Kaay Display-TAN
En

Was ist Friendly Fraud?

Friendly Fraud ist alles andere als freundlich: es ist ein tückisches Online Payment und Online Banking Betrugsschema. Der Bankkunde ist dabei der Betrüger - daher der Name.

Friendly Fraud ist einfach zu verstehen

Friendly Fraud für Online Banking (also Überweisungen) verläuft so:

Der Betrüger hat ein Konto bei Bank X. Er sorgt dafür, dass auf dem Konto Geld ist, sagen wir 2000 Euro. Dann überweist er selber mobil mit einem nicht-trojanersicheren Smartphone TAN-Verfahren wie z.B. SMS-TAN oder App-TAN die 2000 Euro auf ein Konto im Ausland. Wenige Tage später teilt er der Bank X mit, er wundere sich über die Überweisung von 2000 Euro auf ein Konto im Ausland, er wisse davon nichts und sei nicht dafür verantwortlich, man möge ihm doch - falls es unmöglich sei, das Geld zurückzuholen - die 2000 Euro erstatten. Wenn die Bank erstattet, ist der Betrug damit schon erfolgreich gewesen. Wenn die Bank die Erstattung verweigert, leitet der Betrüger ein Gerichtsverfahren ein. In dem Gerichtsverfahren wird ein Informatik-Gutachter bestätigen müssen, dass es ein Trojaner gewesen sein könnte, der die Überweisung heimlich und ohne Involvierung des Kunden ausgeführt haben könnte. Die Beweislast ist also auf Seite der Bank, und damit ist das Verfahren praktisch aussichtslos für die Bank. Der Betrüger sollte also die Erstattung gerichtlich erzwingen können und hat damit diese Geldsumme ergaunert (die gleichhohe überwiesene Geldsumme ist bei seinem Komplizen).

Friendly Fraud ist einfach durchzuführen

Der Betrüger braucht praktisch kein IT/Hacking Know-how. Das Konto im Ausland muss von einem Komplizen verwaltet werden, aber nicht mit ihm in Verbindung gebracht werden können. Außerdem muss er den Betrugsbetrag flüssig haben, und darüber hinaus eine Geldsumme für das Gerichtsverfahren. Alle diese Voraussetzungen sind machbar.

Wenig Risiko für den Betrüger

Der Betrüger geht dabei nur ein geringes Aufdeckungs-Risiko ein, denn der Betrug ist ihm praktisch nicht nachzuweisen. Auch eine forensische Untersuchung des Smartphones ist wenig aussichtsreich: Ein gut gemachter Trojaner verschwindet nach seiner Aktion spurlos vom Smartphone, indem er das Smartphone in den Zustand zurückversetzt, in dem er es bei der Infizierung vorgefunden hat. Das bedeutet, dass auch im Fall, dass auf dem Smartphone keine Spuren eines Trojaners gefunden werden, es trotzdem ein Trojaner gewesen sein könnte.

Das finanzielle Risiko beschränkt sich für den Betrüger auf die Kosten des Gerichtsverfahrens, falls das Gericht unerwarteterweise die Beweislast auf seiner Seite sieht (der überwiesene Betrag ist nicht verloren!)

Gibt es Friendly Fraud?

Der Begriff kommt aus dem Online Kreditkarten-Payment (''Chargeback Fraud''): Dort geht es um bestellte Waren, die vom Betrüger empfangen werden, aber bei denen per Stornierung die Bestellung der Ware vom Betrüger bestritten wird, so dass dem Betrüger das Geld zurückerstattet wird und er somit die Ware ohne Bezahlung bekommt. Friendly Fraud soll eine der häufigsten Betrügereien im Kreditkartengeschäft sein, aus Händlersicht wegen der Folgekosten berüchtigt, und auch der Streit mit der Kreditkartenbank um die Haftung ist vorprogrammiert. Der Unterschied zum Friendly Fraud beim Online Banking ist, dass der Betrüger nur Ware ergaunern kann - kein Geld, und dass es dabei meistens nur um kleine Werte geht.

Beim Friendly Fraud im Online Banking ergaunert der Betrüger Geld, und es können auch hohe Beträge sein. Bei einem BGH Fall (Link siehe unten), bei dem es um eine SMS-TAN Überweisung von sage-und-schreibe 238.000 Euro ging, wurde von der Bank vermutet, dass es sich einen Friendly Fraud handelte. Weil die Beweislast auf Seiten der Bank war und sie es nicht beweisen konnte, musste die Bank dem Kunden die Summe erstatten.

Schützt Display-TAN gegen Friendly Fraud?

Ja, denn die Bank weiß und kann plausibel nachweisen, dass auf der Display-Bankkarte des Kunden die Überweisung angezeigt und bestätigt wurde. Damit wäre eine Behauptung des Kunden, er sei nicht in die Überweisung involviert gewesen, nicht glaubhaft.

Weil auch ein Betrüger diese Überlegung im Voraus anstellen wird, schützt Display-TAN sogar präventiv gegen Friendly Fraud, also ohne, dass es zu einem Fall kommt.

Links

Wikipedia (engl.): Chargeback Fraud

Verifi: What is Friendly Fraud?

Jan. 2016, BGH: Urteil XI ZR 91/14

Mehr InformationenDemo AppsAPIMehr FunktionaltätenLinksKontakt
Workflows
IBAN
Vergleich mit App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
YouTube Playlist ''Technology Cards''
Über uns
Kontakt
Impressum