Computerbetrug durch Phishing & Pharming

computerbetrugNachdem Kriminelle Kundendaten durch Phishing-/ Pharming-Angriffe erlangt haben, verwenden sie die Daten für Online-Überweisungen, strafbar als Computerbetrug. Vorgehensweise und Strafbarkeit der Täter werden im dritten Teil der Beitragsserie zum Missbrauch des Online-Banking und dessen zivilrechtliche und strafrechtliche Folgen erläutert.

Digitaler Betrug

Betrüger täuschen nicht nur analog Bankangestellte und Bankkunden. Sie überlisten auch Sicherheitsprogramme am Geldautomaten oder beim Online-Banking, um an fremdes Vermögen zu kommen. Die digitale Variante ist als Computerbetrug gem. § 263a StGB strafbar. Hier wirkt der Täter auf ein Computerprogramm ein, um dessen Ergebnis zu manipulieren und damit das Vermögen eines anderen zu schädigen.

Beim Online-Banking täuscht der Täter der Banking-Software durch Verwendung von PIN und TAN des Geschädigten vor, der Geschädigte autorisiere die Überweisung. Die Bank leitet dann einen Geldbetrag vom Konto des Geschädigten auf ein Empfängerkonto. Die Überweisungen mit abgephishten Datensätzen wird in § 263a StGB als „unbefugte Verwendung von Daten“ bezeichnet.:

die Verwendung von Daten (ist) dann als unbefugt anzusehen, wenn sie gegenüber einer natürlichen Person Täuschungscharakter hätte. (…) Dies ist insbesondere auch bei der Eingabe vertraulicher Zugangs- und Transaktionsdaten (PIN und TAN) im Rahmen des Onlinebankings der Fall, wenn die Legitimationsdaten durch Phishing erlangt wurden

(Quelle: LG Bonn, Urteil vom 07.07.2009, Az. 7 KLs 01/09)

Arbeitsteiliges Vorgehen

Meist hat sich eine Gruppe von Tätern zusammengeschlossen, um in mehreren Arbeitsschritten an das Geld zu kommen. Es gehören IT-Experten dazu, welche die Schadsoftware programmieren, Spam-E-Mails verbreiten und Bot-Netze aufbauen. Sie beschaffen durch Phishing und Pharming die Daten zum Online-Banking des Geschädigten. Es gehört die Überweisung – der eigentliche Computerbetrug – dazu. Sie erfolgt auf das Konto eines Strohmannes, damit die Hintermänner nicht ermittelt werden können. Schließlich gehört die Abhebung des Strohmannes und Übergabe an die Hintermänner dazu. Erwischt werden meist nur die Strohmänner, die nur eine geringe Belohnung erhalten. Das Vorgehen der Haupttäter lässt sich nur grob nachvollziehen:

Unbekannte Hintermänner hatten zuvor Zugang zu dem Konto der in diesem Fall Geschädigten erlangt und unter Angabe der Nummer eines in ihrem Besitz befindlichen Mobiltelefons das sogenannte mTAN-Verfahren eingerichtet. (Beschaffen der Daten, strafbar als Ausspähen von Daten gem. § 202a StGB und Fälschung beweiserheblicher Daten gem. § 269 StGB)
Nachdem der Angeklagte die Daten seines Girokontos an die Tätergruppe übermittelt hatte, überwiesen diese am 5. Oktober 2011 unter Verwendung des mTAN-Verfahrens in zwei Teilbeträgen insgesamt 14.000 € vom Konto der Geschädigten auf das Konto des Angeklagten. (Verwenden der Daten strafbar als Computerbetrug gem. § 263a StGB)
Noch am selben Tag sowie am Folgetag begaben sich der Angeklagte und zwei Mitglieder der Tätergruppe gemeinsam zu verschiedenen Filialen der P., wo der Angeklagte das Geld abhob. (Abheben und Weiterleiten des Geldes strafbar als Beihilfe zum Computerbetrug durch Sicherung der Tatbeute gem. §§ 263a, 27 StGB oder Geldwäsche gem. § 261 StGB)
(BGH, Beschluss vom 11.09.2014, Az. 4 StR 312/14)

Verurteilung wegen Computerbetrug

Nur wenige Fälle des Computerbetrugs beim Online-Banking durch Phishing konnten vollständig ermittelt werden. Das Landgericht Bonn verurteilte im Jahr 2009 einen Programmierer zu 4 Jahren Freiheitsstrafe wegen banden- und gewerbsmäßigen Computerbetrug. Ausgangspunkt der Ermittlungen waren wiederum die Strohmänner, die das Geld vom Empfängerkonto abhoben. Gegen die sog. Finanzagenten wurde wegen Geldwäsche ermittelt. Der Zusammenhang zwischen den einzelnen Taten fiel auf, weil immer wieder die gleichen Anwerbeseiten für die Finanzagenten auftauchten. Über die Registrierung der Domains stießen die Ermittlungsbehörden auf den 27 Jahre alten technischen Koordinator der Bande.

Die Bande betrieb von Ende 2005 bis Mitte 2008, der Verhaftung des Programmierers im Wohnhaus seiner Eltern, gewerbsmäßiges Phishing. Der Computerbetrug – in der Gruppe als „Gießen“ bezeichnet – wurde wie folgt aufgeklärt:

Zwei weitere Gruppenmitglieder mit den Pseudonymen „W1“ und „A1“ waren vor allem mit dem Überweisen beschäftigt. Dazu nutzten sie die auf dem Log-Server der Gruppe gespeicherten Daten. Die beiden – sowie eventuell weitere Personen – sortierten die vorhandenen Datensätze, prüften sie auf ihre Aktualität und drangen mit den Zugangsdaten in die Online-Konten der Geschädigten ein, wo sie die Kontostände abfragten.
Fanden sie ein Konto mit einem hohen Guthabenbetrag und hohen Überweisungslimits, suchten sie sich aus den von H3 und B5 zur Verfügung gestellten „Drops“ (Finanzagenten) einen passenden heraus. Dabei achteten sie darauf, dass das Empfänger-Konto bei einer Bank geführt wurde, die möglichst zum gleichen Banken-Verbund gehörte wie die Bank des Geschädigten. Auf diese Weise verringerten sich die Überweisungszeiten, was wiederum die Gefahr einer Rückbuchung durch die Geschädigten verringerte.
War ein passendes Paar aus Geschädigtem-Konto und Finanzagenten gefunden, führten W1 und A1 sowie weitere Personen die Überweisungen durch, indem sie die abgephishten TANs aus der Datenbank des Log-Servers im Online-Konto des Geschädigten einsetzten (das sog. „Gießen“ ). Auf diese Weise wurden von der Gruppe pro Woche ca. 150 Überweisungen durchgeführt.

(Quelle: LG Bonn, Urteil vom 07.07.2009, Az. 7 KLs 01/09)

Ein überwiegender Anteil der Überweisungen scheiterte auf einem der vielen Zwischenstationen; sei es durch sofortige Rückbuchung, durch zu langsam agierende Finanzagenten oder durch Finanzagenten, die das Geld selbst vereinnahmten, anstatt es weiter zu leiten. Nur 10 – 20 % der Überweisungen hatten Erfolg. Der hohe zeitliche und technische Aufwand lohnte sich für die einzelnen Bandenmitglieder dennoch. Die einzelnen Überweisungen lagen zwischen 4.000 EUR und 9.000 EUR. Angesichts der relativ hohen Einzelsummen erlangte die Bande trotz des geringen Anteils an erfolgreichen Überweisungen erhebliche Vermögensvorteile.

Ausblick

Der vierte Teil zeigt, wer den Schaden eines Computerbetrugs mit gephishten Daten hat. Zunächst führt die Bank die betrügerische Überweisung aus und trägt strafrechtlich den Schaden. Der Kunde muss aber anschließend zivilrechtlichen Schadenersatz (§ 675v Abs. 2 BGB) an die Bank zahlen, wenn er grob fahrlässig auf den Phishing-/Pharming-Angriff reagiert hat.