Phishing for financial agents oder die Mär vom schnellen Geld*

Das Phänomen „Phishing“ ist schon seit längerem in aller Munde und wird inzwischen häufig als Synonym für das Ausspähen von Daten oder Geldbetrügereien im Internet verwandt. Strafrechtlich gesehen ist jedoch in den seltensten Fällen der Tatbestand des Betruges gem. § 263 Abs. 1 StGB einschlägig.

Gemeinsames Merkmal aller Formen von Phishing ist im Regelfall eine Täuschungshandlung, welche das Phishing-Opfer zu einem Tun oder Unterlassen veranlasst, sei es bewusst oder unbewusst. Phisher fischen (engl. „fishing“) nach personenbezogenen Daten, um diese für ihre Zwecke zu missbrauchen.

Das „Ph“ von „Phishing" entstammt der Phreaker-Szene. Als Phreaker werden im Szene-Jargon Telekommunikations-Hacker bezeichnet. Insbesondere in den 60er – 90er Jahren machten einige namhafte Phreaker mit Tonfrequenz-Hacks (Blue Boxing) im amerikanischen Telefonnetz von Ma Bell (auch „Mother“ genannt) bzw. heute AT&T von sich reden. Nach dem Blue-Box Exploit kamen die Calling Card-Hacks.

Da das Phreaken immer eine Täuschung des Systems oder Operators beinhaltet, besteht eine gewisse Verwandtschaft zum Phänomen Phishing. Grundsätzlich lässt sich Phishing in zwei Kategorien unterteilen:

„Social-Phishing“ aka „social engineering“
Bei der Variante des „Social-Phishing“ baut der Phisher via Email oder Web eine sog. Legende gegenüber seinem Opfer auf, d.h. er schafft ein Vertrauensverhältnis mittels einer Scheinidentität. Bsp.: Manager einer südafrikanischen Bank oder eines russischen Transportunternehmens bitten um Mithilfe bei einer finanziellen Transaktion/ Warensendung. Im Gegenzug wird dem Opfer eine Provision versprochen. Bei dieser Form von Phishing muss es nicht zwangsläufig zu technischen Manipulationen im System des Opfers kommen. Vielmehr verleitet der Phisher auf der Grundlage des Vertrauensverhältnisses sein Opfer zu selbstschädigenden (oder sonstigen) Handlungen, die förderlich für die eigentliche Haupttat des Phishers sind. Darunter fallen beispielsweise die Weitergabe von PIN und TAN, die Übermittlung von personenbezogenen Daten oder das Mitteilen einer Kontoverbindung zum Zwecke angeblicher Transferzahlungen. Letztlich entscheiden die Qualität der Täuschung und die Naivität/ Gutgläubigkeit des Opfers über den Taterfolg bzw. Misserfolg.

Das Grundprinzip des „Social-Phishings“ ist alles andere als neu und auch nicht sonderlich innovativ. Letztlich handelt es sich um eine neue Variante des „social hacking“, besser bekannt als „social engineering“. Social Engineering ist eine der ältesten und effektiven Formen des System-Hackings. Zumeist führt es schneller zum Ziel als jede technische Form von Hacking. Social Engineering setzt bei der größten Schwachstelle eines jeden Systems an, nämlich entweder direkt beim Kopf des Systems (SysOp/ Admin) oder bei einem Angehörigen des Systems (User), der mit möglichst vielen Rechten ausgestattet ist. Dem Täter fällt der Taterfolg quasi in den Schoß, da er sich das Vertrauen seines Opfers erschleicht. Eine aufsetzbare Firewall oder einen Anti-Spy-Bot für Menschen gibt es leider nicht.

Durch gezielte Anreize, phantasievolle Geschichten oder sonstiges bewegt der Phisher sein Opfer dazu, persönliche Informationen an ihn weiterzugeben. Der klassische Haustürbetrüger agierte letztlich nicht viel anders. Seine Täuschungshandlung bestand im Vorzeigen eines schön anzuschauenden Hochglanzprospektes. Außerdem musste er manierlich erscheinen (am besten Schwiegersohntyp im Seidenhemd), ein überzeugendes Auftreten besitzen und gut reden können.

