Wie erhalten die Kriminellen Zugriff auf Ihr Konto?
Die Volksbank selbst warnt auf ihrer Webseite vor unzähligen Spielarten von Onlinebanking-Betrug, mit denen Volksbank-Kund:innen um ihr Geld gebracht werden.
Häufig wählen die Betrüger den Weg über eine Phishing-E-Mail oder Phishing-SMS, die angeblich von der Volksbank stammt und dazu dient, die Zugangsdaten „abzufischen“. Klicken arglose Kunden auf einen enthaltenen Link, gelangen sie auf eine perfekt gefälschte Webseite, die vorgaukelt, es handele sich um das echte Log-in zum Onlinebanking. Werden dann die Zugangsdaten eingegeben, können die Kriminellen diese mitlesen und die Daten für ihre Zwecke nutzen.
„Sie sind Opfer von Onlinebanking-Betrug? Wir prüfen Ihren Fall. Setzen Sie auf unsere technische und rechtliche Erfahrung.“
Eine weitere Variante ist das Vishing, also das Abfischen von Zugangsdaten und TANs durch einen Telefonanruf. Die anrufenden Personen sind gut geschult, sodass bei den betroffenen Kund:innen kein Verdacht aufkommt. In der Regel wird die Telefonnummer der Bank angezeigt, sodass die Betroffenen darauf vertrauen, dass sie mit Mitarbeiter:innen der Volksbank sprechen.
Call-ID Spoofing
Die Anzeige einer fremden Telefonnummer nennt man Spoofing. Vertrauen Sie daher nicht auf Nummern, die Ihnen angezeigt werden. Im Zweifelsfall: Rufen Sie zurück, denn dann landen Sie beim Anschlussinhaber. Call-ID Spoofing ist gesetzlich nach § 66 TKG verboten.
Bei beiden Varianten wird in aller Regel ein künstlicher Zeitdruck aufgebaut. Die Kund:innen denken, sie müssten sofort handeln, beispielsweise indem ihnen weisgemacht wird
- Betrüger hätten Geld vom Konto abgebucht und man müsse sofort handeln, um den Schaden zu verhindern oder
- sie hätten vergessen, ihr Sicherheitsverfahren zu aktualisieren und das Onlinebanking werde gesperrt, wenn sie nicht umgehend handeln.
Welche Betrugsvarianten gibt es?
Im Jahre 2023 warnte die Volksbank unter anderem vor folgenden Betrugsvarianten:
- Phishing-SMS: In einer täuschend echt aussehenden SMS behaupten die Kriminellen, dass die Registrierung ihrer VR SecureGo plus App bald auslaufe. Dazu schicken sie einen Link mit, der die Kund:innen zu einer Phishingseite leitet. Dort sollen die Kund:innen persönliche Daten und Zugangsdaten eingeben. Diese Daten nutzen die Betrüger dann, um sich Zugang zum Onlinebanking zu verschaffen und Überweisungen zu tätigen.
- Phishing-E-Mail: Ebenso gehen die Betrüger:innen per E-Mail vor. In dem Glauben, Volksbankmitarbeiter benötigten die Zugangsdaten zum Onlinebanking, um das Auslaufen der VR SecureGo plus App zu verhindern, klicken Volksbank-Kund:innen auf einen Link, werden zu einer täuschend echt aussehenden Webseite geleitet und geben dort ihre Zugangsdaten ein.
- Phishing-E-Mail Schadcode: Betrüger versenden eine E-Mail mit Schadsoftware als Dateianhang in Form von OneNote-Dateien. Die Kund:innen öffnen den Anhang und die Schadsoftware installiert sich auf dem Rechner. Danach haben die Betrüger Zugang zum Onlinebanking und können das Konto leerräumen.
- Phishing digitale girocard: Die Betrüger gelangen hier durch Datendiebstahl an die Zugangsdaten zum Onlinebanking und kontaktieren die Kund:innen dann auf verschiedenen Wegen, um eine TAN zu erhalten. Hierbei geben sich diese als Mitarbeiter der Volksbank aus. Mit der ergaunerten TAN werden dann digitale Girokarten freigeschaltet und diese verbrecherisch zu Abbuchungen vom Konto verwendet.
- Anruf von angeblichen Microsoft-Mitarbeitern: Oft rufen die Betrüger ihre Opfer direkt an. Die Kund:innen werden aber auch per SMS kontaktiert oder erhalten eine Meldung auf Ihrem Rechner mit einer Aufforderung, das angebliche Supportpersonal von Microsoft anzurufen. Rufen Bankkund:innen die Nummer an, geben die Betrüger vor, dass ein Befall von Schadsoftware vorläge oder sie über angebliche technische Neuerungen informieren möchten oder auch, dass sie durch die Mithilfe der Bankkunden technische Probleme zu analysieren versuchen. Geht Ihnen der Angerufene in die Falle, schalten sich die Betrüger über eine Fernwartungs-Software auf den Rechner der Betroffenen auf. Im Anschluss fordern sie ihr Opfer dazu auf, als Test eine Online-Überweisung durchzuführen. So erspähen die Betrüger die Banking-Zugangsdaten ihrer Opfer und führen im Hintergrund andere Überweisungen durch.
