Über gefälschte Mail

Phisher klauten 85.000 Euro von steirischem Konto

(Bild: © [2009] JupiterImages Corporation)

Ein Fall von versuchtem Internetbetrug ist am Freitag in der Steiermark bekannt geworden. Nach Informationen des Landeskriminalamtes haben Unbekannte über eine Pishing-Attacke 85.400 Euro vom Konto eines südsteirischen Unternehmens abgebucht. Dem Unternehmer gelang es aber, die Rückforderung über seine Hausbank einzuleiten.

Die Firma war in einer E-Mail, die dem Anschein nach von einem Bankinstitut stammte, dazu aufgefordert worden, eine Rechnung zu bestätigen. Eine Angestellte kam dem nach: Sie folgte dem Link in der Mail und gab auf einer Homepage, die sich daraufhin öffnete, sämtliche geforderten Daten ein. Noch während die Frau später mit der Hotline der Bank telefonierte, weil sie Verdacht geschöpft hatte, wurden vom Konto der Firma 85.344 Euro abgebucht und auf ein Konto in Saudi-Arabien überwiesen.

Phishing-Mails kaum noch von seriösen Mails zu unterscheiden
"Internetbetrüger gehen immer professioneller vor. Gerade in Bezug auf Phishing-Mails", warnte Rene Kornberger vom LKA Steiermark, der diesen Fall – der für die Firma und die vertrauensselige Mitarbeiterin noch einmal glücklich ausgehen dürfte – zum Anlass nimmt, auf die Gefahren des Phishings hinzuweisen. Früher, so Kornberger, seien die einschlägigen Mails durch offensichtliche Rechtschreibfehler oder stilistische Auffälligkeiten relativ leicht zu erkennen gewesen. Mittlerweile seien sie allerdings von den Mails seriöser Unternehmen kaum noch zu unterscheiden.

"Immer misstrauisch sein"
"Prinzipiell sollte man immer misstrauisch sein, wenn es in unaufgefordert zugesandten Mails um sicherheitsrelevante Bereiche geht", so Kornberger. Kein seriöses Unternehmen fordere per Mail, SMS oder Anruf die Bekanntgabe von Kontodaten, Codes oder anderen Zugangsdaten. Auf keinen Fall sollte man, wenn es um die Eingabe solche Daten geht, einen Link aus einem unaufgefordert zugesandten E-Mail verwenden. Sollte es dafür bereits zu spät sein, empfiehlt der LKA-Beamte, das entsprechende Konto sofort sperren zu lassen - auch dann, wenn man selber nicht Kontoinhaber ist.

Auf verschlüsselte Verbindungen achten
Internetseiten, auf denen man sensible Nutzerdaten eingeben muss, sind an den Buchstaben "https" in der Adresszeile der Website und einem Schloss- oder Schlüssel-Symbol im Internetbrowser zu erkennen. Um sicherzustellen, dass man nur die sichere Seiten benutzt, sollte man den eigenen Bankzugang unter den "Favoriten" im Browser bereitstellen. Auch die Verwendung von Passwörtern - mindestens acht Zeichen und aus zufälliger Reihenfolge von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehend - sollte sorgfältig erfolgen.

Bankkunden in der Regel gut abgesichert
Grundsätzlich, beruhigt die Arbeiterkammer, sind Bankkunden gegen diese Art des Betrugs gut abgesichert: Unerlaubte Abbuchungen können bis zu 13 Monate lang zurückgefordert werden. Ohne Abbuchungserlaubnis liege zudem kein gültiges Rechtsgeschäft vor. Die Bank müsse der Rückforderung nachkommen, egal ob sie dann den Betrag ihrerseits vom unbekanntem Täter zurückbekommt. Gegen solche Fälle seien die Institute in der Regel versichert.