Betrug im Internet: Phishing, Pharming und Spoofing
Phishing
Die meisten Internetnutzer haben in ihrem Mail - Account schon einmal eine offiziell aussehende Mail einer Bank oder Sparkasse gefunden. Darin werden sie aufgefordert, vertrauliche Daten wie Passwörter , PINs oder TANs für Online-Überweisungen preiszugeben. Dies wird oft begründet mit notwendigen oder geplanten Software -Updates der Bank zur Erhöhung des Kundenservice oder einem Serverausfall. Die Absender der Mail sind dabei sehr kreativ. Optisch ist die Mail für den ungeübten Nutzer kaum von einer authentischen Mail der eigenen Bank zu unterscheiden. Betroffen sind nahezu alle größeren Banken wie Postbank, Deutsche Bank, Citibank, Dresdner Bank oder auch die Sparkassen. Die Mails sind in HTML geschrieben. Dies erlaubt, einen scheinbar echten Link anzuzeigen, der jedoch auf eine andere, gefälschte Webseite der Bank führt. Diese ist nur schwer von der echten zu unterscheiden.
Geringfügige Änderungen oder eine andere Schreibweise der www -Adresse sind dabei ein eindeutiger Hinweis auf eine Phishing - Seite. Wurde man auf die gefälschte Webseite gelenkt, wird man aufgefordert ein entsprechendes Formular auszufüllen. Um auftretendes Misstrauen zu zerstreuen, erhält man nach Eingabe oftmals noch eine Bestätigung „mit freundlichen Grüßen“ oder eine ebenfalls gefälschte Fehlermeldung, die suggerieren soll, der Vorgang habe gar nicht stattgefunden.
Diese Mails werden zu Hunderttausenden verschickt. Man sollte niemals auf eine solche Mail antworten. Ist der Betrüger erst einmal im Besitz der vertraulichen Daten , kann er binnen weniger Minuten Überweisungen zu Lasten des Opfers tätigen. Um Zeit zu gewinnen, verändern die Betrüger oftmals zusätzlich das Kennwort des Online - Accounts. In seltenen Fällen reagiert ein Nutzer schnell genug und lässt das betreffende Konto telefonisch von der Bank sperren. Betroffen sind auch die Zugangsdaten von Online-Marktplätzen wie eBay ( Versteigerung gestohlener Waren über einen fremden Account), Online-Versandhäusern, Bezahlsysteme wie PayPal oder Online-Beratungen und Kontaktbörsen.
Aufgrund der massenhaften Verschickung dieser Phishing - Mails ist die Anzahl derjenigen, die auf den Betrug hereinfallen, sehr hoch. Neben einer Rufschädigung ist insbesondere die Gefahr von Vermögensschäden enorm. Da sich Inhalt, Aussehen und Form der Phishing - Mails ständig ändern gibt es keinen 100%igen Schutz. Es empfiehlt sich, die Antivirus - Filter immer auf dem aktuellen Stand zu halten . Sobald eine solche Mail im Postfach gelandet ist, sollte man diese sofort und ungelesen löschen.
Spear - Phishing
Hierunter versteht man eine spezielle Form des Phishing - Betruges. Die Empfänger dieser Mail sind einer bestimmten lokalen Gruppe (Mitglieder eines lokalen Sportvereins, eingeschriebene Studenten einer Universität oder die Mitglieder einer regionalen IHK) zuzuordnen. Die Betrüger beschaffen sich gezielt die Mail- Adressen und verschicken ein gefälschtes Anschreiben einer lokalen Bank oder Sparkasse. Die Chance, dass die Angeschriebenen tatsächlich bei dieser Bank sind, ist sehr hoch. Entsprechend steigt die Anzahl der potentiellen gutgläubigen Opfer.
Pharming
Dies ist eine Weiterentwicklung des klassischen Phishing - Betruges. Unter dem Oberbegriff Pharming versteht man die gezielte Manipulation von DNS-Anfragen (Domain-Name-System) an Webbrowser. Das DNS ist notwendig um Webadressen in IP - Adressen umzuwandeln. Die DNS- Server verwalten die zu den Webadressen gehörigen IP - Adressen (Bsp.: zu xyz.de gehört die IP - Adresse 123.45.678.90). Durch die Veränderung einer der Ziffern (z.B.123.45.678.99) in der Hostdatei auf dem Computer des Nutzers wird dieser bei Eingabe der eigentlich richtigen www - Adresse immer zur gefälschten Seite geführt. Nachdem man auf dieser Seite gelandet ist, darf man nicht den Fehler begehen, seine vertraulichen Daten einzugeben.
Das Pharming ist im Unterschied zum Phishing nicht darauf angewiesen, dass der Nutzer dem Link folgt. Selbst bei Eingabe der entsprechenden Adresse in der Adresszeile gelangt er auf die gefälschte Homepage . Die gefälschte Seite liegt auf dem Server des Betrügers (Pharmer). Das Pharming stellt also nicht einen einmaligen versuchten Betrug durch Zusenden einer Mail (Phishing), sondern einen Dauerbetrug dar.
Um Pharming zu erkennen muss man genau auf die angewählte Seite und den gewünschten Vorgang achten. So verwenden Banken beim Online-Banking immer Adressen, die mit https:// beginnen. Der Datenaustausch darüber kann nur durch einen automatischen Austausch eines Zertifikats erfolgen, da sich der Server authentifizieren muss. Um Pharming - Angriffe zu verhindern empfiehlt es sich, neben einer guten Firewall immer ein aktuelles Virenprogramm zu verwenden .
Spoofing
Unter Spoofing versteht man unterschiedliche Täuschungsversuche im Internet bei gleichzeitiger Verschleierung und Manipulation der eigenen Identität . Ziel ist immer die Umgehung von Authentifizierungs- und Identifikationsverfahren, die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen beruhen. So kann man unter anderem unterscheiden in IP - Spoofing (Vortäuschen einer gefälschten Absenderadresse) und DNS - Spoofing (Veränderung der Zuordnung der www - Adressen und deren IP). Darüber hinaus gibt es viele weitere unterschiedliche spezielle Formen des Spoofing.
Rechtliche Situation
Der Ablauf von Phishing-Aktionen ist stets ähnlich. Nachdem der Nutzer seine Daten gutgläubig weitergegeben hat, findet auf dessen Konto eine Transaktion statt. Das transferierte Geld landet in den meisten Fällen auf einem inländischen Konto. Kontoinhaber sind meist ebenfalls gutgläubig angeworbene Personen. Diese werden in letzter Zeit durch scheinbar hervorragende Job-Angebote, für die man außer einem Computer und einem Inlandskonto keine Fähigkeiten benötigt, geworben. Aufgrund der versprochenen Provisionszahlungen lassen sich viele Studenten , Arbeitslose oder Rentner mit Geldsorgen darauf ein. Diese überweisen das Geld dann meist an ein ausländisches Konto des Betrügers. Diese Mittelsmänner werden Finanzkuriere genannt.
In der letzten Zeit gab es verschiedene Gerichtsentscheidungen im Bereich Phishing - Betrug . Das AG Darmstadt (Entscheidung vom 11.01.2006 – 212 Ls 360 Js 33848/05) verurteilte einen solchen Finanzkurier wegen Geldwäsche nach § 261 StGB . In einem anderen Fall verurteilte das AG Tiergarten / Berlin (Urteil vom 8.5.2006 (Az. 233 Ds 735/05) einen Finanzkurier ebenfalls wegen Geldwäsche zu einer Bewährungsstrafe von 6 Monaten. Aktuell laufen in Deutschland mehrere hundert Verfahren gegen potentielle Finanzkuriere. An die Hintermänner des Phishing - Betruges ist jedoch nur sehr schwer heranzukommen.
Fazit
Die Gefahr, Opfer eines solchen Betruges zu werden, ist sehr groß. Selbst Personen mit Internetkenntnissen sind hiervor nicht geschützt. Wichtig ist, den eigenen Computer so weit möglich durch technische Hilfsmittel zu schützen. Da dies jedoch nicht genügt, sollte man sich immer über die neuesten Entwicklungen informieren. Hat man fälschlicherweise gutgläubig seine Daten weitergegeben, ist es wichtig sich so schnell wie möglich mit seiner Bank in Verbindung zu setzen und einen spezialisierten Rechtsanwalt zu kontaktieren, um den Schaden möglichst gering zu halten.
