ArchivDÄ-TitelSupplement: PRAXiSSUPPLEMENT: PRAXiS 1/2006Phishing, Pharming, Kreditkartenklau: Die Tricks der Onlinemafia

SUPPLEMENT: PRAXiS

Phishing, Pharming, Kreditkartenklau: Die Tricks der Onlinemafia

Althoetmar, Kai

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: pa
Foto: pa
Mit immer neuen Tricks nehmen Betrügerbanden Kreditkarteninhaber und Homebanker ins Visier.

Es roch nach einem Schnäppchen: Billiger als alle anderen Flüge sollten die Flugtickets sein, mit denen das Onlinereisebüro warb. Nur der Bezahlvorgang war sonderbar: Erst waren die Kreditkartendaten anzugeben, dann erschien eine Fehlermeldung. Die Tickets sollten nun per Postzahlungsanweisung beglichen werden. Am Ende wartete der Kunde vergebens auf Tickets. Wer Pech hatte, zahlte für nichts doppelt – per Kreditkarte und per Zahlung mit der Post. Ein typischer Fall neuen Kreditkarten- und Onlinenepps, der erstmals im Frühjahr 2005 aufkam. Aufgedeckt wurde er vom Duisburger Antivirus-Softwareunternehmen Panda Software, mit dessen Hilfe bislang entdeckte BetrügerWebsites gelöscht wurden.
„Manipulierte Websites sind heute eine der beliebtesten Methoden, Internetnutzer um ihr Geld zu bringen“, berichtet Pressesprecher Markus Mertes, dessen Unternehmen auch dem Bundeskriminalamt zuarbeitet. „Dieser Trend hat in 2005 kräftig zugelegt.“ Panda-Direktor Luis Corrons beobachtet, dass Onlineattacken heute weniger über den massenweisen Versand von Werbemüll (Spam) geführt werden. Vielmehr wollen die Täter „den User finanziell richtig ausnehmen“ – was Spam-Versendern mit Werbemails für Potenzpillen nur selten gelingt.
Hinter der neuartigen Bauernfängerei stecken Internetbetrüger, die mit gefälschten E-Mails („Phishing“) und getürkten Websites („Pharming“) Internetnutzer dazu verleiten, vertrauliche Kontodaten, PIN- und TAN-Nummern preiszugeben. Einmal im Besitz der Daten räumen die Täter die Konten ab oder shoppen ausgiebig mit den Kreditkartendaten der Opfer.
Der vor allem in Europa und den USA operierenden Internetmafia gelingt es sogar, Suchmaschinen im Internet so zu manipulieren, dass diese nach Anfragen auf gefälschte Internetseiten verweisen – die denen renommierter Reisebüros oder Banken verblüffend ähnlich sehen. Ein anderer Trick: Die Hacker „brechen“ in die DNS-Server (Domain Name System) ein und ändern die Zuordnung von Internetseiten zu ihren IP-Adressen, einer Ziffernkombination, die vergleichbar einer Telefonnummer ist. Gibt der User dann die URL-Adresse seiner Bank ein, landet er auf einer täuschend ähnlichen Webseite, auf der er den Betrügern nichtsahnend Kontodaten preisgibt.
Die Täter können dann abkassieren. „Pharming, auch ,DNS-
Spoofing‘ genannt“, sagt Kriminalhauptkommissar Herbert König vom Landeskriminalamt NRW, „ist daher eine sehr effektive Möglichkeit, um Internetnutzer auf gefälschte Seiten zu leiten und dort
eine Phishing-Attacke durchzuführen.“ Der Angriff läuft auf rein technischer Ebene ab, „der Angreifer kompromittiert die Infrastruktur des Internets“.
Auch in Internetforen beschaffen sich die Täter die vertraulichen Daten. Die „Carder-Foren“ sind Marktplätze der Kreditkartenmafia. Hier gibt es Kartendaten zu kaufen, mit und ohne PIN. Schalten die Behörden solche Hehlerplätze im Netz ab, gründen sich flugs neue.
Mit Link gelinkt
In anderen Fällen kommen die Täter über „Phishing“-E-Mails an Kreditkartendaten. Mit gefälschten E-Mails werden die Onlinebanker aufgefordert, ihre Kreditkarten- oder Bankdaten „zur Überprüfung“ oder „Modifizierung der Kundendaten“ auf einer Internetseite einzugeben, die der der Bank oder der Kreditkartenfirma täuschend ähnlich sieht. Andernfalls, heißt es, werde der Zugang zum Konto oder die Karte gesperrt. Hinter diesen E-Mails stecken immer Betrüger. Der Nepp erfolgt in zwei Schritten. Das online erbeutete Geld, so LKA-Experte König, wird zunächst „auf das Konto eines zuvor angeworbenen ,Finanzagenten‘ überwiesen, der es meistens per Western Union in ein osteuropäisches Land transferiert“ – wo es bar ausgezahlt wird, ohne dass der Empfänger ein Konto haben muss.
Tim Werthmann von der Arbeitsgruppe Identitätsschutz im Internet (A-I3) der Ruhr-Universität Bochum betont, „dass eine Institution wie eine Bank nie über ein unsicheres Medium wie das Internet einen Kunden auffordern würde, sensible Daten wie zum Beispiel TAN-Nummern in ein Webformular einzugeben“. Links in E-Mails sollte man nie direkt anklicken, sondern in die Adresszeile des Browsers kopieren.
