Dr. Maximilian Greger: Vishing ist ganz allgemein Trickbetrug im Internet

Dr. Maximilian Greger ist Rechtsanwalt in der Kanzlei SNP Schlawien Partnerschaft mbB in München. Mit ihm sprechen wir über Phishing, Vishing sowie weitere Betrugsmethoden.

Dr. Maximilian Greger

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Maximilian Greger: Vishing ist (wie auch Phishing oder Smishing) ganz allgemein Trickbetrug im Internet. Die Bezeichnung „Vishing“ steht für „Voice Phishing“ (Phishing wiederum ist ein Wortspiel aus „password“ und „fishing“). beim Vishing versuchen Betrüger, per Telefonanruf oder über Sprachnachrichten an Geld oder persönliche Daten der Betroffenen zu kommen. Teilweise auch voll automatisiert. Die mittlerweile marginalen Kosten der Internettelefonie machen es den Betrügern finanziell sehr leicht, aus dem Ausland zu agieren.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Maximilian Greger: Vielleicht ist es interessant zu wissen, dass zwar der Begriff „Vishing“ recht neu ist. Die Betrugsmasche per Telefon ist aber viel älter als über das Internet. Die Betrüger gehen also wieder zurück zu den Ursprüngen. Datenleaks und billige Internettelefonie machen es ihnen leichter. Nun zu den Begrifflichkeiten:

Vishing habe ich ja schon erklärt.

Phishing dürfte der bekannteste Begriff sein. Dabei geben sich Kriminelle als vertrauenswürdige Personen oder Unternehmen aus. Sie kommunizieren in der Regel über gefälschte Webseiten bzw. E-Mails. Die Kommunikationsform ist also nicht das akustische Signal, sondern lesbarer Text.

Ein Beispiel aus meiner Praxis: Kriminelle verschafften sich Zugriff auf die E-Mail-Korrespondenz zwischen einer Mandantin und ihrer Kunden (die Kundin hatte Ware im mittleren sechsstelligen Volumen bestellt). Die Kriminellen gaben sich nun als meine Mandanten aus („klinkten“ sich also in den Mailverkehr nahtlos mit einer Fake-Mailadresse ein) und baten um Überweisung an eine geänderte IBAN. Diese war in Ungarn … das Geld wurde dann leider von dem Kunden auf dieses geänderte Bankkonto überwiesen … und war weg!

Smishing ist im Prinzip das Gleiche wie Phishing, nur per SMS oder anderer Kurznachrichtendienste (Smishing setzt sich aus den Worten „SMS“ und „Phishing“ zusammen).

Es ist aus meiner Sicht aber nicht notwendig, sehr streng zwischen diesen Begriffen zu unterscheiden. Sie alle haben am Ende das gleiche Ziel, nämlich Daten oder Geld der Opfer zu erlangen. Man kann auch alles einfach „Phishing“ nennen.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Dr. Maximilian Greger: Beim Vishing kommt es beispielsweise häufig vor, dass Betroffene von ihren „vermeintlichen“ Bankmitarbeitern angerufen werden. Ein angeblicher Cyberangriff (oder ein anderer triftiger Grund, der angeblich eine Gefahr für das Konto darstellt) macht es angeblich notwendig, die Daten per Telefon „abzugleichen“. Dabei gehen die Betrüger nicht plump, sondern sehr geschickt vor. Sie triggern die Emotionen der Opfer (durch große Hilfsbereitschaft, Freundlichkeit, Komplimente, vertrauensbildenden Smalltalk etc.). Zudem spiegeln die Täter meistens eine erhebliche zeitliche Dringlichkeit vor, die zusätzlich Druck auf die Opfer ausübt. Anfällig für Vishing-Anrufe sind besonders ältere oder alleinstehende Menschen.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Maximilian Greger: In der Regel kann man diese Frage mit einem klaren „Ja!“ beantworten. Der Bundesgerichtshof (BGH) zählt es zu den Pflichten der Bankkunden, die Gefahr einer Fälschung so weit wie möglich auszuschalten. Das heißt, dass der Kunde Warnungen der Bank beachten muss und insbesondere folgende verdächtige Vorgänge niemals ignorieren darf:

–          Aufforderung zur Abgabe von mehreren TANs,

–          grobe Rechtschreibfehler in einer angeblichen E-Mail der Bank oder

–          Auffordert der Bank, ihre Website über einen Link aufzurufen.

