abbrechen
Vorschläge einblenden
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Achtung Betrug: So versuchen Kriminelle an Ihr Geld zu kommen

10.01.2024 10:53

„Ihr Paket konnte nicht zugestellt werden“, „Bitte aktualisieren Sie Ihre Zugangsdaten“ und Co. – die Vielfalt an Betrugsmaschen ist groß. So kann auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fast täglich neue Geschichten beobachten, die sich Betrüger einfallen lassen. In diesem Artikel führen wir Sie beispielhaft durch einen fiktiven Betrugsfall. Wir geben Ihnen anschließend Werkzeuge an die Hand, mit denen Sie sich schützen können.

 

Der Datenklau

 

„Sehr geehrter Kunde, Ihr Paket konnte nicht zugestellt werden, da die Zollgebühren (1,79 €) nicht bezahlt wurden. Sie können unter folgendem Link bezahlen: …“

Diese SMS bekommt Peter Müller* am Dienstagnachmittag. Er liest sie in den fünf Minuten, die ihm zwischen zwei wichtigen Meetings bleiben. Sofort denkt er an das Geschenk für seinen Sohn, das er vor kurzem online bestellt hatte. Felix* hat schon übermorgen Geburtstag. Deswegen ist es wichtig, dass das Paket bald ankommt. Also klickt er auf den mitgeschickten Link, der ihn vermeintlich zur Website des Paketzustellers weiterleitet. Über die Website zahlt er die angeblichen Zollgebühren. Dafür gibt er auf der Seite seine Kreditkartennummer und die entsprechende Prüfziffer an. Danach bekommt Peter per SMS einen Code, den er auch wie gefordert auf der Website angibt. Anschließend wählt er sich in das 15 Uhr Meeting ein und versinkt damit wieder in seinem Berufsalltag. Peter ahnt zu diesem Zeitpunkt noch nicht, dass er soeben Opfer eines Betrugs wurde.

 

 

Die böse Überraschung

 

Bevor er an diesem Abend schlafen geht, checkt Peter seine privaten E-Mails. Dabei fällt ihm eine Mail seiner Bank auf, in der bestätigt wird, dass seine Kreditkarte erfolgreich zu Google Pay hinzugefügt wurde. Das wundert ihn – immerhin hat er seine Kreditkarte bereits vor über einem Jahr für Google Pay registriert. Peter meint, dass es sich bei der E-Mail vielleicht ja nur um eine Aktualisierung wegen der Zoll-Zahlung vom Nachmittag handeln könnte. Er beschließt sich mit dem Thema am nächsten Tag zu beschäftigen. Müde legt Peter sein Smartphone weg und schläft kurz darauf ein.

Am nächsten Morgen, noch vor der Arbeit, prüft Peter seine Kartenumsätze. Die E-Mail zu Google Pay hatte ihm über Nacht doch noch Sorgen bereitet. Mit Schrecken muss er jetzt feststellen, dass diese Sorgen berechtigt waren. Von seiner Kreditkarte wurden seit dem Vortag mehrmals hohe Summen abgebucht. Diese gingen an Empfänger, von denen Peter noch nie etwas gehört hat.

 

230127_v1_5571_Betrug_1240x620px.jpg

 

Das Nachspiel

 

Peter weiß sofort, dass etwas nicht stimmt und ruft den Kundenservice seiner Bank an. Die Bankmitarbeiterin sperrt nach seiner Schilderung alle seine Konten. Außerdem stellt sie fest, dass seine Kreditkarte ein weiteres Mal zu Google Pay hinzugefügt wurde. Sie veranlasst die Löschung. Leider stellt sich heraus, dass Peter das verlorene Geld nicht mehr zurückbekommen wird, weil er selbst seine Kreditkarten-Daten weitergegeben und die Registrierung für Mobile Pay bestätigt hat. Damit hat Peter einen großen Teil dazu beigetragen, dass der Betrug möglich war. Dennoch geht er zur Polizei und erstattet Anzeige gegen den Betrüger. Die Chancen, dass dieser gefunden und für seine Taten belangt werden kann, sind aber gering.

 

_______________________________________________________________________________________________________

Aktuelle Betrugsmaschen

 

Peter aus dem oben beschriebenen Fall wurde Opfer eines sogenannten Mobile Payment Betrugs. Dadurch, dass er auf den Link in der SMS geklickt und dort seine Kreditkartennummer, Prüfziffer und den Code aus der zweiten SMS angegeben hat, konnte der Betrüger diese wichtigen Daten sammeln. Mit den Daten hat der Kriminelle Peters Kreditkarte für sich bei Google Pay hinzugefügt. Peter hat die Hinterlegung ermöglicht, indem er den Code aus der zweitem SMS weitergegeben hat. Er dachte es würde noch um die Bezahlung der Zollgebühren gehen und hat die SMS nicht richtig gelesen. Damit hat er dem Betrüger freie Verfügung über seine Kreditkarte gewährt.

