Phishing ist der Oberbegriff für mehrere Varianten einer Betrugsmethode, bei der die Täter mittels gefälschter E-Mails und/oder Webseiten versuchen, an Daten der Opfer zu gelangen, mit deren Hilfe sie unter anderem deren Bankkonten plündern können.
Eine Methode besteht darin, gefälschte E-Mails zu verschicken, die vorgeblich von einer Bank, einem Bezahldienstleister oder auch einem Immobilienportal kommen. Das Anklicken der E-Mail kann bereits reichen, damit auf dem eigenen PC wird ein Trojaner installiert wird, der Tastatureingaben aufzeichnet und die Kontozugangsdaten ausspäht. Oft muss der Nutzer aber erst einen Link in der -Mail anklicken. Dieser installiert entweder einen Trojaner oder leitet den Nutzer auf eine ebenfalls gefälschte Internetseite um, auf der er seine Daten eingeben soll.
Kreditinstitute fordern ihre Kunden in der Regel nicht per E-Mail auf, irgendwo PIN- und TAN-Nummern (Transaktionsnummern zur Autorisierung von Überweisungen) einzugeben (schon gar nicht mehrere TAN hintereinander). Bei solchen Ansinnen ist daher besondere Vorsicht geboten.
Auch das heute übliche Verfahren, bei dem die TAN auf Anforderung per Internet erst die konkrete Überweisung erzeugt und dann per SMS auf das Mobiltelefon des Kunden versendet, ist nicht als komplett sicher anzusehen. Seit immer mehr Bankkunden ihre unterschiedlichen Geräte synchronisieren oder direkt vom Smartphone aus Online-Banking betreiben, ist die Sicherheit der verschiedenen Kommunikationswege Handy und PC mit Festnetz-Internet nicht mehr gegeben.
Bei Phishing-Angriffen auf Bankkonten hängt es vom Einzelfall ab, ob das Geldinstitut oder der Kunde den Schaden zu tragen hat. Vor den Gerichten wird meist darüber diskutiert, ob hier allein durch Nutzung der PIN und TAN ein „Anscheinsbeweis“ dafür vorliegt, dass der Kunde mit seinen Daten unvorsichtig gewesen ist. Denn grobe Fahrlässigkeit im Umgang mit Zugangsdaten und Transaktionsnummern führt dazu, dass der Kunde selbst den Schaden trägt. Nach einem Urteil des Bundesgerichtshofes ist ein solcher Anscheinsbeweis nicht ausgeschlossen, aber nur anwendbar bei einem fast unüberwindbar sicheren Bezahlsystem und dessen ordnungsgemäßer Anwendung im Einzelfall. Bei missbräuchlicher Nutzung des Online-Banking kommt der Anscheinsbeweis jedoch nicht zur Geltung, so dass der Kunde Chancen hat, den Schaden ersetzt zu bekommen (Urteil vom 26.1.2016, Az. XI ZR 91/14). Das Landgericht Oldenburg hat am 15.1.2016 ein wichtiges Urteil zum Phishing gesprochen: Danach kann die Nutzung von Benutzername, PIN und TAN des Opfers noch keinen Anscheinsbeweis dafür begründen, dass der Kontoinhaber unvorsichtig mit seinen Daten war (Az. 8 O 1454/15). Hier gab es Beweise dafür, dass sowohl der PC als auch das Mobiltelefon des Betroffenen von einem Trojaner befallen waren, mit dessen Hilfe eine Zahlung von 11.000 Euro an ein fremdes Konto autorisiert wurde. Haften musste im Ergebnis die Bank.
Auch bei Immobilienportalen ist Phishing ein zunehmendes Problem. Dieses richtet sich in erster Linie gegen Eigentümer von Immobilien. Als Kunden bei einem Immobilienportal erhalten diese eine E-Mail, in der sie unter einem Vorwand aufgefordert werden, sich auf ihrem Nutzerkonto bei dem Portal einzuloggen. Dazu gibt es gleich einen Link zur Login-Seite – die jedoch gefälscht ist. Hat der Täter die Daten des Eigentümers, kann er jederzeit auf dessen Nutzerkonto zugreifen. Er kann sich so zum Beispiel mit Interessenten für die Immobilie in Verbindung setzen und von diesen Zahlungen wie eine Kaution verlangen. Hier spricht man auch von Vorkasse-Betrug, einem immer häufiger vorkommenden Verfahren.