Die schöne Elena aus Russland ist unsterblich in den Deutschen Erwin verliebt. Der fühlt sich geschmeichelt und kann es kaum erwarten, bis Elena ihn nach wochenlangem Mailwechsel endlich besuchen kommt.
Es gebe da nur ein Problem, sagt Elena: Das Geld für den Flug habe sie in Deutschland auf einem Konto, wo sie einmal schwarz gearbeitet habe. Und wenn sie nun, so sagt sie dem verliebten Erwin, die Summe direkt auf ihr russisches Konto buche, bekomme sie Probleme mit den Steuerbehörden. Deshalb wolle sie das Geld lieber erst auf Erwins Konto überweisen, damit er es sogleich per Western Union weiter an Elenas Mutter nach Russland schicken könne.
Erwin tut seiner Elena den Gefallen und wartet sehnsüchtig auf seine schöne Russin. Doch statt der Frau erscheinen zwei Polizisten vor seiner Haustür. Erwin steht unter Geldwäscheverdacht. Elena hat ihn nur benutzt, um Geld, das sie illegal von anderen Kundenkonten abgeräumt hat, ins Ausland zu schaffen.
Maschen wie diese gehören zum Standardrepertoire von Internetbetrügern. Pro Fall kann nach Schätzungen von IT-Experten ein hoher vierstelliger Betrag als Schaden entstehen. Hinter den Attacken steht denn auch keine kleine Elena, sondern die organisierte Kriminalität.
An das Geld argloser Kunden kommen die Täter zum Beispiel über Man-in-the-middle-Angriffe beim Internetbanking. Dabei schleusen die Betrüger auf den Computern ihrer Opfer Trojaner ein. Will der Kunde dann Geld überweisen, manipuliert der Trojaner im Hintergrund den Betrag und die Bankverbindung und leitet die Summe an einen anderen Empfänger.
Ein wirksamer Schutz ist das Mobile-Tan-Verfahren, das zum Beispiel die HypoVereinsbank (HVB) anbietet. Dabei schickt der Kunde seine Überweisung über das Onlinebanking-Portal an die Bank. Diese wiederum bestätigt ihm die Empfänger- und Betragsdaten per SMS auf sein Handy und sendet ihm auch eine Transaktionsnummer (TAN), mit der der Kunde den Auftrag noch freigeben muss. Diese Nummer kann der Kunde dann nur für den Überweisungsbetrag mit den Empfängerdaten nutzen, die er vorher der Bank geschickt hat. "Damit konnten wir die Betrugsversuche fast auf null reduzieren", sagt ein HVB-Sprecher. Dieses Verfahren ist allerdings längst nicht Standard in der Branche. Die Kunden können dann nur versuchen, sich mit professionellen Virenschutzprogrammen selbst abzusichern.
Wird ein Kunde Opfer einer Man-in-the-middle-Attacke, übernehmen die Banken die entstandenen Schäden. Anders sieht es mittlerweile beim Phishing aus. Jeder Kunde müsse heute wissen, dass eine Bank keine TAN-Nummern unabhängig von einem konkreten Auftrag bei ihm abfrage, sagt der Sicherheitsexperte einer Bank. Lässt er sich trotzdem per Mail auf eine Betrugsseite lotsen, gibt dort zehn der Nummern ein und wird später abgezockt, "trägt der Kunde eine erhebliche Mitschuld", und das Institut werde nicht unbedingt zahlen. Der IT-Branchenverband Bitkom rechnet damit, dass durch solche Taten in diesem Jahr ein Schaden von elf Millionen Euro entsteht – ein Anstieg um 50 Prozent im Vergleich zum Vorjahr.
Die Wahrscheinlichkeit, dass der Betrogene sein Geld mithilfe der Polizei von Elena und Co. zurückbekommt, ist äußerst gering. Denn die Betrüger holen das Geld in Russland nicht selbst ab, sondern schicken etwa Obdachlose vor. Danach verliert sich ihre Spur.
© 1999 - 2012 capital
