Ende April hat es die Investitionsbank Berlin (IBB) erwischt. Kriminelle hatten eine Fake-Seite der Landesbank erstellt. Ihr Ziel: Daten erbeuten. In Nordrhein-Westfalen war kurz zuvor die Internetseite des Wirtschaftsministeriums von Betrügern nachgebaut worden, um an die Daten von Unternehmen zu kommen, die Corona-Hilfen beantragen wollten.

Andere Betrüger locken Kunden mit gefälschten E-Mails, die scheinbar von ihrer Bank oder einem Zahlungsdienstleister kommen, auf solche Fake-Seiten. Alle Beispiele zeigen: Die Corona-Krise ruft Betrüger auf den Plan. Die Datendiebe haben es dabei auf sensible Daten abgesehen, darunter Kontoinformationen, Passwörter und Login-Daten von Bankkunden.

Phishing mit dem Corona-Trick

So warnte unter anderem die NBank am 4. Mai davor, dass in ihrem Namen Mails verschickt werden, in denen dazu aufgefordert wird, angeblich zu viel erhaltene Corona-Fördermittel zurück zu zahlen.

„Die Absenderadresse lautet in Niedersachsen corona-zuschuss@nbank.de.com. In der Anlage der E-Mail befinden sich zwei Dateien: eine „Rechtsbelehrung_Zuschussempfänger“ und eine „Bescheinigung_Finanzamt“, heißt es in einer Presseerklärung der Bank zu den fraglichen E-Mails.

Die Absender der Phishing-Mail bauen eine Drohkulisse auf. "Sie werden hiermit nochmals belehrt, dass entscheidungserhebliche Falschangaben im Rahmen Ihres Antrags auf den Corona-Zuschuss mehrere Straftatbestände erfüllen, die mit Geld- oder Freiheitsstrafe bis zu fünf Jahren geahndet werden können", heißt es in den Mails.

Gut gemachte Fälschungen

Wie groß die Dimension der Phishing-Attacken derzeit ist, lässt sich nur schwer beziffern. Allein die Verbraucherzentrale Nordrhein-Westfalen erhält aber täglich 200 bis 300 E-Mails über ihr "Phishing-Radar".

Quantitativ sei die Zahl der Phishing-Mails, die unter dem Vorwand Corona bzw. Covid-19 im Umlauf sind und sich auf Banken bzw. Zahlungsdienstleister beziehen, mit unter 100 zwar eher gering. „Qualitiativ sind diese allerdings (leider) sehr gut gemacht", sagt Dr. Ralf Scherfling, wissenschaftlicher Mitarbeiter in der Gruppe Finanzen und Versicherungen bei der Verbraucherzentrale NRW.

Warnung vor "Echtzeit"-Phishing

Dass die Diebe erfinderischer werden, merken auch die Sparkassen. So warnt das Computer-Notfallteam der Sparkassen-Finanzgruppe vor Fake-Mails, die aktuell mit Betreffzeilen wie "Ihr Online-Banking wurde eingeschränkt !" Kunden unter dem Vorwand angeblicher Wartungsarbeiten zum Aufruf der betrügerischen Web-Seite auffordern.

Dort werden dann Online-Banking-Zugangsdaten abgefragt und der Kunde aufgefordert, eine TAN-Nummer anzugeben.

Die Zahl der Phishing-Mails sei aber nur leicht angestiegen, so Thomas Rienecker, Pressesprecher beim Deutschen Sparkassen- und Giroverband (DSGV).

„Die Betrugsthemen drehen sich dabei tatsächlich verstärkt um Corona: Es geht um vermeintliche Maßnahmen, die wegen des Lockdowns oder der Lage an den Finanzmärkten ergriffen werden müssen. Auch vermeintlicher Personalausfall, auf den mit der Übermittlung von Daten reagiert werden müsse, ist häufiger Thema.“

Betrüger greifen zum Telefon

Zugenommen hat allerdings die Zahl der betrügerischen Telefonanrufe. Auch sie zielen darauf, TANs von Sparkassen-Kunden zu ergaunern. „Die Anrufer geben sich als Mitarbeiter der Sparkasse oder des Sicherheitsteams aus und fälschen hierfür sogar die Telefonnummern, um den Anschein zu erwecken, der Anruf käme wirklich von der Sparkasse“, so Rienecker.