Das Geld ist weg – Was nun?
Als Erstes müssen Sie schnellstmöglich Ihre Bank informieren und die Rückerstattung der Beträge verlangen. Zudem sollten Sie ihre Bank auffordern, schnellstmöglich die Empfängerbank zu kontaktieren, damit die erhaltenen Gelder dort gesichert werden.
Mindestens genauso schnell sollten Sie den Zugang zu Ihrem Online-Banking sperren. Dies können Sie selbst durch mehrfaches Eingeben einer falschen PIN erledigen.
Sodann sollten Sie auch die Empfängerbank kontaktieren, diese über den Betrug informieren und um Sicherung der Gelder bitten.
Schließlich ist es wichtig, dass Sie ein möglichst genaues Gedächtnisprotokoll erstellen und mögliche Beweise wie Phishing-E-Mails oder SMS sichern.
Last but not least: Erstatten Sie eine Strafanzeige bei der Polizei. Dies ist wichtig, um später über eine Akteneinsicht in die Ermittlungsakte weitere wichtige Informationen über das Vorgehen der Betrüger zu erhalten, die in einem späteren Klageverfahren helfen können.
Haftet die Volksbank?
Der Gesetzgeber gibt in betrogenen Bankkund:innen in § 675u BGB einen Anspruch auf Erstattung gegen die Bank, wenn die Abbuchungen von Ihnen nicht autorisiert waren. Dies ist in der Regel der Fall, wenn die Zugangsdaten zum Onlinebanking auf einer Phishing-Webseite oder auf sonstige Weise Dritten mitgeteilt wurden.
Die Bank kann sich wiederum gegen diesen Anspruch verteidigen, indem sie sich auf § 675v Abs. 3 BGB beruft. Hiernach haftet der Zahlungsdienstleister nicht, wenn der Schaden durch eine vorsätzliche oder grob fahrlässige Verletzung der Pflicht zur Geheimhaltung der Zugangsdaten entstanden ist.
Eine solche grob fahrlässige Pflichtverletzung kann vorliegen, wenn z.B. eine Phishing-Email so offensichtlich nicht von der Volksbank stammen konnte, dass dies jedem hätte auffallen müssen. Ob Ihnen grobe Fahrlässigkeit vorgeworfen werden kann, ist aber immer eine Frage des Einzelfalls.
Wenn Sie sich tatsächlich den Vorwurf grober Fahrlässigkeit gefallen lassen müssen, müssen Sie Ihren Erstattungsanspruch gegen die Bank aber noch nicht begraben. Denn der Bank kann ein Mitverschulden vorzuwerfen sein. Wir meinen, dass die Bank besonders auffällige Transaktionen (z. B. 70 Einzelüberweisungen in Höhe des gleichen Betrags innerhalb kurzer Zeit) bemerken und stoppen muss. Ein nicht ausreichendes Sicherheitssystem kann ein Mitverschulden der Bank begründen.
Hinzukommen können Schadensersatzansprüche gegen die Bank bestehen, wenn diese die Empfängerbank zu spät kontaktiert hat und deshalb Gelder nicht gesichert wurden, die hätten gesichert werden können.
Was wir für Sie tun können
Als Fachanwälte für IT-Recht prüfen wir Ihren Fall nicht nur rechtlich, sondern berücksichtigen auch die technischen Hintergründe der Tat. Mit Ihnen gemeinsam erfassen wir den Sachverhalt vollständig und geben Ihnen unsere Einschätzung, wie die Erfolgsaussichten stehen.
Wenn Sie uns beauftragen, machen wir Ihre Ansprüche auf Erstattung der abgebuchten Beträge gegenüber der Bank zunächst außergerichtlich mit einem Anwaltsschreiben geltend. Sollte die Bank in diesem Stadium letztlich jegliche Erstattung verweigern, reichen wir in Abstimmung mit Ihnen Klage beim zuständigen Gericht ein.
Sowohl gerichtlich als auch außergerichtlich ist der Abschluss eines Vergleichs mit der Bank möglich. Hierdurch können Sie einen Teil des verlorenen Geldes sicher zurückerhalten. Wie viel dies sein wird, hängt aber vom Einzelfall ab. In vielen Fällen konnten wir Banken dazu bewegen, einen guten Teil des Schadens zu tragen.
Weiterführende Links
Schreiben Sie einen Kommentar