Abo- und Vertragsfallen im Internet
Alles was Recht ist - was kann man tun?
Zunächst ist es wichtig, eine entsprechende Rechnung nicht auf die lange Bank zu schieben, von alleine erledigt sich das Problem nicht. Es gibt nun mehrere Möglichkeiten zu reagieren. Einerseits kann man den Anbieter direkt anschreiben und um Nachweis über den Vertragsschluss auffordern, da der Anbieter diesen beweisen muss. Hierfür stellen die Verbraucherzentralen Musterschreiben zur Verfügung.
Oftmals berufen sich Anbieter auf eine gespeicherte IP-Adresse . Über diese kann zwar ggf. der Anschlussinhaber, in der Regel aber nicht die konkrete Person des Vertragsschließenden ermittelt werden.
Man kann sich im Einzelfall je nach Gestaltung der Website auch darauf berufen, über die Kosten vom Anbieter nicht informiert worden zu sein und somit den Vertragsschluss in Unkenntnis eines wesentlichen Details des Vertrages herbeigeführt zu haben.
Grundsätzlich besteht zudem bei jedem abgeschlossenen Vertrag im Internet ein gesetzliches Widerrufsrecht , wenn ein Verbraucher mit einem Unternehmer Verträge schließt. Dabei ist zu beachten, dass der Widerruf in Textform erfolgen muss. Wird der Widerruf ignoriert oder wendet der Anbieter ein, das Widerrufsrecht sei aufgrund der bereits erfolgten Ausführung der Leistung erloschen und erhält der Verbraucher daraufhin weitere Mahnungen oder Zahlungsaufforderungen eines Inkasso-Büros, sollte ein spezialisierter Rechtsanwalt oder eine der Verbraucherzentralen eingeschaltet werden. Um später einen Nachweis zu haben, sollten sie den gesamten Schriftverkehr kopieren und aufbewahren.
Inzwischen haben mehrere Gerichte entschieden, dass Abos sowie die automatische Verlängerung von Probeabos nur wirksam sind, wenn in den Vertragsbedingungen ausdrücklich und eindeutig auf die Verlängerung des Vertrages und die Möglichkeiten der Kündigung hingewiesen worden ist. Ist für den Verbraucher nicht auf den ersten Blick erkennbar, wieviel er wofür bezahlen muss oder wie lange er sich vertraglich
bindet, ist der Vertrag in der Regel unwirksam. Dies betrifft insbesondere so genannte überraschende Klauseln in Allgemeinen Geschäftsbedingungen ( AGB ).
Quelle: http://www.e-recht24.de
OLG Frankfurt: kein Zahlungsanspruch bei Abo-Falle im Internet
Immer wieder versuchen Anbieter, dubiose kostenpflichtige Angebote an den Mann bzw. an die Frau zu bringen. Dabei scheuen sie nicht davor zurück, ihre Preise zu verschleiern oder zu verstecken. Zu diesen Kostenfallen oder auch so genannten Abo-Fallen hat das OLG Frankfurt Stellung bezogen.
Die Beklagte bot im Internet die Nutzung einer Datenbank für Namens- und Ahnenforschung an. Beworben wurde dieses Angebot damit, dass der Nutzer an einem Gewinnspiel teilnehmen würde. Um die Datenbank nutzen zu können, musste ein Anmeldeformular ausgefüllt und abgeschickt werden. Über der Eingabemaske befand sich eine mit Sternchen versehene Aufforderung, dass alle Felder ausgefüllt werden müssten. Der Sternchenhinweistext befand sich unterhalb der Eingabemaske und dem Start-Button. Dieser informierte die Nutzer darüber, dass nur richtige Angaben zur Teilnahme am Gewinnspiel berechtigen. Um Missbrauch zu vermeiden würde die IP-Adresse bei der Teilnahme gespeichert werden. Außerdem würde durch das Anklicken des Anmeldebuttons der Datenbankzugang für die Dauer eines Jahres zum einmaligen Entgelt i.H.v. 60,00 € frei geschaltet. Die Preisangabe: „60,00 € inkl. gesetzlicher Mehrwertsteuer“ erschien in Fettschrift. In den Allgemeinen Geschäftsbedingungen wurde die Preisangabe wiederholt und die Zahlungsbedingungen (Sofortzahlung) erläutert. Um sich für diese Datenbank anmelden zu können, mussten die Nutzer die Kenntnisnahme der AGB bestätigen. Der Kläger nimmt die Beklagte wegen Verschleierung des Preises bei Nutzung des Angebots, unzureichender Anbieterkennzeichnung und Verwendung unwirksamer AGB-Klauseln auf Unterlassung in Anspruch. Außerdem klagt der Kläger auf Kostenerstattung und Auskunft über den von der Beklagten erzielten Gewinn.
Das OLG Frankfurt bestätigte in seinem Urteil vom 04.12.2008 (Az.: 6 U 187/07) den Unterlassungsanspruch und die Kostenrückerstattung. Außerdem erkennt es den Auskunftsanspruch zu. Die Richter stellten klar, dass der durchschnittlich verständige Internetnutzer wegen der Art des Angebots und weiterer Umstände der Präsentation mit einer Kostenpflichtigkeit nicht rechnen musste. Dies stellt höhere Anforderungen an kostenpflichtige Angebote, die im Internet unterbreitet werden. Außerdem bejahte das OLG den Gewinnabschöpfungsanspruch, da die Beklagte „durch vorsätzlich wettbewerbswidriges Verhalten zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt“. Die Richter begründen ihre Entscheidung damit, dass die Preisangaben bewusst am Ende des Sternchenhinweistextes so platziert wurden, dass sie übersehen werden sollte. Der Fettdruck diente einzig dem Zweck, um den Nutzern vorzuhalten, dass sie deutliche Hinweise übersehen hätten. Die Nutzer – so die Richter weiter – hätten nicht mit Preisangaben im Sternchentext rechnen müssen. Die Ausführungen dienen im Allgemeinen dazu, die Nutzer darauf hinzuweisen, das Formular vollständig auszufüllen.
Quelle: http://www.e-recht24.de
LG Frankfurt: kein Betrug bei Abofallen
Ob Routenplaner oder Hausaufgabenhilfe, Grußkarten oder Sudoku-Rätsel, es ist immer die gleiche Masche: die Preisangaben sind auf der Website nur zu finden, wenn man das Kleingedruckte im Sternchenhinweis oder in den AGB liest. Falls nicht, steckt man schon in der Abo-Falle .
Zu diesem Thema äußerte sich jetzt die 27. Strafkammer des LG Frankfurt. Die Staatsanwaltschaft beschuldigte einen Betreiber u.a. für Routenplaner des Betrugs. Sie war
der Auffassung, dass den Nutzern die Zahlungspflicht für eine gewöhnlich kostenlose Leistung verschleiert wurde. Außerdem wurden die Nutzer nach Ansicht der
Staatsanwaltschaft dadurch getäuscht, dass sie durch Eingabe ihrer persönlichen Daten an einem Gewinnspiel teilnahmen. Diese Aufforderung war mit einem Sternchen versehen. Im unteren Bereich der Webseite befand sich die Erklärung zum Sternchen, dass die Inanspruchnahme der Leistung mit einem entsprechenden Entgelt verbunden ist.
Das Gericht entschied, dass die Anklage der Staatsanwaltschaft nicht die Anforderungen des Betrugs erfüllt. Die Preisangaben sind zwar erst am Ende der Webseite zu finden und dies könnte eine Verschleierung der Kosten darstellen, das heißt den Richtern zu Folge aber nicht, dass es sich um eine Täuschung handelt. Die Richter begründen ihre Entscheidung damit, dass ein durchschnittlicher Internetnutzer – auch bei Teilnahme an einem Gewinnspiel – sorgfältig den Hintergrund zu prüfen hat, warum er seine persönlichen Daten anzugeben hat. Dazu zählt auch die Webseite genauer zur Kenntnis zu nehmen als beim „bloßen Surfen“.
