Beitrag
Alexander Schultz
Phishing for financial agents oder die Mär vom schnellen Geld*
MIR 2006, Dok. 099, Rz. 1-15
1
Das Phänomen „Phishing“ ist schon seit längerem in aller Munde und wird inzwischen häufig als Synonym für das Ausspähen von Daten oder
Geldbetrügereien im Internet verwandt. Strafrechtlich gesehen ist jedoch in den seltensten Fällen der Tatbestand des Betruges
gem. § 263 Abs. 1 StGB einschlägig.
2
Gemeinsames Merkmal aller Formen von Phishing ist im Regelfall eine Täuschungshandlung, welche das Phishing-Opfer zu einem Tun oder Unterlassen
veranlasst, sei es bewusst oder unbewusst. Phisher fischen (engl. „fishing“) nach personenbezogenen Daten, um diese für ihre Zwecke zu missbrauchen.
3
Das „Ph“ von „Phishing" entstammt der Phreaker-Szene. Als Phreaker werden im Szene-Jargon Telekommunikations-Hacker bezeichnet. Insbesondere
in den 60er – 90er Jahren machten einige namhafte Phreaker mit Tonfrequenz-Hacks (Blue Boxing) im amerikanischen Telefonnetz von Ma Bell
(auch „Mother“ genannt) bzw. heute AT&T von sich reden. Nach dem Blue-Box Exploit kamen die Calling Card-Hacks.
4
Da das Phreaken immer eine Täuschung des Systems oder Operators beinhaltet, besteht eine gewisse Verwandtschaft zum Phänomen Phishing.
Grundsätzlich lässt sich Phishing in zwei Kategorien unterteilen:
5
„Social-Phishing“ aka „social engineering“
Bei der Variante des „Social-Phishing“ baut der Phisher via Email oder Web eine sog. Legende gegenüber seinem Opfer auf, d.h. er schafft ein Vertrauensverhältnis mittels einer Scheinidentität. Bsp.: Manager einer südafrikanischen Bank oder eines russischen Transportunternehmens bitten um Mithilfe bei einer finanziellen Transaktion/ Warensendung. Im Gegenzug wird dem Opfer eine Provision versprochen. Bei dieser Form von Phishing muss es nicht zwangsläufig zu technischen Manipulationen im System des Opfers kommen. Vielmehr verleitet der Phisher auf der Grundlage des Vertrauensverhältnisses sein Opfer zu selbstschädigenden (oder sonstigen) Handlungen, die förderlich für die eigentliche Haupttat des Phishers sind. Darunter fallen beispielsweise die Weitergabe von PIN und TAN, die Übermittlung von personenbezogenen Daten oder das Mitteilen einer Kontoverbindung zum Zwecke angeblicher Transferzahlungen. Letztlich entscheiden die Qualität der Täuschung und die Naivität/ Gutgläubigkeit des Opfers über den Taterfolg bzw. Misserfolg.
Bei der Variante des „Social-Phishing“ baut der Phisher via Email oder Web eine sog. Legende gegenüber seinem Opfer auf, d.h. er schafft ein Vertrauensverhältnis mittels einer Scheinidentität. Bsp.: Manager einer südafrikanischen Bank oder eines russischen Transportunternehmens bitten um Mithilfe bei einer finanziellen Transaktion/ Warensendung. Im Gegenzug wird dem Opfer eine Provision versprochen. Bei dieser Form von Phishing muss es nicht zwangsläufig zu technischen Manipulationen im System des Opfers kommen. Vielmehr verleitet der Phisher auf der Grundlage des Vertrauensverhältnisses sein Opfer zu selbstschädigenden (oder sonstigen) Handlungen, die förderlich für die eigentliche Haupttat des Phishers sind. Darunter fallen beispielsweise die Weitergabe von PIN und TAN, die Übermittlung von personenbezogenen Daten oder das Mitteilen einer Kontoverbindung zum Zwecke angeblicher Transferzahlungen. Letztlich entscheiden die Qualität der Täuschung und die Naivität/ Gutgläubigkeit des Opfers über den Taterfolg bzw. Misserfolg.
