Kurzer Hinweis für Bankkunden, die Online-Banking bei Sparkassen nutzen. Dort läuft wohl wieder eine massive Phishing-Welle, bei der Betrüger versuchen, Kunden zur Eingabe ihrer Zugangsdaten zu verleiten. Der Köder ist eine Phishing-SMS, die vorgibt, dass die pushTAN-Registrierung abläuft und der Zugang zum Konto nicht mehr möglich ist. Die Warnung hatte ich zwar schon in ähnlicher Form im Blog, aber ich stelle mal die aktuelle Sparkassen-Warnung vom 12. Dezember 2022 ein.
Anzeige
Der Sparkassen-Verband hat die Warnung auf dieser Webseite veröffentlicht und schreibt, dass aktuell wieder betrügerische SMS im Namen der Sparkassen verbreitet werden. Unter dem Vorwand einer ablaufenden pushTAN-Registrierung wird versucht, Bankkunden zum Aufruf einer betrügerischen Web-Seite (Phishing-Seite) zu bewegen. Dort werden dann die Online-Banking-Zugangsdaten, die Telefonnummer, das Geburtsdatum, sowie die Daten der Sparkassen-Card des Opfers erfragt. Bei pushTAN-Nutzern wird zudem zur Freigabe eines Auftrages aufgefordert.
Ziel ist es, mit diesen Daten Zugang zum Online-Banking zu erhalten und dort Abbuchungen vornehmen zu können. Die Sparkassen raten, keine Daten auf den Phishing-Seiten einzugeben. Diese Daten könnten ansonsten von Betrügern missbraucht werden, z. B. um Opfer im Namen Ihrer Sparkasse anzurufen und eine TAN zu erfragen oder um Sie zur Freigabe eines Auftrages zu bewegen. Die TAN oder die Freigabe können die Betrüger nutzen, um eine betrügerische Überweisung durchzuführen oder eine digitale Karte Ihrer Sparkassen-Card zu erstellen. Die digitale Karte kann dann wiederum für betrügerische Einkäufe genutzt werden.
Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt darum dringend vor diesen SMS. Sofern Sie bereits Daten auf den Phishing-Seiten eingegeben oder das zuvor beschriebene Verhalten beobachtet haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs und einer ggf. erstellten digitalen Karte umgehend bei Ihrer Sparkasse.
Anzeige
.
Anzeige
Die Schriftart ist ja süss, fehlt nur noch ein Einhorn-Emoji…
nur das die Schriftart nicht vom Sender kommt (im Gegensatz zu einem Emoji)
Willst wohl besonders originell sein, indem du nicht auf den Antworten-Button clickst sonder immer einen neuen Themenbau für deine antworten brauchst?
Im September kam bei mir eine Phishing SMS im echten Chatverlauf der Sparkasse an, also in dieser 5stelligen Nummer, wo u.a. die Links zur Aktivierung von der PushTAN App landen, angeblich gab es einen unberechtigten Zugriffsversuch und ich solle mich unter einem bestimmten Link authentifizieren.
Fand das schon krass, dass die Nummer so gefälscht werden konnte, dass sie im echten Sparkassen Chat gelandet ist.
Der Absender (SMS Sender ID) einer SMS kann beim Versenden via Gateway zum Mobilfunkanbieter als Nummer oder auch Text eingestellt werden.
Die von Dir beobachtete Zuordnung zum vermeintlich "echten Chatverlauf" macht Dein Mobiltelefon.
Das "so gefälscht werden konnte" ist keine Hürde. Wenn ein Phisher weiss, welche Nummer eine Bank üblicherweise als Absender verwendet, schreibt er einfach selbst auch diese Nummer beim Versenden in das TP-OA PDU Feld, fertig. Mehr dazu hier: https://en.wikipedia.org/wiki/GSM_03.40
Tipp: Auch die Sparkasse verschickt ihre SMS nicht über ein Mobiltelefon mit 5-stelliger Nummer.
@Dolly
Zu deinem Link: Ich bezweifle, dass das in Deutschland technisch möglich ist. In anderen Staaten sieht das anders aus.