Die Zahl der Betrugsversuche stieg 2005 nach Angaben der Ruhr-Universität um 247 Prozent gegenüber 2004. Beinahe jede 300. E-Mail diente dazu, Passwörter und PIN-Nummern auszukundschaften. Kommen die Täter zum Zug, beträgt der Schaden je Fall meist zwischen 2 000 und 20 000 Euro. Manche Opfer kommen mit dem Schrecken davon. „Teilweise konnten Beträge durch die Kreditinstitute rückgebucht werden“, berichtet König. Er nimmt für die Zukunft aber an, „dass das Internet als Tummelwiese für Betrüger zunehmen wird“. Die Tendenz gehe von Diebstahls- zu Betrugsdelikten.
Über „Trojaner“ können sich
die Täter auch direkt auf der Festplatte des Opfers einnisten. Solche Daten spionierende Schadsoftware gelangt über Anhänge gefälschter E-Mails auf den Rechner und späht den PC zum Beispiel nach PIN und TAN für das Onlinebanking aus, sobald die Datei nur geöffnet wird. „Diese Schadprogramme bleiben auf den betroffenen Rechnern zunächst inaktiv“, berichtet die A-I3-Gruppe der Ruhr-Universität. Beim nächsten Onlinebanking wird der Trojaner dann aktiv und leitet die heiklen Daten an die Täter weiter. Die können so das Konto samt Dispo abräumen – das Geld verschwindet ins Ausland. Schutz leisten nur Skepsis gegenüber verdächtigen E-Mails, aktuelle Antivirenprogramme und eine Firewall.
Fehlüberweisungsbetrug
Von einer weiteren neuen Masche berichtet das LKA Düsseldorf: „Fehlüberweisungsbetrug“. Dabei erhält ein Internetnutzer eine E-Mail oder einen Anruf, man habe irrtümlich Geld auf sein Konto überwiesen, das man dem eigentlich berechtigtem Empfänger in Osteuropa schnellstens per Western Union weiterleiten möge. Oft geht es um eine Summe von 10 000 Euro. Für die Unannehmlichkeit und die Mühe versprechen die Täter eine saftige Provision, zum Beispiel 1 000 Euro. Tatsächlich geht das Geld auf dem Konto des Neppopfers ein. Meist stammt es vom Konto eines „Phishing“-Opfers. Dann, so König, „nimmt der eine oder andere den vermeintlichen Gewinn mit und transferiert das Geld“, das kurz darauf jedoch von der Bank des „Phishing“-Opfers wieder zurückgebucht wird. Der Betrogene macht – im Beispiel – 9 000 Euro Verlust.
Auch der Betrug mit EC- und Kreditkarten treibt weiter Blüten, vor allem im Onlinebereich. Die Zahl der Fälle verharrt auf hohem Niveau. 2004 registrierte das Bundeskriminalamt 120 736 Fälle aller Arten von Betrug mit Kredit- und Debitkarten, ein Minus von knapp einem Prozent gegenüber dem Vorjahr mit 121 928 Fällen. 111 254 Karten wurden im selben Jahr gestohlen – ein Plus von neun Prozent. Gesamtschaden: 54,5 Millionen Euro. Vor allem beim Einkauf im Internet und im Auslandsurlaub sind die Risiken hoch. Die Aufklärungsquote bei Kreditkartenbetrug sank 2004 gegenüber dem Vorjahr von 54,9 auf 49,7 Prozent. Ob Geschädigte ihr Geld zurückbekamen, sagt die Statistik nicht aus.
Vor allem mit gefälschten Karten operieren die Täter. Die Ausrüstung dazu ist für wenige Hundert Euro in Elektronikfachmärkten zu haben. Kartenrohlinge werden mit gültigen Daten beschrieben, die bei Onlineeinbrüchen in die Rechner von Abrechnungsunternehmen erbeutet werden. So zog der spektakuläre Hackerangriff auf die US-Abrechnungsfirma CardSystems Solution Inc. im Mai 2005 Kreise bis nach Deutschland. Damals hatten die Täter Zugriff auf 40 Millionen Kartendaten – inklusive Kundennamen und Prüfziffern, die auf der Kartenrückseite vermerkt sind. Die in den USA geklauten Kartendaten kamen Wochen später bereits in Deutschland zum Einsatz. Die Täter verschafften sich die Klaudaten über ein Carder-Forum.
Leichtgläubige Nutzer
Im Visier haben die Täter auch leichtgläubige Kreditkartennutzer. In Deutschland waren Ende 2004 gut 21 Millionen Kreditkarten im Umlauf, fast vier Prozent mehr als im Vorjahr. Vor allem Bestellungen per Internet und Telefon sind anfällig für Missbrauch, wenn mit Karte gezahlt wird. Den Täter reichen dann schon die Daten der Kreditkarte, um die Bestellung zu tätigen.
Die Abbuchung geht zwar zulasten des Karteninhabers, die Beweislast liegt aber beim Kartenanbieter. Das schreibt das Fernabsatzgesetz vor. Der Kunde muss nur die Kreditkartenabrechnung bezahlen, für die es unterschriebene Belege gibt. Gibt es keinen Beleg, bleiben Händler oder Kreditkartenfirma auf dem Schaden sitzen. Eurocard, Visa und Co. machen den Händlern strenge Sicherheitsvorgaben und halten sich schadlos, wenn der Händler nachlässig kontrolliert hat. Am Ende zahlt aber doch der Verbraucher – über höhere Preise im Handel und die Gebühren für Kreditkarten. Kai Althoetmar


So schützt man sich gegen Kreditkartennepp
- Erste Regel beim Onlineeinkauf: „Auf grundlegende Dinge wie eine sichere, verschlüsselte Verbindung und die Daten zum Zielserver achten“, rät Herbert König, Kommissar beim LKA Düsseldorf. „In der Browser-Bar sollte das Kürzel ,https’ erscheinen, in der unteren Browser-Leiste sollte das kleine Symbol in Form eines arretierten Schlosses sichtbar sein.“
- Weil mit der PIN einer Kreditkarte auch Geld am Automaten abgehoben werden kann, ist die Geheimzahl getrennt aufzubewahren. Beim Abheben des Geldes nicht beobachten lassen.
- Wird die Karte gestohlen, sofort sperren lassen. Ab dem Zeitpunkt der Sperre haftet man nicht mehr, davor mit bis zu 50 Euro. Den Anruf zur Kartensperrung sollte eine andere Person bezeugen.
- Bei einer Kartenzahlung mit PIN-Eingabe statt Unterschrift entfällt die Haftungsbegrenzung von 50 Euro. Die Banken unterstellen im Schadensfall einen fahrlässigen Umgang mit der PIN. Neppopfer sollten der Bank an Eides statt versichern, dass sie die Transaktion nicht getätigt haben. Liegt kein Beleg mit echter Unterschrift des Karteninhabers vor, muss die Bank das Geld zurückbuchen. Vorsicht: Falsche eidesstattliche Versicherungen sind strafbar.
- Wer im Geschäft mit Kreditkarte zahlt, sollte die Karte nicht aus dem Auge lassen. Das gilt vor allem im Ausland. „Die Täter sind in nahezu allen Urlaubsländern aktiv“, warnt das Bundeskriminalamt. „Meist entwenden sie die Karten und setzen sie betrügerisch ein.“
- Misstrauen ist gegenüber mechanischen Abrechnungsgeräten geboten. Unbeobachtet können sich Betrüger mit Imprintern mehrere Zahlungsbelege anfertigen – und nachher die Unterschrift auf den Einkaufsbeleg fälschen. Augen auf, welche Währung in den Beleg eingetragen wird.
- Jede Kreditkartenabrechnung sollte man mit den Belegen vergleichen. Daher Belege aufbewahren. Reklamationen bei Abbuchungen von Kreditkartenzahlungen unterliegen einer Frist von einem Monat ab Rechnungsdatum. Reklamationen können sich zum Beispiel gegen Rechenfehler oder überhöhte Auslandsprovisionen richten. Gegen Abbuchungen, die auf Missbrauch der Kreditkarte beruhen, kann man bis zu drei Jahre vorgehen.


Telefonische Sperrung von Kredit- und EC-Karten
Zentrale gebührenfreie Sperrrrufnummer (bundeseinheitlich): 116 116. Aus dem Ausland Landesvorwahl für Deutschland vorwählen. Auch Mobilfunk- und Kundenkarten sowie Onlinekonten können über die Zentrale gesperrt werden. Der Notruf ermittelt den Herausgeber der Karte und verbindet den Anrufer mit dessen Sperrservice.
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema