Dr. Marc Maisch: Social-Engineering-Taktik

Dr. Marc Maisch ist Rechtsanwalt in der Kanzlei MAISCH MANGOLD SCHWARTZ in München. Mit ihm sprechen wir über die Begriffe Vishing, Phishing sowie Authentifizierungsinstrumente.

Dr. Marc Maisch

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Marc Maisch: Es heißt, Vishing setzt dort an, wo Phishing an seine Grenzen stößt.[1] Vishing ist eine Abkürzung für Voice-Phishing und beschreibt eine Betrugsmethode, bei der Personen mündlich dazu aufgefordert werden, sensible Daten preiszugeben. In manchen Fällen werden die Opfer sogar zur Vornahme konkreter Handlungen, wie der Zahlung eines Geldbetrages gedrängt. Dabei nutzen die meist gut geschulten Betrüger den persönlichen Kontakt über das Telefon zu ihrem Vorteil und wenden Überrumpelungstaktiken an.[2]

Bei den Opfern werden häufig durch verschiedenste Tricks natürliche menschliche Instinkte wie Vertrauen, Angst, Gier oder Hilfsbereitschaft geweckt, um somit ihr Urteilsvermögen zu beeinträchtigen. Diese sogenannte Social-Engineering-Taktik verleitet die Opfer dazu, schnell zu handeln, anstatt die Situation logisch zu überdenken.[3]

Außerdem geben sich die Cyberkriminellen gerne als Bankmitarbeiter, Angestellte des Finanzamts, Anlageberater oder Vertreter einer Versicherungsgesellschaft aus, um ein Vertrauensverhältnis zu schaffen.[4] Sehr bekannt ist auch die „Microsoft“-Masche, bei der ein vermeintlicher Support-Mitarbeiter auf dem Computer des Opfers einen Virus entdeckt haben will.[5] Die Ansprache wird anschließend auf geschickte Weise ausgenutzt. Bereits ein Mindestmaß an Informationen über das Opfer ist dabei ausreichend, um in Bezug auf ein Problem, mit welchem das Opfer möglicherweise zu kämpfen hat, Dringlichkeit zu suggerieren.[6] Die zuvor in sozialen Netzwerken recherchierten privaten Informationen genügen den Betrügern in den meisten Fällen.[7]

Es sei erwähnt, dass nicht nur Privatpersonen, sondern zunehmend auch Unternehmen Opfer von Vishing werden können. Inzwischen gibt es gezielte Vishing-Angriffe, die auf Mitarbeitende im Homeoffice abzielen und erhebliche Auswirkungen haben können, wenn z.B. Anmeldedaten für unternehmensinterne Netzwerke gestohlen werden.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Marc Maisch: Beim Phishing werden E-Mails, die das Interesse des Empfängers wecken, mit Links zu Dateien oder Websites versendet, die mit Malware infiziert sind. Smishing bezeichnet das Abfangen von Daten per SMS (z.B. „Ihr Paket wurde ausgeliefert- Mehr Infos in diesem Link“). Das Opfer erhält per Textnachricht entweder die Aufforderung, einem Link zu folgen, um das eigene Konto zu „prüfen“ oder Ähnliches oder die Aufforderung, eine Telefonnummer anzurufen. Zweiteres mündet in das Vishing, während der zu öffnende Link -wie beim Phishing- zu einer gefälschten/infizierten Website führt.[8]

Smishing, Phishing und Vishing unterscheiden sich also durch die vom Betrüger genutzte Art der Kontaktaufnahme und Kommunikation. Das Ziel, persönliche Daten wie Bankdaten, Kreditkartennummern oder Zugangsdaten zu stehlen, um sich finanziell zu bereichern, ist bei allen drei Varianten das gleiche.[9]

Beim Vishing wird die betroffene Person zu eigenständigen Handlungen über das Telefon angeleitet, wobei menschliche Emotionen eine große Rolle spielen. Auch die Tatsache, dass die Betrüger schneller als bei den anderen Varianten eine Vertrauensbasis zu ihrem Opfer schaffen können, da dieses mit einer menschlichen Stimme konfrontiert ist, macht diese Form des Betrugs besonders gefährlich. Meiner Erfahrung nach entstehen bei Angriffen durch Vishing die größten Schäden, weil es den Tätern hier meist um den direkten Zugriff auf Geld geht – in meiner Fälle wurden bei der Mandantin 28.000 Euro vom Konto abgebucht, in einem anderen Fall wurde ein Mandant von einem vermeintlichen Anlageberater um seine Ersparnisse in Höhe von 55.000 Euro gebracht.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Dr. Marc Maisch: Bereits bevor der eigentliche Betrug stattfindet, werden Informationen (Name, Wohnort, E-Mail-Adresse, soziale Verhältnisse) über das Opfer in den sozialen Netzwerken recherchiert und zusammengetragen, um dem Opfer später ein authentisches Telefonat vorzutäuschen.