Wenn man sich die Vorgehensweise der Social-Phishing-Angriffe im Internet näher anschaut, so verwundert es häufig, dass diese Art von Phishing überhaupt fruchtet. Gerade in der Vergangenheit strotzten die Phishing-Mails der sog. Nigeria-Connection vor sprachlichen Kollateralschäden. Auch schienen sich die Opfer keine Gedanken darüber zu machen, dass erfolgreiche Manager einer südafrikanischen Bank auf Freemailer wie HotMail/ Yahoo/ etc. ausweichen mussten, um ihre Lockangebote an den Mann zu bringen. Nun muss man den heutigen Opfern zugute halten, dass sich die Phishing-Szene durchaus weiterentwickelt hat. Regelmäßig trifft man auf professionell gestaltete Webseiten, „beglaubigte Urkunden“ sowie wohlklingende Unternehmens- und Domainnamen. Häufig werden bereits existierende Webseiten namhafter Unternehmen perfekt gefälscht.

Die schiere Masse an potentiellen Opfern und die immer besser werdenden Varianten des Social Phishings, machen die betrügerischen Spielarten per Internet zu einem lohnenden Massengeschäft für die organisierte Kriminalität. Weltweit haben sich kriminelle Kartelle gebildet, die über ein weit gespanntes Netzwerk verfügen und den Globus nach Landeskennungen unter sich aufgeteilt haben. Deutsche werden i.d.R. zum Opfer von Ostblock- Tätern, auch wenn zunächst der Kontaktpartner aus anderen Regionen der Welt zu stammen scheint. Letztlich erfolgen die Zahlungen fast ausnahmslos per Western Union oder MoneyGram in Richtung Ostblock-Staaten.

„Technical“- oder “mixed�-Phishing
Beim sog. “technical-� oder “mixed-“Phishing bedient sich der Täter neben der einleitenden täuschenden Geschichte technischer Hilfsmittel, um sein Opfer zu schädigen. So wird per Email oder auf Webseiten versucht, das Opfer dazu zu verleiten, einen Dateianhang oder ein Link zu öffnen. Fällt das Opfer darauf herein, so werden zumeist Schadprogramme in das System des Opfers eingeschleust. Die Funktionsweise kann mannigfaltig sein. Denkbar sind beispielsweise Sniffer oder Keylogger, die PIN und TAN-Nummern beim Onlinebanking abgreifen oder Active-X-Skripte, die den Browser „entführen“ und dem Opfer vorgaukeln, er besuche die Webpage seines Kreditinstitutes. Im Endeffekt dienen die Schadprogramme allesamt dazu, an geheime Daten des Opfers heranzukommen. Beim reinen „technical“-Phishing wird das System ohne Umweg über den User direkt von einem Schadprogramm oder Exploit attackiert und infiziert.

Phänomen des „Finanzagenten“
Wer sich den Jahresbericht 2005 der Zentralstelle für (Geldwäsche-) Verdachtsanzeigen (FIU Deutschland) beim BKA anschaut, dem wird auffallen, dass im Jahr 2005 mit 346 Anzeigen das Phänomen "Phishing" und "Finanzagenten“ dominierend war. Das Phänomen des Finanzagenten ist recht schnell anhand eines einfachen Beispiels erklärt:

Ein Otto-Normal-Verbraucher, nennen wir ihn Karl, erhält eines Tages eine Phishing-Mail. In dieser Email wird ihm von einem fiktiven Unternehmensangestellten / Scout mitgeteilt, dass man einen verlässlichen Partner suche, um finanzielle Transaktionen über Deutschland abwickeln zu können. Als Begründung für ein Ausweichen auf einen deutschen Partner werden irgendwelche Steuervergünstigungen oder örtliche Ordnungsvorschriften genannt. Kunden des Unternehmens, so die Anleitung des Phishers, würden einfach auf das Konto von Karl einzahlen und Karl müsse dann nur noch die Summe abzüglich einer Provision von 7% per MoneyGram oder Western Union - aufgesplittet in 5 Teilbeträge (Anm: "Smurfing") - an verschiedene Empfänger in Russland transferieren. Spätestens an dieser Stelle sollte Karl eigentlich ein Licht aufgehen, doch er stimmt der ganzen Geschichte per Email oder telefonisch zu und übermittelt seine Kontodaten an das vermeintliche Unternehmen in Russland. (Anm.: Manche Phisher schicken auch gleich ganze Arbeitsverträge mit und bauen Haftungsklauseln ein, um die Sache augenscheinlich seriöser zu gestalten). Nach kurzer Zeit wird Karl bereits wieder kontaktiert und es wird ihm mitgeteilt, dass innerhalb der nächsten zwei Tage auf seinem Konto eine Zahlung i.H.v. 10.000 € der Firma X eingehe. Der Betrag wird in der Tat Karls Konto gutgeschrieben. Freudig läuft Karl zu seiner Bank, hebt den gesamten Betrag in bar ab und überweist die vereinbarten Teilbeträge abzüglich seiner Provision sofort nach Russland per Western Union oder MoneyGram. Danach teilt er noch den Transfercode seiner Kontaktperson per Email mit. Einige Tage später erhält Karl eine Vorladung von der Polizei (Anm: Häufig kommt es auch direkt zu einer Durchsuchung). Ihm wird vorgeworfen Tatbeteiligter eines Onlinebanking-Hacks zu sein. Karl fällt aus allen Wolken. Bei der Firma X befand sich ein Trojaner auf dem Computer, der die PIN und TAN beim Onlinebanking ausspionierte und an den Phisher übermittelte. Dieser loggte sich sofort auf dem Konto der Firma X ein und überwies 10.000 € auf das Konto von Karl in der Hoffnung, dass dieser das Geld sofort weiter nach Russland per Western Union schicken würde.

Was soeben auf lockere Art und Weise beschrieben wurde, kommt leider häufiger vor als man denkt. Es ist erschreckend, wie viele Menschen sich auf derartig unseriöse „Geschäftsvorschläge“, die ihnen in einer einfachen Massen-Email übermittelt werden, einlassen. Die Statistik und Erfahrungen aus der Praxis lassen erahnen, dass die Anzahl der "gefischten Finanzagenten" im Laufe des ersten Halbjahres 2006 gegenüber 2005 noch weiter zugenommen hat. Zugegebenermaßen sind für derartige Konzepte eher Menschen empfänglich, die in finanzieller Not leben oder einfach strukturiert sind.

Da die Täter i.d.R. nicht zu ermitteln sind, bleibt der gesamte Schaden am Finanzagenten hängen. Strafrechtlich muss er sich entweder wegen Beihilfe zum (gewerblichen) Computerbetrug gem. §§ 263a Abs. 1, 27 StGB verantworten oder wegen Geldwäsche gem. § 261 Abs. 1 StGB (letzteres ist ausgeschlossen, wenn die Beihilfe zum Computerbetrug greift, § 261 Abs. 9 S. 2 StGB). Kann dem Finanzagenten kein Vorsatz bzgl. der Haupttat nachgewiesen werden, so verbleibt zumindest der Tatbestand der leichtfertigen Geldwäsche gem. § 261 Abs. 1 Nr. 4 a), Abs. 5 StGB. Hier können sich die wenigsten erfolgreich exkulpieren. Im Übrigen kommt auf den Finanzagenten ein Rückzahlungsanspruch des Geschädigten aus ungerechtfertigter Bereicherung gem. § 812 Abs. 1 S. 1 Alt. 2 BGB (Eingriffskondiktion) zu.

Fazit:
Das Grundkonzept ist eigentlich immer das gleiche. Menschen werden mit Versprechungen auf schnelle und hohe Gewinne bei einem Minimum an Aufwand zu illegalen Verhaltensweisen verleitet. Sie zahlen in jedem Fall für ihre Naivität die Zeche, da sie neben dem Geschädigten in dem ganzen Phishing-Geldwäsche-Konstrukt das schwächste Glied in der Kette sind. Die Frage, warum ein seriöses ausländisches Unternehmen tausende von Euro oder teure Elektronikartikel über einen persönlich völlig Unbekannten laufen lassen sollte, scheinen sich die meisten schon gar nicht mehr zu stellen. Vielleicht ist es aber auch einfach nur schön von Zeit zu Zeit 10.000 € über das eigene Konto wandern zu sehen. Willkommen im Internet!

Online seit: 17.07.2006
Kurz-Link zum Artikel: http://miur.de/314
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren