Ein 27-jähriger BWL-Student aus Augsburg soll mittels Phishing-Mails insgesamt 84 Bankkunden um weiterhin als 400․000 Euro betrogen haben. Die Zentralstelle Cybercrime Bayern hat Anklage gegen den mutmaßlichen Täter erhoben. Ihm wird vorgeworfen, sich unbefugt Zugang zum Online-Banking der geschädigten Kunden verschafft und diese um insgesamt 413․184,91 Euro geschädigt zu haben. Der Student soll zwischen dem 1. Februar und dem 22. Juli 2021 Phishing-SMS an Bankkunden in ganz Deutschland versandt haben. Die SMS enthielten einen Link zu einer Phishing-Webseite die auf Domains wie spushtan.de oder spush.de gehostet war. Klickten die Opfer auf den Link, wurden sie aufgefordert, das voreingestellte Push-TAN-Verfahren zu verlängern.
Phishing-Server als Proxy
Die Geschädigten wurden zu einer Webseite weitergeleitet die von einem mutmaßlich vom Beschuldigten angemieteten Server gehostet wurde. Dieser Server forderte die Original-Webseite der jeweiligen Bank des Kunden an. Dadurch wirkte es für die Opfer so – wie ob sie sich auf der realen Homepage ihrer Bank befanden. Tatsächlich diente der Server als Proxy der es dem Studenten ermöglichte, den Datenverkehr der Kunden mit der Banken-Homepage mitzulesen und zu verändern. Sobald die Opfer ihre TAN eingegeben hatten – hatte der Angeklagte die volle Verfügung über ihre Konten.
Überweisung von mehr als 400․000 Euro für eigene Zwecke
Der Student nutzte die Kontenzugänge um insgesamt 84 Bankkunden um mehr als 400․000 Euro für eigene Zwecke zu erleichtern. Er bestellte damit zum Beispiel mehr als 2․000 Guthabenkarten und In-Game-Items und tauschte das Geld in Kryptowährungen um. Die Kriminalpolizeiinspektion Schwabach und die Zentralstelle Cybercrime Bayern führten intensive Ermittlungen durch die schließlich zur Festnahme des Beschuldigten am 27. Juli 2021 führten. Bei der Durchsuchung seiner Wohnung fanden die Beamten ebenfalls kleinere Mengen an Marihuana und Amphetamin-Paste.
Phishing-Vorwürfe und Verstoß gegen das Betäubungsmittelgesetz
Die Auswertung der Server-Daten und Zahlungsströme erhärteten den Tatverdacht, sodaß Anklage zu einer Strafkammer des Landgerichts Augsburg erhoben wurde. Der Student muss sich nun für das Ausspähen von Daten in Tateinheit mit gewerbsmäßiger Fälschung beweiserheblicher Daten und mit gewerbsmäßigem Computerbetrug in 84 Fällen verantworten. Neben einem Verstoß gegen das Betäubungsmittelgesetz muss er mit einer Gefängnisstrafe von sechs Monaten bis zu zehn Jahren rechnen. Die zuständige Strafkammer des Landgerichts Augsburg muss nun über die Zulassung der Anklage und die Eröffnung des Hauptverfahrens entscheiden.
Kommentare