunden in solchen Fällen sehr begrenzt sind“, heißt es in einer EU-Richtlinie des Europäischen Parlamentes und des Rates.

Dennoch würden Banken häufig nicht für den Schaden aufkommen und die Beweislast würde weiterhin bei Verbrauchern liegen. Das Bundesministerium für Finanzen erklärte dazu, dass Kunden „mit einem glaubhaften Vortrag über den Geschehensablauf“ beweisen könnten, dass sie nicht selbst den Zahlungsvorgang autorisiert haben.