Die Betrüger arbeiten aber mittlerweile immer geschickter. Dadurch sind gefälschte Mails oft nicht mehr so leicht zu erkennen. Eine Mitschuld des Opfers dürfte hingegen dann entfallen, wenn die Täter technische Angriffsmethoden wie z. B. Malware mit Erfolg einsetzen (das wäre dann „Phishing“). Das ist Software, die unbemerkt im Hintergrund auf dem Rechner des Opfers läuft und Daten ausspäht. Wenn es dadurch zu einem finanziellen Schaden kommt, muss die betroffene Person aber alles ihr Zumutbare getan haben, um einen solchen Angriff zu verhindern. Denn bekanntlich kann auch aktuelle Virenschutzsoftware nicht immer die neuesten Schadprogramme erkennen. Das kann dann dem Kunden nicht zu Last gelegt werden. Dennoch: in solchen Fällen sind die betroffenen Kunden in der Darlegungspflicht. Sie müssen also darlegen, welche Schutzmaßnahmen sie ergriffen hatten.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Maximilian Greger: Beim Vishing sind zunächst mal die allgemeinen Präventionsregeln wichtig, die ich schon zuvor genannt habe. Gerade auch am Telefon muss man sehr misstrauisch sein, wenn beispielsweise

–          der Bankmitarbeiter nach TAN oder PIN-Nummern fragt,

–          das Finanzamt eine sofortige Zahlung (sonst: „doppelte Gebühren“) fordert,

–          der „technische Support“ eines großen Unternehmens anruft.

–          der Anrufer von einer Mobiltelefonnummer anruft oder sich ungewöhnlich umgangssprachlich ausdrückt.

Eine Besonderheit beim Vishing ist aber die psychologische Komponente, gegen die man sich schwieriger wehren kann: Im persönlichen Gespräch gelingt es „geschulten“ Betrügern besonders gut, starken psychischen Druck aufzubauen. Dadurch können sie dann die Opfer zu Handlungen oder Entscheidungen veranlassen, die diese – rational – so nie getroffen hätten. Ein Schlüssel zur Prävention ist hier sicherlich die umfassende vorherige Aufklärung über solche Anrufe durch Banken oder andere gefährdete Branchen, gerade bei älteren oder alleinstehenden Menschen. Zumindest sollte jeder Anrufer, den man nicht persönlich kennt, verifiziert werden. Dazu kann man beispielsweise die offizielle Nummer des Unternehmens, der Bank oder der Behörde wählen und nachfragen, ob dort die entsprechende Person arbeitet und ob das Anliegen dieser Person zutrifft. Wenn das nicht gelingt oder man auch anhand der angeblichen Dringlichkeit oder Freundlichkeit misstrauisch wird, sollte man reagieren! Ich denke da gerade an einen Zeitungsbericht über eine alte Frau, die einen Vishing-Versuch frühzeitig erkannt hatte. Sie gab sich am Telefon aber weiter ahnungslos. Beim vereinbarten Treffpunkt, bei dem Geld übergeben werden sollte, griff dann stattdessen die Polizei zu. Derartige Raffinesse kann man nicht jedem Betroffenen abverlangen. Zumindest aber sollte das Gespräch unvermittelt beendet werden. Zudem ist dann unverzüglich die Polizei informieren. Trotz der Aufklärung ist Vishing gefährlich. Denn Betrüger gelangen immer leichter an vermeintlich „weiche“ personenbezogene Daten (z. B. Wohnort, Geburtsdatum, Kinder etc.). Wenn dann der Betrüger im Gespräch auf solche Daten Bezug nimmt, schafft er auf Anhieb eine größere Vertrauensgrundlage, die eine Überrumpelung des Opfers erleichtert.

Herr Dr. Greger, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.