Quelle: http://www.e-recht24.de
Angabe „versicherter Versand“ auf eBay ist wettbewerbswidrig
Wer im Internet als Händler tätig ist, wird bestimmt schon einmal auf die rechtliche Problematik bzgl. der Angabe der Versandart gestoßen sein. Immer wieder wurde die Angabe „unversicherter Versand“ bei Angeboten von gewerblichen Verkäufern in den letzten Monaten abgemahnt, weil diese Angabe nach Meinung der Abmahnenden irreführend und damit wettbewerbswidrig ist, weil so der Verbraucher der Meinung sein könne, er hafte für etwaige Verluste der Ware auf dem Transportwege.
Viele gewerbliche Verkäufer haben ach dem Bekanntwerden solcher gelagerten Fälle die Versandangabe auf „versicherter Versand“ umgestellt, um damit auszudrücken, dass für ein etwaiger Verlust auf dem Versandweg gehaftet wird.
Doch auch diese Versandangabe kann zu Problemen führen, wie jetzt ein Beschluss des Landgericht Stuttgarts vom 26.06.2008 (Az. 35 O 66/08) zeigt. Mit diesem wurde es einem auf eBay angemeldeten gewerblichen Verkäufer im Rahmen des einstweiligen Verfügungsverfahrens untersagt, „versicherter Versand“ als Versandangabe anzugeben.
Im Rahmen eines Verkaufs eines gewerblichen Verkäufers an einen Verbraucher hat der Unternehmer schon per Gesetz das Transportrisiko zu tragen. Somit wird – so die Begründung aus dem Antrag – mit Selbstverständlichkeiten geworben, was irreführend und in der Folge wettbewerbswidrig ist.
Quelle: http://www.e-recht24.de
Augen auf beim (Flug-)Ticketkauf!
Zu den Risiken einer Buchung über Internet gehört, dass sich der Kunde bei der Auswahl verschiedener Möglichkeiten versehentlich verklicken kann. Dies stellt das Landgericht München I fest. Der Betreiber des Internetangebotes sei verpflichtet, Vorsorge zu treffen, damit dem Kunden bewusst wird, dass er eine Auswahl zwischen mehreren Zielmöglichkeiten zu treffen hat und dem Kunden diese Auswahlmöglichkeiten zur Vermeidung von Verwechslungen deutlich vor Augen geführt werden.
Der klagende Internetnutzer wollte bei dem beklagten Betreiber eines Internet-Portals für Reisen auf dessen Portal 4 Flüge für sich und seine Familie von Stuttgart nach San Jose in California, USA buchen. Versehentlich klickte er als Flugreiseziel jedoch San Jose, Costa Rica an. Einen nochmaligen Hinweis auf das ausgewählte Reiseziel gab es im Rahmen des Buchungsvorganges nicht mehr. Auf der Buchungsbestätigung waren lediglich die Ortsnamen mit den internationalen Flughafenkürzeln genannt,
so insbesondere "San Jose (SJO)". Auf der Rechnung waren ebenfalls lediglich die Ortsnamen ohne Staatenbezeichnung genannt, in der Betreffzeile war angeführt "Leistung: Nur Flug Publish Mittel-/Südame". Der Internetnutzer wurde auf die Buchung der Flüge nach San Jose in Costa Rica erst beim Einchecken am Flughafen Stuttgart aufmerksam. Er erwarb daraufhin 4 neue Tickets von Stuttgart über Atlanta nach San Jose in den USA für insgesamt 9.037,40 EUR.
Der klagende Internetnutzer trägt vor, er hätte bei der Buchung bzw. spätestens in der Buchungsbestätigung bzw. in der Rechung seitens des Reiseportal-Betreibers nochmals darauf hingewiesen werden müssen, dass er einen Flug nach San Jose in Costa Rica gebucht habe. Er habe seine Hinweispflichten als Betreiber eines Internetportals verletzt. Der Internetnutzer machte den Differenzbetrag zwischen den Reisepreisen für die ursprünglich gebuchten Flüge zu den nachgebuchten Flügen in die USA geltend.