 

 

Wie können Sie sich vor Betrug schützen?

 

  • Es ist sehr wichtig, dass Sie Mails, SMS, TANs und sonstige Nachrichten genau lesen und auf Indizien achten, die auf Betrug hindeuten können. Seien Sie besonders vorsichtig beim Öffnen von Links, über die Sie Zugangsdaten oder TANs eingeben sollen.
    In unserem Beispiel hätte es Peter z. B. auffallen müssen, dass der Link, der in der ersten SMS angegeben war, keinerlei Bezug zum Paketzusteller hatte. Und auch die zweite SMS, in der letztendlich der Code für die Aktivierung des Mobile Payment enthalten war, hätte Peter alarmieren müssen, wenn er sie richtig gelesen hätte.
  • Eine Liste der wichtigsten Indizien und eine Anleitung dafür, wie Sie am besten auf Phishing-Nachrichten reagieren, lesen Sie in unserem FAQ-Bereich.
  • Achten Sie außerdem genau darauf, welche Aufträge Sie über Ihre SecurePlus App oder über die Eingabe von Codes aus SMS-Nachrichten freigeben.

Durch die Zwei-Faktor-Authentifizierung müssen Aufträge wie die Hinterlegung eines fremden Smartphones (SecurePlus App) oder die Registrierung für das Mobile Payment immer von Ihnen freigegeben werden. Hätte Peter aus unserem Beispiel hier aufmerksamer die SMS, die für die Registrierung von Mobile Pay gedacht war durchgelesen, hätte er den Betrug früher bemerken und stoppen können.

Denn sowohl in der SMS als auch beim TAN-Verfahren über SecurePlus steht immer dabei wofür eine Freigabe gefordert wird.

 

  • Setzen Sie Limits für Ihre Konten und Karten. Dann kann im Ernstfall nur ein begrenzter Betrag abgebucht werden. Das geht beides auf unserer Website. Oder nutzen Sie das Card-Control Tool in unserer App um Ihr Kreditkartenlimit zu verwalten. Hier können Sie Ihre Karten auch jederzeit sperren.

 

  • Wenn Sie Benachrichtigungen erhalten, die Ihnen Sorgen bereiten oder Sie das Gefühl haben abgephisht worden zu sein, rufen Sie unsere Kundenbetreuung unter 0911/ 369 3000 an.

 

  • Haben Sie das Gefühl, dass Sie über Mobile Pay abgephisht wurden? Dann können Sie rund um die Uhr Ihre Kreditkarte, sowie Mobile Pay über diese Nummer: 069/6657 1333 sperren lassen. Hätte Peter so gehandelt, als er die Mail mit der Bestätigung des Mobile Payment erhielt, hätte er den größten Schaden noch vermeiden können.

 

  •  Für die Girocard erreichen Sie die Notfall Sperrhotline unter 116 116 für 24 Stunden, 7 Tage die Woche.

 

Weitere wichtige Hinweise finden Sie auf unserer Sicherheitsseite und auf der Seite des BSI.

 

* Alle Namen sind fiktiv und beziehen sich nicht auf reale Personen

 

 

 

🖊 Übrigens: Wir haben diesen Blogartikel am 17.02.2023 veröffentlicht. Das Datum wird bei Änderungen automatisch aktualisiert – lediglich die Formatierung haben wir nachträglich für Sie optimiert und zusätzlich ein Inhaltsverzeichnis ergänzt.

1 Kommentar

Aufsteiger
‎25.09.2023 17:34
‎25.09.2023 17:34

Nachdem Peter nochmal nachgedacht hat, stellt er der Consorsbank die eigentlich wichtige Frage:

 

Warum ist der Zugang zu Mobile Pay bei der Consorsbank eigentlich nicht, wie von der PSD 2 (Verordnung 2015/2366 ergänzt durch Verordnung 2018/389) gefordert, durch eine „starke Kundenauthentifizierung“ gestützt?

 

Schließlich übermittelt er seine Kreditkartendaten inklusive der Prüfnummer bei jedem Bezahlvorgang an Dritte, oder er drückt sie beim Bezahlen im Restaurant in Amerika dem Kellner in die Hand. Natürlich sind die Daten auf seiner Karte damit kein Geheimnis, welches nur der Peter kennt.

 

Was Peter wundert: Selbst wenn Peter nur seinen Kontostand bei der Consorsbank prüfen möchte, muss er neben seiner Kontonummer (kein Geheimnis) noch seine PIN eingeben (ein echtes Geheimnis) und den Zugang durch die Secure Plus App freigeben, welche wiederum durch ein weiteres Kennwort geschützt ist (ein zweites Geheimnis) und nur auf seinem Handy läuft (Besitz). Er muss also immer quasi drei Faktoren erfüllen - vorbildlich!

 

Plötzlich wird Peter sauer, denn es wird ihm klar, dass seine gesamte Einlage bei der Consorsbank viel weniger geschützt ist, als er bisher dachte: Über den Angriffsvektor „Mobile Pay“ ist sein Guthaben und der Dispositionskredit zu seiner Überraschung nur durch eine einzelne SMS geschützt. Peter fragt sich, warum seine Bank für eine Freigabe, die dazu geeignet ist, seine ganze Einlage bei der Consorsbank abzuräumen und ihm noch Schulden aufzubürden, ein objektiv schlechteres Sicherheitsverfahren nutzt, als wenn er nur seinen Kontostand abfragen möchte?

 

Peter liest diesen Artikel der Consorsbank hier, der von ihm handelt und stellt fest, dass die Consorsbank sogar weiß, dass Betrüger es ausnutzen, dass der Inhalt von SMS-Nachrichten nicht wahrgenommen wird. Peter erinnert sich daran, die TAN mit „aus Nachricht übernehmen“ eingefügt zu haben und teilt entsprechend die diesbezügliche Auffassung der Consorsbank in diesem Artikel.

 

Wenn die Consorsbank das aber weiß, dann weiß die Bank also, dass nicht einmal dieser eine verbliebene Authentifizierungs-Faktor einen validen Schutz bietet? Und warum toleriert Peters Bank diese Sicherheitslücke über ein halbes Jahr hinweg und versucht anstatt das Problem zu lösen mit so einem komischen Artikel aus der Rechtsabteilung dem Peter zu erklären, dass er kein Geld zurück bekommt? Peter kratzt sich am Kopf.

 

Peter denkt nach: Wann hat ihm die Consorsbank denn jemals zuvor eine SMS geschickt? Peter erinnert sich nicht, denn die Consorsbank schickt keine SMS, sondern nutzt sonst aus gutem Grund das viel sicherere Secure Plus App Verfahren. Kein Wunder also, dass Peter die SMS im Zoll-Kontext nicht wirklich für eine SMS von seiner Bank gehalten hat. Genauso wenig hält Peter den Vogel da drüben für eine von der Consorsbank geschickte Brieftaube, denn die Consorsbank schickt keine Brieftauben.

 

Peter ist ja schließlich nicht fahrlässig und verlässt sich darauf, dass seine Bank auch nicht fahrlässig ist und die Sicherheitsmechanismen seiner Bank konsistent und risikoadäquat sind.

 

D.h. wenn die Consorsbank für das Abrufen des Kontostandes bereits sogar drei Faktoren überprüft (PIN (Wissen), zweite PIN oder FaceID (Wissen/Inhärenz), SecurePlus App auf autorisiertem Device (Besitz)), dann findet Peter eine einzelne SMS, die sich leicht umleiten lässt (IMessage), für das Abräumen seines Kontos nicht so gut.

 

Peter hat die Verordnungen 2015/2366 und 2018/389 unterdessen von vorne bis hinten durchgelesen. Dabei hat er sich fleißig Notizen gemacht und ihm wird immer klarer, dass die Consorsbank ihm das Geld ersetzen muss, da die Bank wirklich vieles nicht beachtet hat. Als er bei Artikel 74 Abs. (2) der Verordnung 2015/2366 angekommen ist schläft er beruhigt ein:

„(2)   Verlangt der Zahlungsdienstleister des Zahlers keine starke Kundenauthentifizierung, so trägt der Zahler einen finanziellen Verlust nur, wenn der Zahler in betrügerischer Absicht gehandelt hat.“

 

Peter wäre es lieber gewesen, wenn die Consorsbank hier eine starke Kundenauthentifizierung genutzt hätte, denn dann wäre das ganze nicht passiert.

 

Als Peter sich per Beschwerde bei der Consorsbank meldet, passiert lange nichts. Auf Nachfrage hört er, dass die Beschwerdeabteilung gerade besonders viel zu tun hat. Das überrascht Peter nicht.

0 Likes