Ein bisschen was Off-Topic:
Meine Frau hat einen Dienstwagen bekommen. Es handelt sich um ein reines Elektrofahrzeug, welches wir auch privat nutzen dürfen.
Ich hatte mich bisher nicht mit dem Thema "Laden eines E-Autos" beschäftigt, da keine Notwendigkeit bestand und bin erstmal blauäugig an das Thema ran.
Im Ort gibt es einen Lidl, welcher eine passende Ladesäule vorhält. Es gibt eine Lidl Plus App, welche das Laden an den Säulen bei Lidl ermöglichen soll.
Bei der Anmeldung bekam ich dann große Augen. Um das Bankkonto für die Lastschrift in der Lidl App zu hinterlegen ist eine Verifikation des Kontos erforderlich. Das ist erstmal gut und richtig, um Missbrauch zu vermeiden.
Lidl arbeitet dafür mit der schwedischen Open-Banking-Plattform Tink zusammen. Nun möchte man meinen die machen eine Lastschrift zum Test und der Code für die Verifikation ist dann im Verwendungszweck enthalten, so dass der Besitz des Codes den Kontozugriff nachweist.
Aber nein, man muss zunächst seine Bank auswählen und dann kommt eine Maske zur Eingabe der persönlichen Zugangsdaten zum Onlinebanking bei der Hausbank!
Mir ist da fast die Kinnlade aus dem Gesicht gefallen.
Lidl erwartet also ernsthaft, dass ich einem Unternehmen aus Schweden Zugriff auf alle Konten und Bankdaten gebe, um nachzusehen ob das von mir genannte Konto wirklich meins ist.
Beim diesem Artikel über Phishing von Zugangsdaten musste ich irgendwie sofort an diese Erfahrung denken. Habe mich nicht darauf eingelassen und mir eine andere App besorgt, welche ohne meine Zugangsdaten fürs Online-Banking auskommt. Als Bonus funktioniert sogar die Säule am Lidl.
Diese merkwürdige Kundenerfahrung hatte ich auch einmal vor ein paar Jahren, ich weiß nur nicht mehr, aus welchem Anlass. Auch da musste ich meine Zugangsdaten preisgeben und das war kein Phishing :) Nach langem Abwägen und Recherche im Internet war ich von der Seriosität dieses Vorhabens überzeugt und taugliche/sichere Alternativen des damaligen Anbieters konnte ich nicht ausfindig machen. Zur Sicherheit loggte ich mich zuvor selbst in mein Konto ein, änderte das PW und veranlasste anschließend das gewünschte Zugriffsprozedere unter Preisgabe des "Übergangspasswortes". Anschließend wechselte ich mein Bankkonto wieder auf mein altes Passwort.
Bei vielen Online-Bezahldiensten ist das mittlerweile auch Standard, beruhend angeblich auf eine EU-Vorgabe zur Betrugsprävention. Kaufe ich einen Monatszugang auf Onlyfans *hüstel*, ploppt ein Popup auf, das die vorab von mir hinterlegten Kreditkartendaten enthält. Zur Bestätigung des Zahlungsvorganges dann dieses kuriose Spiel: Ich muss mein Zugangspasswort zum Bankkonto eingeben (mit dem Konto ist die Karte verknüpft) und dann erhalte ich die übliche mTAN, die ich ebenfalls im Onlyfans-Popup eingeben muss. In der SMS steht wenigstens die Höhe der Summe, das ist zumindest ein kleines Präventionsmittel, um Betrug etwas zu erschweren. Andererseits weist das Popup keine erkennbare URL auf, man kann sich also gar nicht sicher sein, sich mit dem Popup noch im Bereich der authentischen Domaine von Onlyfans oder der Hausbank zu bewegen. Über kurz oder lang lädt diese Intransparenz und die Notwendigkeit zur umfassenden Preisgabe der eigenen Zugangsdaten inkl. TAN-Generierung zum Betrug ein und die Kriminellen werden das ausnutzen.
Früher war das sicherer, meiner Ansicht nach. Die Kreditkartendaten mussten einmalig bei Onlyfans hinterlegt werden, und jeder Kauf konnte mit zwei, drei Mausklicks vorgenommen werden. Ohne potentiell kritische Verrenkungen wie PIN- und TAN-Preisgabe.