Das LKA Niedersachsen warnt vor einer neue Betrugsmasche, die Cyber-Kriminelle erdacht haben. Mittels Phishing-E-Mails, gefälschten Webseiten und digitalen Kreditkarten versuchen sie an Zahlungsdaten der Opfer heranzukommen. Die Daten der digitalen Kreditkarte werden dann für eigene Einkäufe auf Kosten des Opfers missbraucht.
Anzeige
Digitale Debit- oder Kreditkarten sind digitale Abbilder ihrer physischen Karten, die in der Regel in aktuelle Smartphones oder eine Smartwatch eingebunden werden. Die Besitzer dieser digitalen Kreditkarten können dann über ihr Handy damit Einkäufe bezahlen. Das lockt auch Cyber-Kriminelle auf den Plan, die diese digitalen Kreditkarten kopieren, wie das LKA-Niedersachsen mitteilt. Ermittlern der Polizeidirektion Hannover ist die neue Masche aufgefallen, welche in den vergangenen Wochen zu einigen Anzeigen von Opfern geführt hat.
Die digitale Debit-/Kreditkarte
In der Regel richten die Besitzer einer digitalen Debit- oder Kreditkarte auf dem eigenen Smartphone und/oder auf der Smartwatch ein. Dazu benötigte es ein NFC-fähiges Gerät mit aktuellem Betriebssystem, um die digital Karte in Google Pay oder Apple Pay anzulegen. Je nach Bank/Kreditinstitut und Gerät wird die digitale Karte direkt und/oder ggf. über das Onlinebanking oder die Onlinebanking App hinzugefügt. Anleitungen finden sich für Apple Pay und Google Pay sowie bei den jeweiligen Banken.
In der Regel wird dann noch die offizielle Bestätigung der Einrichtung z.B. durch eine TAN-Eingabe im Onlinebanking oder der TAN-App Ihrer Bank benötigt. In iPhones wird dann die digitale Karte beispielsweise im einer sogenannten Wallet hinterlegt. Mit einem Doppelklick auf eine Taste am Gerät (z.B. Seitentaste) wird das Wallet ausgelöst und die hinterlegte Karte eingeblendet.
Beim Bezahlen an der Kasse ist noch die Freigabe mittels Smartphone-PIN (nicht der PIN der physischen Debitkarte!), Face-ID oder Fingerabdruck erforderlich. Danach bekommt der Kunde eine kurze Rückmeldung über die Zahlung auf dem entsprechenden Gerät. Erst im eigentlichen Kontoauszug sieht der Kunde später auch die Zahlung. Die physische Karte und die zugehörige PIN werden beim Bezahlen nicht benötigt. Ebenfalls entfällt die Eingabe der Karten-PIN beim Lesegerät an der Kasse. Dieser digitale Bezahlvorgang lockt natürlich auch Betrüger.
Anzeige
Per Phishing angelockt
Die Kriminellen versenden zuerst massenhaft Phishing-E-Mails, angeblich im Namen von Banken oder Sparkassen. Dort werden die Empfänger aufgefordert, auf angegebene Links zu klicken, um die persönlichen Kredikartendaten zu verifiziert. Diese Links in den Phishing-Mails führen zu gefälschten Webseiten der Banken oder Sparkassen, die dem Orginal zum Verwechseln ähnlich sehen.
Dort sollen die Opfer schließlich ihre Kreditkartendaten samt Vor- und Nachnamen, Telefonnummern und Adressen angeben. Am folgenden Tag rufen die Betrüger bei ihren Opfern an, geben sich als Bankmitarbeiter aus und fordern die Angerufenen auf, eine Push-Tan zu bestätigen, die während des Gesprächs versandt wird. Mit dieser Push-Tan wird die Kreditkarte als digitale Kreditkarte auf dem Handy des Betrügers freigeschaltet.
Die Kriminellen können daraufhin mit dem Smartphone, auf dem die geclonte digitale Debit- oder Kreditkarte gespeichert ist, einkaufen gehen. Die physische Kreditkarte des Opfers brauchen die Kriminellen, dank Apple Pay und Google Pay des Smartphones für die Bezahlvorgänge nicht.
Was hilft gegen den Betrug?
Schutz gegen solche Betrügereien bietet nur eine gewisse Vorsicht. So sollte man niemals Links zu Banking-Seiten aus E-Mails verwenden und dann auf der Zielseite persönliche Daten wie Debit- oder Kreditkartendaten eingeben. Auch wird keine Bank anrufen, um nach TAN-Daten oder einer Freigabe zu fragen. Die Polizei rät:
- Zunächst sollten Sie beim Onlinebanking vorsichtig sein. Rufen Sie Ihre Webseite für das Onlinebanking nur über die Ihnen bekannte offizielle Webadresse auf.
