Bei den Verbraucherzentralen häufen sich die Fälle, in denen Kriminelle versuchen via Onlinebanking Kasse zu machen. Innerhalb nur einer Woche haben die Verbraucherschützer auf ihrer Seite "Phishing-Radar" fünf entsprechende Meldungen herausgegeben. Ziel waren demnach Kundinnen und Kunden von Sparkassen, Postbank, ING DiBa und Landesbank Berlin. Die Betrüger verschickten eMails, in denen mal auf eine gesperrte Kreditkarte hingewiesen wurde, mal auf eine Aktualisierung einer Banking-App, oder die Handynummer abgeglichen werden soll. Bei der Sparkasse wird zudem versucht zeitlichen Druck aufzubauen. Hier sollen innerhalb von drei Tagen die Kundendaten eingeben werden, angeblich um großmögliche Sicherheit für das Bankkonto zu bekommen. Ähnliche Mails gibt es zu den Paketdiensten FedEx und Hermes, sowie vom Bezahldienstleister Paypal. Immer ist ein Link eingebaut, der auf eine Internetseite führt, in die man seine Kundendaten nebst Passwort eintippen kann. Das sollte man aber auf keinen Fall tun, wie die Verbraucherschützer ausdrücklich warnen.
Auch Zwei-Faktorauthentifizierung schreckt Betrüger nicht ab
Wer den Anweisungen Folge leistet, auf den Link klickt und womöglich sogar Benutzernamen, Konto- beziehungsweise Kreditkartennummer und Passwort eingibt, öffnet den Kriminellen bereits ein Stück weit die Türe. Zwar ist der direkte Zugriff aufs Konto inzwischen so gut wie immer durch die Zwei-Faktorauthentifizierung zusätzlich geschützt. Aber Kontostände und Überweisungen mindestens der letzten Wochen lassen sich schon mal einsehen. Und Kriminelle bohren dann oft weiter, um Geld abzuzweigen, wie David Riechmann von der Verbraucherzentrale NRW erklärt. In einem zweiten Schritt werde versucht, an eine TAN zu kommen oder sich gleich ein weiteres Gerät (nämlich das Smartphone der Angreifer) als neuen TAN-Generator freischalten zu lassen. Dafür reicht es bei manchen Banken, wenn die Opfer eine entsprechende Anweisung, die sie auf ihr Handy bekommen mit einem Klick bestätigen.
Screenshot Freischaltung eines neuen Endgerätes als Tan-Generator
Wer das bestätigt und damit ein fremdes Handy als Tan-Generator freischaltet, gibt die Kontrolle über sein Bankkonto komplett ab. Verbraucherschützer Riechmann berichtet von einem Fall, bei dem Betrüger sogar einen Kredit im Namen des Opfers aufgenommen haben.
Phishing-Fallen sind eigentlich leicht erkennbar
Die meisten der jüngst gemeldeten Phishing-Mails sehen auf den ersten Blick ziemlich echt aus, weil die Logos der Banken nahezu perfekt eingebaut sind. Bei genauerem Hinsehen fallen aber in vielen Fällen Rechtschreib- oder Grammatikfehler auf. Oft sind Wörter nicht voneinander getrennt. Manchmal fehlt auch die Anrede. Und ganz generell gilt ohnehin: Banken beteuern immer wieder, dass sie keine Kundendaten abfragen und nie zum Eingeben des Passwortes auffordern.
Wer solche Phishing-Mails bekommt, sollte sie unbeantwortet in den Spam-Ordner des Mailprogramm verschieben. Zuvor kann man die Mails noch den Verbraucherzentralen schicken (phishing@verbraucherzentrale.nrw) damit sie dort ausgewertet werden, um andere zu warnen.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!