Anschließend versenden die Betrüger Spam-E-Mails an das Opfer, beispielsweise im Namen von Amazon oder Paypal. In aktuellen Fällen behaupten die Betrüger, das Opfer hätte etwas Teueres bestellt. Wer den Kauf stornieren will, muss eine Telefonnummer anrufen. In Wirklichkeit kontaktiert das Opfer auf diese Weise die Betrüger.[10] Diese bauen, sobald sie im Kontakt mit dem Opfer stehen, gezielt Druck auf und überrumpeln es mit verschiedensten Tricks.[11] Dabei geben sich die Gesprächspartner häufig als Vertrauenspersonen, z.B. als Bankmitarbeiter oder in einer anderen Variante auch als Angestellte im Support einer Technikfirma aus. Eine weitere Methode ist es, dem Opfer mitzuteilen, es hätte in einem Gewinnspiel gewonnen und seine Kontodaten für den Versand des Gewinns benötigt werden. Neben der Preisgeld-Masche sind die häufigsten Szenarien das „gefährdete Bankkonto“, bei dem das Ziel ist, sein Opfer dazu zu bewegen, Geld von seinem eigenen Konto auf ein „sicheres“ Konto zu überweisen und die „Steuer-Betrugsmasche“. Bei der Steuer-Betrugsmasche bedroht und verängstigt ein vermeintlicher Mitarbeiter des Finanzamts das Opfer mit erdachten Steuerschulden und hohen Geldstrafen.[12] Mithilfe dieser Taktik gelingt es den Betrügern, ihre Opfer dazu zu bringen, sensible Informationen freiwillig herauszugeben. Diese Informationen werden anschließend von den Betrügern selbst genutzt oder im Darknet verkauft.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Marc Maisch: Dass Pflichten verletzt werden, kann man nicht pauschal sagen, da es vom Einzelfall abhängt. Ob ein Sorgfaltspflichtverstoß in derart gesteigertem Maß vorliegt, ist unter anderem von der Professionalität des Angriffs und der konkreten Situation abhängig. Bei grob fahrlässigem Verhalten muss es sich auch in subjektiver Hinsicht um ein unentschuldbares Fehverhalten handeln, welches das gewöhnliche Maß erheblich übersteigt.

Ein Verschulden auf Seiten des Opfers ist in der Regel dann anzunehmen, wenn Zugangsdaten zum Online-Banking (Kennung und Passwort + TAN) am Telefon einer Person mitgeteilt werden. Diese Handlung stellt immer zugleich eine Verletzung der Sorgfaltspflichten des Bankkunden bei der Wahrung der Vertraulichkeit von Zugangsdaten dar. Diese Pflichten können den Allgemeinen Geschäftsbedingungen einer Bank für ein Girokonto entnommen werden. Gleiches gilt, wenn Dritten der Zugang oder der Einblick in sonstiger Weise verschafft wird.

Wenn es dem Täter aber gelingt, ohne Zutun und ohne Kenntnis des Opfers auf das Bankkonto zu gelangen, z.B. weil er die Bank mit einem gefälschten Brief zur Änderung der Kunden-Stammdaten oder -Kontaktdaten veranlasst hat oder sich eine zweite SIM-Karte angelegt hat, um SMS-Tans zu empfangen, sehe ich erstmal keinen Verschuldensvorwurf. In allen Fällen sollten daher die Umstände des Vishings mit Unterstützung von IT-Forensikern ermittelt und jede Form der unautorisierten Überweisung genau geprüft werden, bevor man sich gegenüber der Bank geschlagen gibt.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Marc Maisch: Wenn man eine Nachricht erhält, die behauptet, dass Geld vom eigenen Konto abgebucht wurde oder werden soll, sollte man nicht unüberlegt handeln. Zunächst sollte man überprüfen, ob tatsächlich beispielsweise Geld von PayPal oder einem anderen Zahlungsdienstleister abgebucht wurde oder ein Umsatz vorgemerkt ist. Dabei ist es wichtig, dass man niemals Links in unerwartet eingegangenen Mails oder SMS anklickt, sondern die entsprechende Website eigenständig aufruft, indem man die Website-Adresse in die Adressleiste des Browsers eintippt.

Finger weg von Anlageberatung über das Telefon. Die Täter wissen genau, wie sie die Opfer mit kleinen Investments und vermeintlich unglaublichen Renditen anlocken können, nur um sie später mit falschen Zahlen zu täuschen und zu hohen Provisions- oder Steuerzahlungsforderungen zu nötigen. Der Telefonterror endet oft erst dann, wenn die Telefonnummer gewechselt wird.

Außerdem sollte bei einer Anrufaufforderung nicht die in der E-Mail angegebene Nummer gewählt werden oder auf die E-Mail in einer anderen Weise weiter eingegangen werden. Stattdessen sollte man die richtige Nummer des jeweiligen Unternehmens oder der Bank auf deren offiziellen Webseiten recherchieren und auf diesem Weg den Support kontaktieren und nach Klarstellung bitten.[13] Anrufe von unbekannten Nummern sollten am besten gar nicht erst entgegengenommen werden. Da die Täter auch von vermeintlich bekannten oder deutschen Nummern anrufen können: Ist man bereits in ein Gespräch verwickelt worden, sollte das Telefonat beendet und die Nummer des Anrufers blockiert werden. Die Täter haben unendliche Geduld, wieder und wieder anzurufen – welcher Dienstleister würde das denn so machen??

Grundsätzlich sollte man persönliche Daten oder Zugangsdaten niemals am Telefon verraten oder bestätigen und lieber etwas misstrauisch sein, um sich vor dieser Form des Betrugs zu schützen. Wichtig ist natürlich auch, dass man sich laufend mit diesem Thema befasst, sich mit Angehörigen und Freunden darüber austauscht und am Ball bleibt, da die Täter laufend neue Maschen entwickeln.

Herr Dr. Maisch, vielen Dank für das Gespräch!