Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Abzocke im Internet: Online-Gauner stellen Arbeitslose ein

Von

Über 3000 Euro Monatsgehalt für eine selbständige Tätigkeit am heimischen PC - hinter solchen Job-Offerten im Internet stecken häufig sogenannte Phisher. Sie haben gerade ein paar Onlinekunden ausgeplündert und suchen jetzt jemanden, der das Geld für sie ins Ausland schafft.

Hamburg - Das Stellenangebot klang wie Stellenanzeigen eben so klingen: Man suche einen Speditionskaufmann schrieb die Yun-Yang-Group auf ihrer Internetseite. "Flexibilität, ein überdurchschnittliches Engagement und eine hohe Belastbarkeit" seien Grundvoraussetzungen. Hubert Dittmann, seit einigen Monaten arbeitslos und in Geldnöten, klickte sich durch den durchaus ansehnlichen Internetauftritt des vermeintlichen Hongkonger Im- und Export-Unternehmens, bewarb sich online und wurde ausgewählt "aus einem sehr großen Bewerberkreis", wie es in der Zusage hieß.

Der 46-Jährige ist jetzt wieder ohne Job - und um 5700 Euro ärmer. Als ersten und letzten Auftrag hatte Herr Yun Yang persönlich Dittmann um eine Schnell-Überweisung gebeten: Aufgrund eines Notfalls möge er doch bitte über sein privates Onlinekonto bei der Postbank Geld von Kunden nach Estland weiter überweisen. Tatsächlich transferierte Dittmann Geld, das sogenannte Phisher von fremden Online-Konten abgezweigt hatten.

Internetcafé: "Nur wenn der Computer absolut sicher ist"
AP

Internetcafé: "Nur wenn der Computer absolut sicher ist"

Dittmann gehört als Arbeitsloser zur neuen Zielgruppe der Online-Gauner. Die Idee ist schlicht aber clever: Über das Internet werden Jobs als Vertreter für Putzmittelhersteller, russische Partnervermittlungen oder Im- und Export-Unternehmen gesucht. Tatsächlich werden die Geworbenen als Geldwäscher benutzt.

Dabei gehen die Betrüger offenbar immer professioneller vor. Hubert Dittmann wurde ein Arbeitsvertrag zugemailt, den sogar ein Hamburger Anwalt als akzeptabel durchgehen ließ. Dazu bekam der frisch gebackene "Deutschland-Repräsentant" - der ein Monatsgehalt von über 3000 Euro beziehen sollte - die Kopie eines bereits abgeschlossenen Beispiel-Import-Vertrags für sibirisches Lärchenholz.

"Das schien mir alles so weit in Ordnung", sagt Dittmann immer wieder als er seine Geschichte erzählt. Er hat den inzwischen verschwunden Internetauftritt der Yun-Yang-Group Seite für Seite ausgedruckt, und blättert kopfschüttelnd durch den Stapel. Produktreichweite, Märkte und die Geschäftssparten der vermeintlichen Firma werden dort beschrieben.

Auch die E-Mails, in denen sein neuer Arbeitgeber ihn um die Schnellüberweisung nach Estland bat, hat er dabei: "Unser Vertreter in Estland hatte heute einen Autounfall und liegt bewusstlos in einem Krankenhaus. (...) Seine Mitarbeiter haben leider keine Vollmacht über das Firmenkonto, müssen aber an die Beamten in Estland 'bestimmte' Gebühren entrichten."

Ohne pünktliche Schmiergeldzahlungen gehe in Estland nichts - die deutschen Kunden seien deshalb bereits informiert und würden ihr Geld an Dittmann transferieren. "Natürlich habe ich da Fracksausen gekriegt", sagt Dittmann. Aber als dann tatsächlich von verschiedenen Konten Geld eintrudelte, sei er beruhigt gewesen. Inzwischen wurde das Geld von der Postbank zurückgebucht, weil die vermeintlichen Yun-Yang-Kunden Opfer von Phishing-Attacken waren und Anzeige erstattet hatten. In Estland sind die 5700 Euro natürlich längst abgeholt und die Postbank wird Dittmann nichts ersetzen.

Tan-Liste aufs Faxgerät gelegt

"Da gibt es auch keine Gnade vor Recht", erklärt Jürgen Ebert, Pressesprecher der Postbank. "Wenn mich jemand auf der Straße anspricht und mich bittet, ein dickes Geldbündel für ihn zu transportieren - das würde auch niemand machen." Im Internet ließen manche Kunden grundlegende Sicherheitsmaßnahmen außer Acht. So erkläre sich auch, dass trotz zahlreicher Informationskampagnen Phisher immer noch Erfolg hätten.

Die Menschen müssten misstrauischer werden, findet auch der Berliner Kriminalkommissar Jochen Kunisch. "Phishing-Mails werden leider immer noch oft beantwortet." Dabei fordere keine Bank ihre Kunden auf, ihre Pin- und Tan-Nummern - also die für das Internet-Banking nötige persönliche Identifikations- und die Transaktionsnummer - per E-Mail preiszugeben. Einige Opfer hätten ihre Tan-Liste, aus der sie für jedes Online-Geschäft eine auswählen, nach dem Anruf eines vermeintlichen Bankmitarbeiters sogar per Fax verschickt.

Doch auch wer seine Bankdaten für sich behält, ist vor Phishern nicht sicher. Über sogenannte Trojaner, die auf der Festplatte des Bankkunden installiert werden, schicken Online-Räuber den Kunden auf eine falsche Bankseite und fischen so bei einer fingierten Transaktion die wertvollen Zahlenkombinationen ab.

Häufig schickten die Betrüger dafür gefälschte Telekom- oder Ebay-Rechnungen, die horrende Summen anzeigten, warnt Kripo-Mann Kunisch. Erschreckt klickten viele Empfänger auf die angehängten Dateien - und machten den Gangstern so den Weg zu ihrer Festplatte frei. So ist es nicht verwunderlich, dass Berliner Kriminalbeamte von einer Welle neuer Phishing-Attacken sprechen. Im Juni wurden in der Hauptstadt 40 Fälle bearbeitet, mittlerweile sind es schon 250. Auch in Frankfurt berichtet die Polizei von immer neuen Anzeigen.

Als Reaktion auf die Phishing-Feldzüge warten Banken derzeit mit neuen Tan-Variationen auf. Die Postbank führt seit kurzem den indizierten Tan ein, viele andere Institute wollen nachziehen. Das Prinzip: Der Kunde wählt die Transaktionsnummer nicht mehr frei aus einer Liste, sondern die Bank fordert eine bestimmte Nummer der Serie. Alternativ können Kunden auch Tans für jedes Bankgeschäft zugeschickt bekommen - je nach Institut werden sie per SMS geschickt oder sie erscheinen auf einem kleinen Extra-Gerät.

"Vielleicht lieber verzichten"

Computerexperten überzeugen auch solche mobilen Tans nicht. Phisher könnten sich einfach zwischen das Kreditinstitut und den Kunden zwischenschalten, sagt etwa Andreas Rieke, Geschäftsführer der ISL Internet Sicherheitslösungen GmbH. "Dann brauchen sie die Tan gar nicht. Stattdessen ändern sie einfach die Zielkontonummer für die Überweisung." Auch eine gesicherte SSL-Verbindung zur Bank brechen, sei "kinderleicht". Entsprechende Software gebe es im Netz.

"Wenn ich als Kunde nicht ganz sicher bin, dass mein Computer sauber ist, sollte ich vielleicht lieber auf Online-Banking verzichten", erklärt auch Andreas Lamm, Geschäftsführer der Sicherheitsfirma Kaspersky Lab in Deutschland. Lediglich das Homebanking über HBCI (Homebanking Computer Interface) mit Chipkarte biete halbwegs Sicherheit, glauben beide Experten. Dabei werden die Bankdaten über ein Lesegerät verschlüsselt, und erst dann an die Bank geschickt. "Außerdem wird nicht nur der Kunde authentifiziert, sondern auch die Bank", erklärt Rieke.

Das Verfahren wird bereits von manchen Banken angeboten - aber die Kunden zeigen wenig Begeisterung. Viele wollten nicht auf den Computer zu Hause, wo das Lesegerät steht, beschränkt sein, erklärt Postbank-Sprecher Ebert. "Statistiken zeigen, dass die meisten Leute um 9 und um 17 Uhr auf ihr Konto zugreifen - also wenn sie im Büro sind." Viele scheuten auch die Zusatzkosten für das Lesegerät - das rund 40 Euro kostet. Wenn im nächsten Jahr verschiedene Signaturkarten wie die Gesundheitskarte eingeführt werden, könnte sich das vielleicht ändern, glaubt Ebert.

"Aber auch das Pin/Tan-Verfahren ist sicher", beharrt der Pressesprecher. Dabei gehe er freilich davon aus, dass die Kunden einen aktualisierten Browser benutzten und ihr Virenschutzprogramm täglich aktualisierten.

Diesen Artikel...

© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: