Kann mein E-Ban­king-Konto mit einer IBAN-Nummer, Adresse und Kopie einer Iden­ti­täts­karte gehackt werden? Nein, aber…

Bei vielen Betrugs­arten ver­langen die Angreifer per­sön­liche Daten wie Name, Adresse und Tele­fon­nummer. In man­chen Fällen wird auch nach der IBAN gefragt, oder das Opfer wird auf­ge­for­dert, ein Pass- oder Iden­ti­täts­karten-Kopie einzusenden.

Weil die Sicher­heits­ver­fahren der Banken immer besser werden, greifen Täter heute fast immer auf  «Social Engi­nee­ring» zurück. Dabei werden Infor­ma­tionen durch Aus­kund­schaf­tung, Täu­schung und Mani­pu­la­tion der Opfer beschafft. Unter anderem in Form von gefälschten E-Mails und Websites.

Werden bestehende E-Ban­king-Konten betrachtet, sind die Daten für den eigent­li­chen Betrug nicht rele­vant, son­dern dienen nur dazu, Ver­trauen mit den Opfern auf­zu­bauen und die ver­meint­liche Serio­sität eines Ange­botes zu unter­strei­chen. Solch ein Angebot kann z.B. eine Rück­ver­gü­tung oder eine Gewinn­aus­schüt­tung sein. Mit einer IBAN-Nummer und einer Kopie einer Iden­ti­täts­karte ist es nicht mög­lich, Geld von einem Konto abzu­heben. Den­noch ist es mög­lich, mit der IBAN Miss­brauch zu betreiben, zum Bei­spiel indem jemand mit der IBAN bei einem Online­shop eine Last­schrift­zah­lung ver­an­lasst. Dies ist jedoch für Betrüger nicht lukrativ, da diese Zah­lungs­auf­träge bis zu einem Jahr lang bei der Bank bean­standet und zurück­ge­bucht werden können.

Betrachtet man jedoch das Sam­meln von Adresse und Pass- oder Iden­ti­täts­karten-Kopie im Kon­text von Anträgen für neue Konten bei aus­län­di­schen Banken und Kre­dit­in­sti­tuten, sieht die Sache etwas anders aus. Dabei werden Betrüger erfolg­reich von einem Finanz­in­stitut auf­ge­nommen, nachdem sie einen Antrag unter Ver­wen­dung der gesam­melten Adresse und Pass- oder Iden­ti­täts­karten-Kopie gestellt haben. Com­puter oder Handy der Betrüger sind bei der Bank regis­triert, somit ist auch eine Zwei­fach-Authen­ti­fi­zie­rung kein Hin­dernis. Der Betrüger kann voll­um­fäng­lich über das Konto ver­fügen, wel­ches auf den Namen des Opfers aus­ge­stellt ist. Solche Konten nutzt ein Betrüger für kri­mi­nelle Akti­vi­täten. Es taucht dabei nicht der Name des Betrü­gers auf, son­dern der des Opfers, und somit werden die Straf­an­zeigen gegen das Opfer aus­ge­stellt. Was zu sehr kom­pli­zierten und lang­wie­rigen Pro­zessen führen kann, wenn zu beweisen ist, dass nicht das Opfer die Straftat begangen hat, son­dern Opfer von Betrug wurde.

Es gilt gene­rell skep­tisch und zurück­halten mit der Angabe von per­sön­li­chen Daten zu sein. Werden Unge­reimt­heiten fest­ge­stellt, sollen umge­hend die Bank und die Polizei infor­miert werden.