- Nutzen Sie nicht den Umweg über die Suchmaschinen! Hierbei besteht u.a. die Gefahr, dass Täter es schaffen, gesponserte gefälschte Webseiten so zu platzieren, dass diese noch vor den offiziellen Webseiten der echten Banken im Suchergebnis auftauchen.
- Ebenfalls sollten Sie vorsichtig sein, wenn Sie Mails im Aussehen Ihrer Bank erhalten. Hier behaupten die Täter eine plötzliche Sperrung, Verifizierung, Aktualisierung, Änderung der Rechtslage usw. aufgrund derer Sie schnell tätig werden müssen. Ein Link in der Mail führt dann jedoch zu einer Phishingseite.
- Sollten Sie einen Anruf eines angeblichen Bankmitarbeiters bekommen, dann lassen Sie sich nicht dazu verleiten, sensible Daten am Telefon im Gespräch zu nennen/bestätigen. Ebenfalls sollten Sie nicht eine TAN eingeben/nennen/bestätigen.
Banken und Kreditinstitute fordern Sie niemals per Telefon oder Mail/Chat/Webseite zu solchen Maßnahmen auf! Klären Sie im Zweifel solche Aufforderungen mittels Kontakt zum echten Kundensupport. Prüfen Sie in Ihrem Onlinebanking, welche Karten/Geräte offiziell für Ihr Konto hinterlegt sind.
Wer auf das Phishing oder den Anruf eines falschen Mitarbeiters hereingefallen ist, sollte sich unverzüglich bei seiner Bank melden. Stellt man unberechtigten Abbuchungen auf dem Kontoauszug fest, sollte sich ebenfalls bei seiner Bank melden. Der Rat der Polizei: Prüfen Sie die im Onlinebanking hinterlegten Geräte/Karten. Erstatten Sie bei Betrugsfällen nach der Meldung bei der Bank im Anschluss Anzeige bei der örtlichen Polizeidienststelle.
Anzeige
Das wird wahrscheinlich erst der Anfang sein. Wenn ich im Supermarkt so beobachte, wie locker und eifrig bemüht "Frau Schmidt" und "Herr Müller" mit ihrem Smartphone durch die Gegend scannen und an der Kasse mit dem Teil rumwedeln, dann hab ich so die Ahnung, das da bald Ungemach ins Haus steht.
In welchem Zusammenhang stehen Ihre Beobachtungen an der regionalen Aldi-Kasse mit dem Artikelinhalt?
Meine Frau und ich gehen mit dem Smartphone im Rewe einkaufen, in der Rewe App gibt es eine Einkaufslisten Funktion das ist für uns sehr nützlich und praktisch.
Auf dem Smartphone sind keine Zahlungsfunktionen hinterlegt und NFC ist deaktiviert.
Solche Sachen gehören nicht auf ein Smartphone, das ist viel zu riskant.
Man kann sich immer über "die Anderen" lustig machen. Sie heißen nicht Schmidt oder Müller oder?
Wenn ich auf einer (dubiosen) Web-site meine Kreditkartendaten freiwillig eingebe, diese dann (missbräuchlich) verwendet werden und ich die entsprechende Transkation bestätige, hat dies zunächst nichts mit digitalen Debit-/Kreditkarten auf einem Mobiltelefon zu tun.
Mein iOS-Wallet listet die letzten Transaktionen je Karte. Ich muss also nicht auf einen (online) Kontoauszug warten.
"Mein iOS-Wallet listet die letzten Transaktionen je Karte. Ich muss also nicht auf einen (online) Kontoauszug warten."
Gefährlicher Irrglaube.
Ihr " iOS-Wallet listet" nur "die letzten Transaktionen je Karte", die per iPhone/Wallet getätigt wurden. Sind Sie aber einmal ihrer Kartendaten verlustig können Dritte damit anderweitig Geld ausgeben und das iOS-Wallet weiss nichts davon.
Stimmt, ich sehe nur mit diesem Telefon bzw. Wallet durchgeführte Transaktionen.
Zusätzlich schickt mir meine Bank eine Nachricht (SMS), wenn mit (m)einer Karte bezahlt wurde. Damit sollten die unerwünschten Transaktionen sofort auffallen.
Es wundert mich immer wieder, wie viele Leute doch auf Pishing-Mails hereinfallen.
Dabei reicht da eine ganz einfache Verhaltensregel:
NIE, wirklich NIE auf Links in Emails klicken!
Auch nicht bei Emails, die dem Anschein nach von bekannten Absendern stammen.
Das ist z.B. seit vielen vielen Jahren in meiner Firma direkte Arbeitsanweisung für jeden Mitarbeiter.
Und es funktioniert, Pishing ist kein Thema.
Na, dann viel Spass beim Abtippen (und das ist noch eine verhältnismässig kurze ID): https://discourse.mailinabox.email/u/activate-account/f79831a46347de624640379c090a121 😉
Könnte man ggf. über einen Texteditor zwischenkopieren, um sicher zu gehen, den gezeigten und nicht den hinterlegten Link zu erwischen.