Durch Phishing erlangte Zugangsdaten verwenden Betrüger zunehmend zum Anlegen und Nutzen einer digitalen Kredit- oder auch EC-Karte.
Die Polizei Dortmund warnt aktuell vor einer neuen Masche. Hierbei nutzen Phishing-Betrüger die erlangten Daten zum Anlegen einer digitalen Kredit- oder auch EC-Karte. Im Anschluss daran verwenden sie die Karte für missbräuchlich durchgeführte Käufe. Die Polizei rät zu gesundem Misstrauen, sollte man „telefonisch oder gar per SMS dazu aufgefordert werden, im Rahmen Ihres Online-Bankings Vorgänge zu bestätigen“.
Vorgehensweise der Täter
Dem Vorgang voraus geht allerdings ein klassischer Phishing-Betrug. Beispielsweise führt eine Phishing-Mail mit beigefügtem Link auf eine täuschend echt aussehende Bank-Seite. Man wird infolge aufgefordert, seine Daten wie Zugangsdaten zum Online-Banking, Passwörter oder Transaktionsnummern einzugeben. Befinden sich die Daten erst mal im Besitz der Betrüger, ist der Weg für Missbrauch geebnet. Mit der vorgegaukelten Identität des jeweiligen Opfers wickeln sie Online-Geschäfte im Namen des Geschädigten ab.
Allerdings gehen die Täter bei dieser Masche noch einen Schritt weiter. Mit den durch Phishing erlangten Zugangsdaten beantragen sie beim Geldinstitut des Opfers eine digitale Kredit- oder EC-Karte. Um die von dem Geldinstitut daraufhin eingeleitete einmalige Autorisierung durch den Kunden zu gewährleisten, wenden sich die Betrüger direkt an ihre Opfer, entweder per Telefon, per E-Mail oder mittels SMS. Dabei könnten sie sich als Geldinstituts-Mitarbeiter ausgeben. Die Täter erfinden einen Vorwand, wie die Bestätigung eines Updates, warum die Autorisierung erforderlich sei. Um kein Misstrauen aufkommen zu lassen, verwenden sie für die Anrufe „Call-ID-Spoofing“. Damit erscheint im Display die exakte Nummer der jeweiligen Bank.
Infolge können die Täter die durch Phishing-Daten erlangte digitale Karte ab diesem Zeitpunkt so lange nutzen, bis diese gesperrt wird. Die Polizei berichtet und warnt:
„Dies tun sie in den bekannten Fällen zum Beispiel, um Einkäufe zu tätigen und die so erstandene Ware entweder selbst zu nutzen oder weiter zu verkaufen. Für das Geldinstitut entsteht zunächst der Eindruck, dies geschehe durch den Kunden selbst. […] Kein Geldinstitut wird am Telefon, per E-Mail oder per SMS vertrauliche Daten anfordern oder Dinge erledigen, die einer Autorisierung in der Banking App bedürfen.“
Polizeiliche Ratschläge sollen Phishing-Schutz gewährleisten
„Sollten Sie von einem angeblichen Vertreter Ihrer Bank kontaktiert und zum Beispiel zu einem Update gedrängt werden, werden Sie sofort misstrauisch. Kontaktieren Sie Ihre Bank unter den gängigen Erreichbarkeiten und hinterfragen Sie die Maßnahme.“
- Übermitteln Sie keine persönlichen oder vertraulichen Daten (bspw. Passwörter oder Transaktionsnummern) per E-Mail.
- Folgen Sie niemals einem Link, um sich in Ihr Online-Banking einzuloggen. Rufen Sie dies nur über den Ihnen bekannten Weg auf.
- Vergewissern Sie sich immer, mit wem Sie es zu tun haben. Überprüfen Sie bei Links und Internetseiten die Adressleiste in Ihrem Browser. Bei geringsten Abweichungen sollten Sie stutzig werden.
- Klicken Sie nicht auf den angegeben Link in einer übersandten E-Mail. Versuchen Sie stattdessen, die in der E-Mail angegebenen Seiten über die Startseite Ihrer Bank zu erreichen (ohne diese in die
Adresszeile einzutippen). - Folgen Sie Aufforderungen in E-Mails, Programme herunterzuladen, nur dann, wenn Sie die entsprechende Datei auch auf der Internet-Seite des Unternehmens finden (Starten Sie keinen Download über den direkten Link). Öffnen Sie insbesondere keine angehängten Dateien.
- Nutzen Sie Antivirenprogramme und Firewalls.
- Beenden Sie die Online-Sitzung bei Ihrer Bank immer, indem Sie sich abmelden. Schließen Sie nicht lediglich das Browserfenster und wechseln Sie vor Ihrer Abmeldung nicht auf eine andere Internetseite.
- Kontrollieren Sie regelmäßig Ihren Kontostand sowie Ihre Kontobewegungen. So können Sie schnell reagieren, falls ungewollte Aktionen stattgefunden haben.
