„Ihr Paket konnte nicht zugestellt werden“, „Bitte aktualisieren Sie Ihre Zugangsdaten“ und Co. – die Vielfalt an Betrugsmaschen ist groß. So kann auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fast täglich neue Geschichten beobachten, die sich Betrüger einfallen lassen. In diesem Artikel führen wir Sie beispielhaft durch einen fiktiven Betrugsfall. Wir geben Ihnen anschließend Werkzeuge an die Hand, mit denen Sie sich schützen können.
Der Datenklau
„Sehr geehrter Kunde, Ihr Paket konnte nicht zugestellt werden, da die Zollgebühren (1,79 €) nicht bezahlt wurden. Sie können unter folgendem Link bezahlen: …“
Diese SMS bekommt Peter Müller* am Dienstagnachmittag. Er liest sie in den fünf Minuten, die ihm zwischen zwei wichtigen Meetings bleiben. Sofort denkt er an das Geschenk für seinen Sohn, das er vor kurzem online bestellt hatte. Felix* hat schon übermorgen Geburtstag. Deswegen ist es wichtig, dass das Paket bald ankommt. Also klickt er auf den mitgeschickten Link, der ihn vermeintlich zur Website des Paketzustellers weiterleitet. Über die Website zahlt er die angeblichen Zollgebühren. Dafür gibt er auf der Seite seine Kreditkartennummer und die entsprechende Prüfziffer an. Danach bekommt Peter per SMS einen Code, den er auch wie gefordert auf der Website angibt. Anschließend wählt er sich in das 15 Uhr Meeting ein und versinkt damit wieder in seinem Berufsalltag. Peter ahnt zu diesem Zeitpunkt noch nicht, dass er soeben Opfer eines Betrugs wurde.
Die böse Überraschung
Bevor er an diesem Abend schlafen geht, checkt Peter seine privaten E-Mails. Dabei fällt ihm eine Mail seiner Bank auf, in der bestätigt wird, dass seine Kreditkarte erfolgreich zu Google Pay hinzugefügt wurde. Das wundert ihn – immerhin hat er seine Kreditkarte bereits vor über einem Jahr für Google Pay registriert. Peter meint, dass es sich bei der E-Mail vielleicht ja nur um eine Aktualisierung wegen der Zoll-Zahlung vom Nachmittag handeln könnte. Er beschließt sich mit dem Thema am nächsten Tag zu beschäftigen. Müde legt Peter sein Smartphone weg und schläft kurz darauf ein.
Am nächsten Morgen, noch vor der Arbeit, prüft Peter seine Kartenumsätze. Die E-Mail zu Google Pay hatte ihm über Nacht doch noch Sorgen bereitet. Mit Schrecken muss er jetzt feststellen, dass diese Sorgen berechtigt waren. Von seiner Kreditkarte wurden seit dem Vortag mehrmals hohe Summen abgebucht. Diese gingen an Empfänger, von denen Peter noch nie etwas gehört hat.
Das Nachspiel
Peter weiß sofort, dass etwas nicht stimmt und ruft den Kundenservice seiner Bank an. Die Bankmitarbeiterin sperrt nach seiner Schilderung alle seine Konten. Außerdem stellt sie fest, dass seine Kreditkarte ein weiteres Mal zu Google Pay hinzugefügt wurde. Sie veranlasst die Löschung. Leider stellt sich heraus, dass Peter das verlorene Geld nicht mehr zurückbekommen wird, weil er selbst seine Kreditkarten-Daten weitergegeben und die Registrierung für Mobile Pay bestätigt hat. Damit hat Peter einen großen Teil dazu beigetragen, dass der Betrug möglich war. Dennoch geht er zur Polizei und erstattet Anzeige gegen den Betrüger. Die Chancen, dass dieser gefunden und für seine Taten belangt werden kann, sind aber gering.
_______________________________________________________________________________________________________
Aktuelle Betrugsmaschen
Peter aus dem oben beschriebenen Fall wurde Opfer eines sogenannten Mobile Payment Betrugs. Dadurch, dass er auf den Link in der SMS geklickt und dort seine Kreditkartennummer, Prüfziffer und den Code aus der zweiten SMS angegeben hat, konnte der Betrüger diese wichtigen Daten sammeln. Mit den Daten hat der Kriminelle Peters Kreditkarte für sich bei Google Pay hinzugefügt. Peter hat die Hinterlegung ermöglicht, indem er den Code aus der zweitem SMS weitergegeben hat. Er dachte es würde noch um die Bezahlung der Zollgebühren gehen und hat die SMS nicht richtig gelesen. Damit hat er dem Betrüger freie Verfügung über seine Kreditkarte gewährt.
Wie können Sie sich vor Betrug schützen?
- Es ist sehr wichtig, dass Sie Mails, SMS, TANs und sonstige Nachrichten genau lesen und auf Indizien achten, die auf Betrug hindeuten können. Seien Sie besonders vorsichtig beim Öffnen von Links, über die Sie Zugangsdaten oder TANs eingeben sollen.
In unserem Beispiel hätte es Peter z. B. auffallen müssen, dass der Link, der in der ersten SMS angegeben war, keinerlei Bezug zum Paketzusteller hatte. Und auch die zweite SMS, in der letztendlich der Code für die Aktivierung des Mobile Payment enthalten war, hätte Peter alarmieren müssen, wenn er sie richtig gelesen hätte.
- Eine Liste der wichtigsten Indizien und eine Anleitung dafür, wie Sie am besten auf Phishing-Nachrichten reagieren, lesen Sie in unserem FAQ-Bereich.
- Achten Sie außerdem genau darauf, welche Aufträge Sie über Ihre SecurePlus App oder über die Eingabe von Codes aus SMS-Nachrichten freigeben.
Durch die Zwei-Faktor-Authentifizierung müssen Aufträge wie die Hinterlegung eines fremden Smartphones (SecurePlus App) oder die Registrierung für das Mobile Payment immer von Ihnen freigegeben werden. Hätte Peter aus unserem Beispiel hier aufmerksamer die SMS, die für die Registrierung von Mobile Pay gedacht war durchgelesen, hätte er den Betrug früher bemerken und stoppen können.
Denn sowohl in der SMS als auch beim TAN-Verfahren über SecurePlus steht immer dabei wofür eine Freigabe gefordert wird.
- Setzen Sie Limits für Ihre Konten und Karten. Dann kann im Ernstfall nur ein begrenzter Betrag abgebucht werden. Das geht beides auf unserer Website. Oder nutzen Sie das Card-Control Tool in unserer App um Ihr Kreditkartenlimit zu verwalten. Hier können Sie Ihre Karten auch jederzeit sperren.
- Wenn Sie Benachrichtigungen erhalten, die Ihnen Sorgen bereiten oder Sie das Gefühl haben abgephisht worden zu sein, rufen Sie unsere Kundenbetreuung unter 0911/ 369 3000 an.
- Haben Sie das Gefühl, dass Sie über Mobile Pay abgephisht wurden? Dann können Sie rund um die Uhr Ihre Kreditkarte, sowie Mobile Pay über diese Nummer: 069/6657 1333 sperren lassen. Hätte Peter so gehandelt, als er die Mail mit der Bestätigung des Mobile Payment erhielt, hätte er den größten Schaden noch vermeiden können.
- Für die Girocard erreichen Sie die Notfall Sperrhotline unter 116 116 für 24 Stunden, 7 Tage die Woche.
Weitere wichtige Hinweise finden Sie auf unserer Sicherheitsseite und auf der Seite des BSI.
* Alle Namen sind fiktiv und beziehen sich nicht auf reale Personen
🖊 Übrigens: Wir haben diesen Blogartikel am 17.02.2023 veröffentlicht. Das Datum wird bei Änderungen automatisch aktualisiert – lediglich die Formatierung haben wir nachträglich für Sie optimiert und zusätzlich ein Inhaltsverzeichnis ergänzt.