6
Das Grundprinzip des „Social-Phishings“ ist alles andere als neu und auch nicht sonderlich innovativ. Letztlich handelt es sich um eine neue
Variante des „social hacking“, besser bekannt als „social engineering“. Social Engineering ist eine der ältesten und effektiven Formen des
System-Hackings. Zumeist führt es schneller zum Ziel als jede technische Form von Hacking. Social Engineering setzt bei der größten
Schwachstelle eines jeden Systems an, nämlich entweder direkt beim Kopf des Systems (SysOp/ Admin) oder bei einem Angehörigen des Systems
(User), der mit möglichst vielen Rechten ausgestattet ist. Dem Täter fällt der Taterfolg quasi in den Schoß, da er sich das Vertrauen
seines Opfers erschleicht. Eine aufsetzbare Firewall oder einen Anti-Spy-Bot fĂĽr Menschen gibt es leider nicht.
7
Durch gezielte Anreize, phantasievolle Geschichten oder sonstiges bewegt der Phisher sein Opfer dazu, persönliche Informationen an ihn
weiterzugeben. Der klassische Haustürbetrüger agierte letztlich nicht viel anders. Seine Täuschungshandlung bestand im Vorzeigen eines
schön anzuschauenden Hochglanzprospektes. Außerdem musste er manierlich erscheinen (am besten Schwiegersohntyp im Seidenhemd), ein
überzeugendes Auftreten besitzen und gut reden können.
8
Wenn man sich die Vorgehensweise der Social-Phishing-Angriffe im Internet näher anschaut, so verwundert es häufig, dass diese Art von Phishing
überhaupt fruchtet. Gerade in der Vergangenheit strotzten die Phishing-Mails der sog. Nigeria-Connection vor sprachlichen Kollateralschäden.
Auch schienen sich die Opfer keine Gedanken darĂĽber zu machen, dass erfolgreiche Manager einer sĂĽdafrikanischen Bank auf Freemailer wie
HotMail/ Yahoo/ etc. ausweichen mussten, um ihre Lockangebote an den Mann zu bringen. Nun muss man den heutigen Opfern zugute halten, dass
sich die Phishing-Szene durchaus weiterentwickelt hat. Regelmäßig trifft man auf professionell gestaltete Webseiten, „beglaubigte Urkunden“
sowie wohlklingende Unternehmens- und Domainnamen. Häufig werden bereits existierende Webseiten namhafter Unternehmen perfekt gefälscht.
9
Die schiere Masse an potentiellen Opfern und die immer besser werdenden Varianten des Social Phishings, machen die betrĂĽgerischen Spielarten
per Internet zu einem lohnenden Massengeschäft für die organisierte Kriminalität. Weltweit haben sich kriminelle Kartelle gebildet, die über
ein weit gespanntes Netzwerk verfĂĽgen und den Globus nach Landeskennungen unter sich aufgeteilt haben. Deutsche werden i.d.R. zum Opfer von
Ostblock- Tätern, auch wenn zunächst der Kontaktpartner aus anderen Regionen der Welt zu stammen scheint. Letztlich erfolgen die Zahlungen
fast ausnahmslos per Western Union oder MoneyGram in Richtung Ostblock-Staaten.
10
„Technical“- oder “mixed”-Phishing
Beim sog. “technical-” oder “mixed-“Phishing bedient sich der Täter neben der einleitenden täuschenden Geschichte technischer Hilfsmittel, um sein Opfer zu schädigen. So wird per Email oder auf Webseiten versucht, das Opfer dazu zu verleiten, einen Dateianhang oder ein Link zu öffnen. Fällt das Opfer darauf herein, so werden zumeist Schadprogramme in das System des Opfers eingeschleust. Die Funktionsweise kann mannigfaltig sein. Denkbar sind beispielsweise Sniffer oder Keylogger, die PIN und TAN-Nummern beim Onlinebanking abgreifen oder Active-X-Skripte, die den Browser „entführen“ und dem Opfer vorgaukeln, er besuche die Webpage seines Kreditinstitutes. Im Endeffekt dienen die Schadprogramme allesamt dazu, an geheime Daten des Opfers heranzukommen. Beim reinen „technical“-Phishing wird das System ohne Umweg über den User direkt von einem Schadprogramm oder Exploit attackiert und infiziert.
