TZehntausende Euro vom Konto abgebucht: So gefährlich sind Cyberangriffe

Landkreis Cuxhaven. „Das Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Öffnen Sie den Aktivierungslink.“ - so oder so ähnlich hören sich viele Fake-SMS an. Immer ausgestattet mit einem Link, den man auf keinen Fall anklicken sollte. Solange keine Bestellung ausgeführt wurde, sind sie leicht zu enttarnen. Anders sieht es bei gefälschten E-Mails aus, die mittlerweile täuschend echt aussehen. Es hat sogar einen Namen: Phishing. Aber was passiert eigentlich, wenn man dann doch den Link anklickt? Aus Versehen oder mit Absicht.

Ein Opfer eines Cyberangriffes meldet sich zu Wort

Eine Person aus dem Kreis Cuxhaven, die nicht erkannt werden möchte, wurde Opfer einer Cyberattacke. Bei ihr begann alles mit einer E-Mail. Für die Person war es nicht erkennbar, dass es sich um eine Fälschung handelte. Der Link wurde von der Person geklickt, die Daten fleißig eingetippt und das Ganze dann auch bestätigt.

Einige Tage später klingelte das Telefon bei unserem Opfer. Es war Freitag. Die Uhr zeigte 11.25 Uhr. „Die Nummer kenne ich. Das ist meine Hausbank“, sagte das Opfer des Angriffes im Nachgang. Am anderen Ende der Leitung meldete sich ein vermeintlicher Herr Weber. Er arbeite für die Hausbank und wolle fragen, ob in den letzten Minuten eine Überweisung getätigt worden sei. „Die Frage nach der Überweisung habe ich zwar verneint, aber nicht weiter hinterfragt. Ich hatte gerade Handwerker vor Ort und in der Nacht davor nur eine Stunde geschlafen“, erinnert sich der Geschädigte.

Der als Herr Weber getarnte, aber falsche Bankberater, versichert der Person, es sei alles in Ordnung. Es müsse nur eben die App der Bank geöffnet werden, damit er die Buchungen alle sofort retournieren könne. Teamarbeit sei von Herrn Weber und dem Bankkunden gefordert. Der Bankberater gab ab, er würde den inhaltlichen Teil erledigen, der Kunde müsse nur bestätigen.

Betrugsmasche ist der Polizei bereits bekannt

Nach dem Öffnen des Links einige Tage zuvor ist es der zweite Fehler des Opfers. Das wähnt sich in Sicherheit, weil er immer noch davon ausgeht, mit seiner Bank zu telefonieren. Laut Polizei ist das aber keine Garantie dafür, nicht doch einer Betrugsmasche aufzusitzen. „Durch die Internettelefonie wird beim Angerufenen auf dem Display eine Rufnummer vom Anrufer angezeigt, die tatsächlich nicht vom Anrufer genutzt wird. Der Anrufer kann die Rufnummer, die angezeigt wird, frei wählen oder erfinden“, teilt die Polizei Bremerhaven mit.

Der Polizei sind diese Fälle bekannt. Der Vorgang heißt „Call-ID-Spoofing“. Die Polizei rät deshalb, immer skeptisch bei Anrufen von Banken zu sein - vor allem, wenn dieser Kommunikationsweg sonst nie verwendet wird.

Auch die Bremische Volksbank ist mit der Betrugsmasche vertraut. Das Geldinstitut warnt seine Kunden auf seiner Website. „Bei jeder Online-Anmeldung unserer Kunden werden diese explizit darauf hingewiesen, dass ein Bankmitarbeiter niemals nach PIN oder TAN-Nummern telefonisch fragen würde“, sagt Thomas Trenz von der Bremischen Volksbank.

Die Zeit drängt - ein Ende ist nicht in Sicht

Zurück zum Fall des Betrugsopfers aus dem Kreis Cuxhaven. „Ich stand unter Zeitdruck und das Gespräch zögerte sich immer weiter raus. Ich betonte immer wieder, dass ich keine Zeit habe“, erinnert er sich an das Telefonat mit dem vermeintlichen Herrn Weber. Aber die IP-Adresse wollte der Bankberater auch noch abgleichen. „Und wurde in letzter Zeit etwas Online bestellt?“, fragt er, vermutlich um Zeit zu schinden. Denn es war Freitag kurz vor Mittag, kurz vor Feierabend der Bankfiliale. Mit jeder Sekunde schwand die Chance des Opfers, sein Geld zurückzubekommen.

So langsam schlichen sich beim Opfer Zweifel und Misstrauen ein. „Zwischenzeitlich habe ich versucht, auf mein Konto zuzugreifen. Das funktionierte nicht mehr. Das kam mir komisch vor. Ich erkundigte mich noch einmal nach seinem Namen, die Antwort lautete: Ja, ich bin Matthias Weber.“

Aber nicht nur das. Er kannte auch den Namen des richtigen Bankberaters des Opfers. Der habe ihm am Freitagmorgen den Auftrag gegeben, in seinem Namen beim Kunden anzurufen. Diese Auskunft wurde Herrn Weber aber zum Verhängnis.

Spätestens da macht es „klick“ beim Opfer, der das Telefonat abrupt beendete. „Denn ich weiß, dass mein richtiger Berater freitags nie arbeitet.“ Es ist somit buchstäblich fünf vor zwölf. „Ich habe die Nummer gewählt, die auch mich angerufen hatte und bin dann bei meiner Bank gelandet. Da sagte man mir, dass dort kein Herr Weber arbeite.“

Spätestens da war klar, dass er einem Betrüger aufgesessen war. Das Opfer fuhr umgehend zu seiner Bankfiliale. Dort liefen die Arbeiten schon auf Hochtouren, um das Geld zurückzubuchen.

Wie viel Geld wurde dem Betroffenen gestohlen?

Die Bänker begannen noch vor ihrer Mittagspause, die Buchungen zu stornieren. Das Konto wurde sicherheitshalber gesperrt. Aber es gestaltete sich schwieriger als gedacht. Denn die betrogene Person hatte Überweisungsaufträge im Telefonat bestätigt. Das Geld war auf verschiedene Konten gewandert, das Opfer hatte bereits seinen Rechtsanwalt eingeschaltet. „Insgesamt wurden 41.900 Euro von meinem Konto abgebucht“, erzählte das Opfer.

An jenem Freitag konnten schon 25.000 Euro zurückgeholt werden. „Es wurde mir aber auch gesagt, dass 7.000 Euro definitiv weg sind, weil die vom anderen Konto gleich weiter gebucht worden sind.“ Das Betrugsopfer stellt noch am selben Tag eine Anzeige bei der Polizei. Die Ermittlungen laufen, die Hoffnung, die 7.000 Euro noch zurückzubekommen, bleibt bestehen.

Verbraucherzentrale hat viele Tipps parat

Aber wie verhalten wir uns richtig? Thomas Mai von der Verbraucherzentrale Bremen hat einige Tipps. „Ich würde nicht direkt zur Bank fahren, weil derjenige dort am Schalter meist gar nicht zuständig ist. Ich würde empfehlen, bei der Zentrale anzurufen oder zur Not auch per E-Mail, damit man einen Beweis dafür hat, dass man sich gemeldet hat“, erklärt der Fachmann. Mai rät auch dazu, seine Worte bei der Bank mit Bedacht zu wählen, um nicht des Vorwurfs bezichtigt zu werden, grob fahrlässig gehandelt zu haben. Denn dann blieben die Opfer im schlimmsten Fall auf den Kosten sitzen. Mai empfiehlt, neben der Bank auch die Polizei und einen Anwalt zu kontaktieren.

Die Augen und Ohren immer offen halten

Muss nach solchen Gaunereien das Online-Banking infrage gestellt werden? „Grundsätzlich gelten Verfahren, die zum Beispiel PIN mit TAN oder Kennwort mit TAN kombinieren, als sicher“, schreibt die Polizei Bremerhaven. Kriminelle würden eher versuchen, diese Verfahren zu umgehen. Mithilfe von Phishing-Mails - wie im Fall unseres Betrugsopfers - oder Schadsoftware werden die Zugangsdaten ausgespäht. „Vor allem Smartphones sind verstärkt Angriffen ausgesetzt, die nur dazu dienen, sensible Daten abzufangen. Deswegen sollte jeder auf die Sicherheit seines Smartphones achten“, führt die Polizei aus.

Deshalb sei es wichtig, sorgsam mit den eigenen Daten im Internet zu sein. Gefälschte E-Mails sind teilweise an den Absendern erkennbar. Grundsätzlich sollte jede nur im Ansatz auffällige SMS, Whatsapp-Nachricht oder E-Mail kritisch betrachtet werden. Dazu gehört es auch, die Links in diesen Nachrichten erst anzuklicken, wenn die Seriosität bestätigt ist.

Für die Zukunft auf jeden Fall besser abgesichert

Unser Opfer hat sofort reagiert. „Ich habe mit meiner Bank neue Zugänge und Passwörter erstellt. Das Überweisungslimit wurde auf das niedrigste Niveau gesetzt. Jetzt bin ich erstmal wieder abgesichert“, erzählt das Betrugsopfer.