„In Einzelfällen ist sogar bekannt, dass die Betrüger Kontostände oder Umsätze kennen“, so Rienecker. Gründe für die Anrufe sollen vermeintlich betrügerische Überweisungen oder die Bestätigung eines neuen Sicherheitssystems sein. Damit keine Rückfragen gestellt werden können, rufen die Betrüger außerhalb der Geschäftszeiten der Institute an.

Trend im Online-Handel: Schadsoftware

Bei American Express beobachtet man derzeit dagegen schon einen Anstieg der Phishing-Aktionen allerdings nicht erst seit Corona.

„Phishing-Versuche treten eher durch die Änderungen im Online-Handel seit September letzten Jahres verstärkt auf“, so Fabiana Mingrone, Geschäftsleiterin Privatkundenbereich von American Express in Deutschland. Seitdem nutzen die Online-Händler in der Regel die Mehrwege-Autorisation (3D Secure, SafeKey, Verified). So reicht eine Kartennummer mit Gültigkeit alleine nicht mehr aus, um einen Betrug durchzuführen.

Alle Kreditkartenanbieter arbeiten inzwischen mit Mehrwege-Autorisierung. In diesem Zusammenhang wird ein Einmal-Passwort während des Zahlvorganges an den Kunden verschickt. „Das Ziel der Phishing-Aktion ist es daher, Zugriff auf die privaten Kommunikationswege der Kunden zu bekommen. Es wird versucht, Schadsoftware auf Mobiltelefone zu installieren bzw. nach dem Passwort des privaten E-Mail-Kontos gefragt“, erklärt Mingrone.

Cybersicherheits-Teams im Einsatz

Wehren können sich die Banken und Zahlungsdienstleister nur bedingt gegen die Attacken auf ihre Kunden. „Das beste Sicherheitssystem ist in diesem Fall unser aufmerksamer Kunde“, so Mingrone von American Express.

Dort arbeitet ein Team von Spezialisten, die die Links in den E-Mails auswerten und mit Servicepartnern weltweit versuchen, die betroffenen Internet-Provider zu lokalisieren sowie über die laufende Aktion zu informieren. „Häufig können solche Phishing-Seiten dadurch recht schnell aus dem Internet entfernt werden“, sagt Mingrone.

Auch die Sparkassen setzen auf die Aufklärung der Kunden. „Die Sparkassen werden ihre Kunden niemals am Telefon nach Passwörtern, PINs oder TANs fragen. Wer angerufen wird oder versehentlich sogar eine TAN genannt hat, sollte sich unmittelbar mit seiner Sparkasse in Verbindung setzen“, so DSGV-Presseprecher Rienecker.

Auf der Suche nach Betrugsmustern

Im Cyber-Abwehrteam der Sparkassen-Finanzgruppe sucht man ebenfalls nach den Mustern hinter Angriffen. Mit technischen Sensoren sollen Phishing-Seiten oder Web-Server, die Schadsoftware wie Trojaner verteilen, identifiziert werden. Zudem gibt es eine zentrale Meldestelle beim Cyber-Abwehrteam.

„Hier können Sparkassen, aber auch Kunden selbst, verdächtige Aktivitäten melden. Sie können Phishing-Mails beispielsweise an die E-Mail-Adresse warnung@sparkasse.de weiterleiten, wo sie auf Spuren und Betrugsmuster hin untersucht werden“, erklärt Rienecker.  

Hilfe zur Selbsthilfe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Betroffenen Hilfe zu Selbsthilfe über die Checkliste für den Ernstfall.

Auch die Verbraucherzentralen tragen zur Aufklärung bei und informieren beispielsweise über ihr Phishing-Radar über aktuelle Betrugs-Kampagnen.

"Ob Anbieter im Schadensfall in der Regel zugunsten des betroffenen Kunden entscheiden - d.h. der Kunde bleibt nicht auf dem finanziellen Schaden sitzen - können wir nicht sagen. Uns liegen diesbezüglich aber erfreulicherweise kaum Beschwerden von Verbrauchern vor", sagt Verbraucherschützer Scherfling.