Beim sog. “technical-” oder “mixed-“Phishing bedient sich der Täter neben der einleitenden täuschenden Geschichte technischer Hilfsmittel, um sein Opfer zu schädigen. So wird per Email oder auf Webseiten versucht, das Opfer dazu zu verleiten, einen Dateianhang oder ein Link zu öffnen. Fällt das Opfer darauf herein, so werden zumeist Schadprogramme in das System des Opfers eingeschleust. Die Funktionsweise kann mannigfaltig sein. Denkbar sind beispielsweise Sniffer oder Keylogger, die PIN und TAN-Nummern beim Onlinebanking abgreifen oder Active-X-Skripte, die den Browser „entführen“ und dem Opfer vorgaukeln, er besuche die Webpage seines Kreditinstitutes. Im Endeffekt dienen die Schadprogramme allesamt dazu, an geheime Daten des Opfers heranzukommen. Beim reinen „technical“-Phishing wird das System ohne Umweg über den User direkt von einem Schadprogramm oder Exploit attackiert und infiziert.
11
Phänomen des „Finanzagenten“
Wer sich den Jahresbericht 2005 der Zentralstelle für (Geldwäsche-) Verdachtsanzeigen (FIU Deutschland) beim BKA anschaut, dem wird auffallen, dass im Jahr 2005 mit 346 Anzeigen das Phänomen "Phishing" und "Finanzagenten“ dominierend war. Das Phänomen des Finanzagenten ist recht schnell anhand eines einfachen Beispiels erklärt:
Wer sich den Jahresbericht 2005 der Zentralstelle für (Geldwäsche-) Verdachtsanzeigen (FIU Deutschland) beim BKA anschaut, dem wird auffallen, dass im Jahr 2005 mit 346 Anzeigen das Phänomen "Phishing" und "Finanzagenten“ dominierend war. Das Phänomen des Finanzagenten ist recht schnell anhand eines einfachen Beispiels erklärt:
12
Ein Otto-Normal-Verbraucher, nennen wir ihn Karl, erhält eines Tages eine Phishing-Mail. In dieser Email wird ihm von einem fiktiven
Unternehmensangestellten / Scout mitgeteilt, dass man einen verlässlichen Partner suche, um finanzielle Transaktionen über Deutschland
abwickeln zu können. Als Begründung für ein Ausweichen auf einen deutschen Partner werden irgendwelche Steuervergünstigungen oder örtliche
Ordnungsvorschriften genannt. Kunden des Unternehmens, so die Anleitung des Phishers, wĂĽrden einfach auf das Konto von Karl einzahlen und Karl
müsse dann nur noch die Summe abzüglich einer Provision von 7% per MoneyGram oder Western Union - aufgesplittet in 5 Teilbeträge (Anm: "Smurfing") -
an verschiedene Empfänger in Russland transferieren. Spätestens an dieser Stelle sollte Karl eigentlich ein Licht aufgehen, doch er stimmt der
ganzen Geschichte per Email oder telefonisch zu und ĂĽbermittelt seine Kontodaten an das vermeintliche Unternehmen in Russland. (Anm.: Manche
Phisher schicken auch gleich ganze Arbeitsverträge mit und bauen Haftungsklauseln ein, um die Sache augenscheinlich seriöser zu gestalten).
Nach kurzer Zeit wird Karl bereits wieder kontaktiert und es wird ihm mitgeteilt, dass innerhalb der nächsten zwei Tage auf seinem Konto eine
Zahlung i.H.v. 10.000 € der Firma X eingehe. Der Betrag wird in der Tat Karls Konto gutgeschrieben. Freudig läuft Karl zu seiner Bank, hebt den
gesamten Betrag in bar ab und überweist die vereinbarten Teilbeträge abzüglich seiner Provision sofort nach Russland per Western Union oder
MoneyGram. Danach teilt er noch den Transfercode seiner Kontaktperson per Email mit. Einige Tage später erhält Karl eine Vorladung von der
Polizei (Anm: Häufig kommt es auch direkt zu einer Durchsuchung). Ihm wird vorgeworfen Tatbeteiligter eines Onlinebanking-Hacks zu sein.
Karl fällt aus allen Wolken. Bei der Firma X befand sich ein Trojaner auf dem Computer, der die PIN und TAN beim Onlinebanking ausspionierte
und an den Phisher übermittelte. Dieser loggte sich sofort auf dem Konto der Firma X ein und überwies 10.000 € auf das Konto von Karl in
der Hoffnung, dass dieser das Geld sofort weiter nach Russland per Western Union schicken wĂĽrde.
13
Was soeben auf lockere Art und Weise beschrieben wurde, kommt leider häufiger vor als man denkt. Es ist erschreckend, wie viele Menschen sich
auf derartig unseriöse „Geschäftsvorschläge“, die ihnen in einer einfachen Massen-Email übermittelt werden, einlassen. Die Statistik und
Erfahrungen aus der Praxis lassen erahnen, dass die Anzahl der "gefischten Finanzagenten" im Laufe des ersten Halbjahres 2006 gegenĂĽber
2005 noch weiter zugenommen hat. Zugegebenermaßen sind für derartige Konzepte eher Menschen empfänglich, die in finanzieller Not leben
oder einfach strukturiert sind.
14
Da die Täter i.d.R. nicht zu ermitteln sind, bleibt der gesamte Schaden am Finanzagenten hängen. Strafrechtlich muss er sich entweder wegen
Beihilfe zum (gewerblichen) Computerbetrug gem. §§ 263a Abs. 1, 27 StGB verantworten oder wegen Geldwäsche gem. § 261 Abs. 1 StGB (letzteres
ist ausgeschlossen, wenn die Beihilfe zum Computerbetrug greift, § 261 Abs. 9 S. 2 StGB). Kann dem Finanzagenten kein Vorsatz bzgl. der Haupttat
nachgewiesen werden, so verbleibt zumindest der Tatbestand der leichtfertigen Geldwäsche gem. § 261 Abs. 1 Nr. 4 a), Abs. 5 StGB. Hier können
sich die wenigsten erfolgreich exkulpieren. Im Übrigen kommt auf den Finanzagenten ein Rückzahlungsanspruch des Geschädigten aus
ungerechtfertigter Bereicherung gem. § 812 Abs. 1 S. 1 Alt. 2 BGB (Eingriffskondiktion) zu.
15
Fazit:
Das Grundkonzept ist eigentlich immer das gleiche. Menschen werden mit Versprechungen auf schnelle und hohe Gewinne bei einem Minimum an Aufwand zu illegalen Verhaltensweisen verleitet. Sie zahlen in jedem Fall für ihre Naivität die Zeche, da sie neben dem Geschädigten in dem ganzen Phishing-Geldwäsche-Konstrukt das schwächste Glied in der Kette sind. Die Frage, warum ein seriöses ausländisches Unternehmen tausende von Euro oder teure Elektronikartikel über einen persönlich völlig Unbekannten laufen lassen sollte, scheinen sich die meisten schon gar nicht mehr zu stellen. Vielleicht ist es aber auch einfach nur schön von Zeit zu Zeit 10.000 € über das eigene Konto wandern zu sehen. Willkommen im Internet!
Das Grundkonzept ist eigentlich immer das gleiche. Menschen werden mit Versprechungen auf schnelle und hohe Gewinne bei einem Minimum an Aufwand zu illegalen Verhaltensweisen verleitet. Sie zahlen in jedem Fall für ihre Naivität die Zeche, da sie neben dem Geschädigten in dem ganzen Phishing-Geldwäsche-Konstrukt das schwächste Glied in der Kette sind. Die Frage, warum ein seriöses ausländisches Unternehmen tausende von Euro oder teure Elektronikartikel über einen persönlich völlig Unbekannten laufen lassen sollte, scheinen sich die meisten schon gar nicht mehr zu stellen. Vielleicht ist es aber auch einfach nur schön von Zeit zu Zeit 10.000 € über das eigene Konto wandern zu sehen. Willkommen im Internet!
* Alexander Schultz ist Rechtsreferendar in Bochum und Herausgeber einer Onlinekommentierung im Bereich der Computer- und Mediendelikte.
Der Computer- und Mediendelikte Kommentar (CuMK - www.mediendelikte.de)
stellt Phänomene der IuK-Kriminaltität vor und
versucht diese unter BerĂĽcksichtigung relevanter Normenkreise des Strafrechts und Nebenstrafrechts rechtlich zu erforschen.
Online seit: 17.07.2006
Kurz-Link zum Artikel: http://miur.de/314
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
Chlorhexamed - Zum Rechtsmissbrauch bei der getrenntem Geltendmachung von Unterlassungsansprüchen gegen Konzernschwestergesellschaften und zur eingeschränkten Auslegung von § 14 Abs. 2 Satz 2 UWG
OLG Frankfurt a.M., Urteil vom 08.10.2021 - 6 W 83/21, MIR 2021, Dok. 086
Grundpreisangabe im Internet - Der Grundpreis ist klar erkennbar, wenn er in unmittelbarer Nähe des Verkaufspreises steht und mit diesem zusammen auf einen Blick wahrgenommen werden kann
BGH, Urteil vom 19.05.2022 - I ZR 69/21, MIR 2022, Dok. 045
Influencer III - Fördert eine Influencerin durch einen Bericht den Absatz eines fremden Unternehmens, ist dies grundsätzlich kennzeichnungspflichtig, wenn ihr die betreffenden Waren oder Dienstleistungen kostenlos zur Verfügung gestellt wurden
BGH, Urteil vom 13.01.2022 - I ZR 35/21, MIR 2022, Dok. 017
Unaufgeforderte Aufschaltung eines gesonderten Wifi-Hotspots bei WLAN-Kunden durch den Telekommunikationsanbieter kann wettbewerbsrechtlich zulässig sein
Bundesgerichtshof, MIR 2019, Dok. 018
Zur Zulässigkeit der Verwendung von Marken und Unternehmenskennzeichen innerhalb der amazon-Suche
Bundesgerichtshof, MIR 2018, Dok. 012
OLG Frankfurt a.M., Urteil vom 08.10.2021 - 6 W 83/21, MIR 2021, Dok. 086
Grundpreisangabe im Internet - Der Grundpreis ist klar erkennbar, wenn er in unmittelbarer Nähe des Verkaufspreises steht und mit diesem zusammen auf einen Blick wahrgenommen werden kann
BGH, Urteil vom 19.05.2022 - I ZR 69/21, MIR 2022, Dok. 045
Influencer III - Fördert eine Influencerin durch einen Bericht den Absatz eines fremden Unternehmens, ist dies grundsätzlich kennzeichnungspflichtig, wenn ihr die betreffenden Waren oder Dienstleistungen kostenlos zur Verfügung gestellt wurden
BGH, Urteil vom 13.01.2022 - I ZR 35/21, MIR 2022, Dok. 017
Unaufgeforderte Aufschaltung eines gesonderten Wifi-Hotspots bei WLAN-Kunden durch den Telekommunikationsanbieter kann wettbewerbsrechtlich zulässig sein
Bundesgerichtshof, MIR 2019, Dok. 018
Zur Zulässigkeit der Verwendung von Marken und Unternehmenskennzeichen innerhalb der amazon-Suche
Bundesgerichtshof, MIR 2018, Dok. 012