Ohne Erfolg. Das Landgericht München I wies die Klage ab. Dem beklagten Portal-Betreiber obliege keine Hinweispflicht, den Internetnutzer nochmals über das von ihm im Internetportal gewählte Reiseziel und die Unterschiede zwischen San Jose in den USA und San Jose in Costa Rica hinzuweisen. Der Reise-Interessent lasse sich durch die Nutzung des Internetportals vielmehr bewusst auf die Möglichkeiten und Vorteile und damit aber auch auf die Risiken einer Buchung im Internet ein. Zu den Risiken einer Buchung über Internet gehöre, dass sich der Kunde bei der Auswahl verschiedener Möglichkeiten versehentlich verklicken kann.
Quelle: http://www.e-recht24.de
VG Münster: Keine Rundfunkgebühr für Internet-PC
Ein Student hat sich nun gegen einen GEZ-Gebührenbescheid des WDR erfolgreich vor dem Verwaltungsgericht Münster (Az.: 7 K 1473/07) gewehrt. Über einen Fernseher oder ein Radiogerät verfügt er nicht. Allerdings sollte die Regelung, dass auch für „neuartige Empfangsgeräte“, also sprich internetfähige Computer und PCs, die Rundfunkgebühr zu entrichten sei, die Verpflichtung zur Zahlung der GEZ-Gebühr begründen.
Grundsätzlich genügt für die entsprechende Zahlungsverpflichtung die potentielle Möglichkeit der Nutzung des öffentlich-rechtlichen Rundfunks. Weder müssen Fernseh- oder Radioprogramme tatsächlich genutzt worden sein, noch muss die Gebühreneinzugszentrale dies nachweisen. Gegen diese wunderliche Regelung hat sich der Student nun erfolgreich gewehrt. Er argumentierte, dass bei universell nutzbaren elektronischen Geräten wie Computern eine allgemeine Verpflichtung zur Gebührenzahlung angenommen werden könne. Der WDR dagegen berief sich auf den geltenden Rundfunkstaatsvertrag. Die potentielle Möglichkeit der Nutzung, die zwangsläufig mit dem Bereithalten des Gerätes gegeben sei, reiche aus.
Das Verwaltungsgericht Münster gab nun dem klagenden Studenten Recht. Aus dem bloßen Besitz von „neuartigen Empfangsgeräten“ könne dabei „nicht automatisch auf ein Bereithalten zum Rundfunkempfang geschlossen werden“. Typischerweise werden Computer etc. gerade nicht zum Rundfunkempfang eingesetzt. Das Gericht beruft sich dabei interessanterweise auf die Online-Studie der öffentlich-rechtlichen Anstalten ARD und ZDF. In dieser heißt es, lediglich 3,4 der Internetnutzer, dies entspricht 2,1 Prozent der Gesamtbevölkerung ab 14 Jahren, nutzten Radioprogramme mit Hilfe ihres Computers.
Quelle: http://www.e-recht24.de
Filesharing offline: Musiktausch ganz ohne Internet
Die „Entdecker“ der Idee fragen sich:
Wieso sollte man überhaupt die Dateien über das Internet anderen zugänglich machen, wo jeder Rechteinhaber und potentielle Abmahnanwalt dies mitverfolgen kann – die Rede ist von Hard-Drive-Partys, die in den USA immer mehr an Beliebtheit gewinnen.
Auf solchen Partys ist es Gang und Gebe, seine eigene Festplatte mitzubringen. Im Laufe des Abends werden dann mit den anderen Gästen die Inhalte der Festplatten ausgetauscht – ein ziemlich ernüchterndes Gefühl für die Musikindustrie, wenn man einmal bedenkt, wie viele Tausend Musikdateien mittlerweile auf eine günstige externe Festplatte passen.
Da die Partys meist in Insider-Kreisen stattfinden und vorher nicht groß angekündigt werden, haben die Rechteinhaber meist keine Handhabe gegen die Hard-Drive-Partys – ganz zur Freude der Partygäste, denn neben der Möglichkeit zum schnelleren Datenaustausch als über das Internet müssen sie keine Abmahnung wegen der Weitergabe urheberrechtlich geschützter Musikwerke fürchten.
Quelle: http://www.e-recht24.de