War Bargeld insbesondere in Münzform jahrhundertelang praktisch das einzige Zahlungsmittel für Güter und Dienstleistungen, ist der Bezahlvorgang mittlerweile deutlich unübersichtlicher. Physisches Geld soll langfristig eingeschränkt werden. Dafür bezahlen immer mehr deutsche Bürger digital und kontaktlos mittels einer Debit- oder Kreditkarte respektive einer speziellen Pay-App. Letztere lässt sich auf NFC-fähigen Handys und Smartwatches installieren, die Verbraucher anschließend anstelle der Karten an das Kartenterminal halten. Kurz gesagt: Es ist alles viel komplizierter geworden. Ebendiesen Umstand nutzen Cyberkriminelle aus, um sich an den Konten anderer zu bereichern. Aktuell warnt das Landeskriminalamt Niedersachsen (LKA) vor einer besonders perfiden Masche. Glücklicherweise lässt sich der digitale Angriff leicht abwehren. Doch alles der Reihe nach.
Perfide Masche im Umlauf
Nach Angaben des LKA Niedersachsen führte ein „Phänomen“ in den vergangenen Wochen zu mehreren Anzeigen. Demnach verknüpften Cyberkriminelle die Konten von Bankkunden mit ihren Smartphones – auf Android-Geräten geht dies mittels Google Pay und auf iOS-Handys mittels Apple Pay – und nutzten diese anschließend, um ihre Einkäufe auf Kosten des Opfers zu tätigen. Doch wie ist dies möglich?
Der grundsätzliche Ablauf ist erstaunlich simpel: Mittels einer Phishing-Masche (alle Infos dazu findest du in unserem Phishing-Ratgeber) gelangen die Betrüger zunächst an die Banking-Daten ihrer Opfer. Diese lassen sich unter anderem für Identitätsdiebstahl missbrauchen oder im Darknet verkaufen. Zum Einrichten einer Pay-App auf einem Smartphone reichen sie allerdings nicht aus. Denn die meisten Kreditinstitute nutzen ein an die Zwei-Faktor-Authentifizierung (2FA) angelehntes System, um ihre Kunden zu schützen. Das bedeutet, dass bestimmte Vorgänge, wie etwa eine Überweisung von einem fremden Endgerät oder eben das Einrichten einer Pay-App durch eine sogenannte Push-TAN abgesichert sind. Hinter dieser Bezeichnung verbirgt sich lediglich eine Anfrage, die an den Eigentümer verschickt wird und von ebenjenem bestätigt werden soll. Ein sicheres System also, das sich jedoch dank des menschlichen Faktors umgehen lässt.
Laut dem LKA Niedersachsen riefen die Täter ihre Opfer im Anschluss an einen erfolgreichen Phishing-Angriff an und gaben sich als Bankmitarbeiter aus. Im Rahmen des Gesprächs wurden die Opfer dann dazu aufgefordert, eine Push-TAN zu bestätigen. Kamen diese der Aufforderung nach, wurden die Mobiltelefone der Cyberkriminellen mit ihren Bankkonten verknüpft. Ab diesem Zeitpunkt wird lediglich der auf dem Smartphone hinterlegte Entsperrmechanismus – sei es eine PIN, ein Muster oder ein Fingerabdruck – zum Bezahlen benötigt und nicht die eigentliche PIN der Geldkarte oder die Geldkarte selbst.
So schützt du dein Bankkonto
Phishing-Mails lassen sich in den meisten Fällen recht einfach durchschauen. So fehlt oftmals eine direkte Kundenansprache und auch die Grammatik lässt meistens zu Wünschen übrig. Doch auch bei gut umgesetzten Phishing-Maschen legt ein Blick auf den Absender größtenteils dessen kriminelle Absichten offen. Zudem sollte generell gelten: Falls auch nur der geringste Zweifel an der Legitimität einer E-Mail besteht, solltest du auf keinen Fall auf hinterlegte Verlinkungen klicken.
Ein noch größerer Fehler ist allerdings, eigenständig die Zwei-Faktor-Authentifizierung oder das Push-TAN-Verfahren zu kompromittieren. Merke: Solltest du die Telefonnummer des Anrufers nicht kennen, dann besteht stets die Gefahr, dass am anderen Ende der Leitung ein Betrüger sitzt. Zudem würden dich Bankmitarbeiter niemals von sich aus nach sensiblen Nutzerdaten fragen oder die Bestätigung einer Push-TAN verlangen. Wer aufmerksam ist, und eine Prise Misstrauen an den Tag legt, bleibt in der Regel auch im digitalen Raum sicher.
Ganz schlechte Bildauswahl zum Artikel. Die auf dem Laptop liegende Karte suggeriert mir als Kunde der ausgebenden Bank, dass ich mich mit dieser Karte nicht sicher fühlen kann bzw betrogen werde.
Mirko: LEIDER- tummeln sich bei genau jener Bank jene, die andere Abziehen und dann mit de rKohle abhauen, die Bank reagiert auch nicht bei Strafanzeigen & Ermittlungsverfahren / die Konten der Betrüger zu sperren. Selbst ich habe dort schon entsprechnede Eingaben abgegeben, ohne Resonanz. Natürlich gibt es auch andere Banken, selbiges Problem – allerdings tritt diese wie im Bild zu sehen, verschärft auf – lies dich mal durch die Fraud Blogs / Foren.