Finanzkriminalität: TD-Bank-Mitarbeiter gesteht 3,4-Mio-Betrug

Die weltweite Finanzkriminalität nimmt rasant zu: Kriminelle Netzwerke haben ihre Angriffe auf Banking-Apps, E-Mail-Konten und Cloud-Dienste massiv ausgeweitet. Betroffen sind nicht nur Privatpersonen, sondern zunehmend auch Bankmitarbeiter, die ihre eigenen Institute verraten.

Banking, PayPal und Shopping – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. 5 Schutzmaßnahmen jetzt kostenlos entdecken

Moderne Trojaner kapern Konten in Echtzeit

Die größte Gefahr geht derzeit von hochentwickelten Banking-Trojanern aus. Die Android-Schadsoftware SharkBot, ursprünglich in Europa aktiv, hat ihren Wirkungskreis nun auf die USA ausgedehnt. Das Programm nutzt sogenannte Automated Transfer Systems (ATS), um unbemerkt Überweisungen auszulösen – und das, obwohl die Opfer eine Zwei-Faktor-Authentifizierung aktiviert haben. Verbreitet wird die Malware über Apps, die auf den ersten Blick vertrauenswürdig wirken.

In Südamerika sorgt der neu entdeckte Trojaner Rocinante für Aufsehen. Die Schadsoftware ist speziell auf brasilianische Banken zugeschnitten und kombiniert Keylogging, Phishing und die vollständige Kontrollübernahme des infizierten Geräts. Die Kommunikation mit den Tätern läuft über Firebases, HTTP, WebSocket und sogar die Telegram-API. Technisch erinnert Rocinante an ältere Schädlinge wie Ermac oder Hook – und wird vor allem über betrügerische Phishing-Websites verbreitet.

Bankmitarbeiter als Insider – Millionenverluste durch Verrat

Doch nicht nur Technik, sondern auch menschliche Schwachstellen werden zur Gefahr. Ein spektakulärer Fall zeigt das Ausmaß: Am 28. Mai 2026 gestand ein ehemaliger TD-Bank-Mitarbeiter aus Queens, Cheungkin „Kelvin" Lam, vor einem Bundesgericht in Newark seine Schuld. Lam hatte vertrauliche Kundendaten an Betrüger weitergegeben – gegen Bestechungsgelder in Höhe von mindestens 155.000 Euro. Die Folge: Verluste von knapp 3,4 Millionen Euro für die betroffenen Kunden. Das Strafmaß wird am 15. Oktober 2026 verkündet.

In Indien läuft derweil die zweite Phase der „Operation Octopus" – einer Großrazzia gegen Cyberkriminalität. Die Polizei von Hyderabad nahm 52 Verdächtige fest, darunter 32 Angestellte von zehn verschiedenen Banken, unter anderem der HDFC und der Bank of Baroda. Sie sollen bei der Einrichtung von sogenannten Mule-Konten geholfen haben – also Konten, die zur Weiterleitung gestohlener Gelder genutzt werden. Die Behörden schätzen, dass allein in Hyderabad jährlich rund 48 Millionen Euro durch Cyberbetrug verloren gehen.

Ähnliche Fälle wurden in Rajkot und Bengaluru aufgedeckt. In Rajkot führten 71 Beschwerden zu einer Betrugsspur von umgerechnet rund 220.000 Euro, die über Konten der Canara Bank und der Axis Bank lief. In Bengaluru erhob die Polizei Anklage gegen einen 37-jährigen Mann, der ein Mule-Konto betrieben haben soll, das Betrugsgelder über mehrere indische Bundesstaaten hinweg verschob.

Gerichtsurteil: Kunden haften bei Fahrlässigkeit

Ein richtungsweisendes Urteil des Delhi High Court verändert die Rechtslage für Betrugsopfer grundlegend. Im Fall der State Bank of India (SBI) entschieden die Richter: Kunden können für Verluste haftbar gemacht werden, wenn sie fahrlässig handeln. Das Gericht stellte klar, dass Fahrlässigkeit nicht nur die Weitergabe von Einmalpasswörtern (OTPs) umfasst, sondern auch das Klicken auf verdächtige Links oder das Ignorieren von Sicherheitswarnungen. Damit hob das Gericht eine frühere Entscheidung auf, die einer Kundin nach einem Vishing-Betrug mit einem Verlust von umgerechnet rund 3.100 Euro eine Rückerstattung zugesprochen hatte.

Angesichts von Millionen gehackten Konten pro Quartal ist der Schutz durch klassische Passwörter oft nicht mehr ausreichend. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Accounts bei Amazon, WhatsApp und Co. manipulationssicher machen. Kostenlosen Passkey-Ratgeber herunterladen

Parallel dazu warnte die Better Business Bureau (BBB) am 31. Mai 2026 vor einer Welle betrügerischer Anrufe. Die Täter geben sich als Bankmitarbeiter oder Beamte von Behörden wie der US-Steuerbehörde IRS aus, um persönliche Daten zu stehlen. Die BBB rät: Niemals auf unbekannte Nummern zurückrufen – stattdessen Anfragen über offizielle Kanäle prüfen.

Infrastruktur zerschlagen – doch die Verluste sind oft irreversibel

Die Dimension der organisierten Kriminalität zeigt ein Polizeieinsatz in Kanpur. Dort hoben Ermittler eine Bande aus, die ein eigenes Callcenter für Investmentbetrug betrieb. Die Beute: 12.383 SIM-Karten, 42 Mobiltelefone und 40 Bankkarten.

Die Geschwindigkeit, mit der die Täter vorgehen, verdeutlicht ein Fall aus Kochi: Ein Busfahrer verlor umgerechnet rund 3.500 Euro, während er mit dem Zug nach Delhi unterwegs war. In Malaysia büßte ein Anleger über 100.000 Euro ein, nachdem er zwischen April und Ende Mai 2026 über einen Messaging-Dienst auf ein betrügerisches Investment-Angebot hereingefallen war. Experten warnen: In vielen Fällen werden die gestohlenen Gelder innerhalb kürzester Zeit in Kryptowährungen umgewandelt oder zur Tilgung von Kreditkartenschulden genutzt – eine Rückholung ist für die Opfer praktisch unmöglich.

de | wissenschaft | 69456271 |