Polizei warnt vor Diebstahl von digitalen Daten beim Bezahlen mit Smartphone

KASSEL. Nach dem Diebstahl digitaler Bankdaten veranlassen Betrüger kürzlich 14 Überweisungen. Das Opfer aus Kassel verlor dadurch rund 34.000 EUR.

Aus gegebenem Anlass warnt die Polizei vor dieser relativ neuen Masche, bei der sich Betrüger das bargeldlose Bezahlen über Smartphones oder Smartwatches zunutze machen. In Nordhessen mehren sich in den letzten Wochen solche Betrugsfälle und Anzeigen von Opfern dieser Masche.

Wie gehen die Täter vor?

Bargeldloses Zahlen ist bequem: Sind Kredit- oder EC-Karten auf dem Smartphone oder der Smartwatch hinterlegt, lässt sich beispielsweise an der Supermarkt-Kasse schnell und weitgehend kontaktlos zahlen. Die Täter versenden bei der neuen Masche zunächst eine Phishing-Mail im Namen einer Bank oder Sparkasse an ihr potenzielles Opfer. Unter einem Vorwand, etwa, dass der Online-Banking-Account neu legitimiert werden müsse, um eine Sperrung zu verhindern, bringt der Täter den späteren möglichen Geschädigten dazu, einen in der E-Mail enthaltenen Link zu öffnen. Im Anschluss sollen Benutzername und Passwort des Online-Banking-Accounts sowie die Rufnummer des Smartphones in eine Maske eingegeben werden. Ferner teilt der Täter in der Phishing-Mail mit, man werde sich zeitnah unter der anzugebenden Rufnummer mit dem Opfer in Verbindung setzen.

Im nächsten Schritt loggt sich der Täter mit den Daten des späteren Geschädigten in dessen Online-Banking-Account ein. Das potenzielle Opfer erhält den bereits angekündigten Anruf. Um eine digitale Karte im Online-Banking-Account anlegen zu können, benötigen die Kriminellen vom Opfer eine zeitnahe Freigabe der Eingaben über die Push-Tan-App. Im Telefonat bringt der Täter das spätere Opfer dazu, die Eingabe über die Push-Tan-App freizugeben.

Um gänzlichen Zugriff auf die Konten zu erlangen, initiiert der Täter aus dem Online-Banking-Account heraus eine SMS auf das Handy des Opfers und bittet, durch Aktivieren des mitgesendeten Links zu quittieren. Die Quittierung hat zur Folge, dass die Push-Tan-App mit allen Berechtigungen auf die vom Täter angegebene Mobilfunknummer übertragen wird, und die Plünderung der Konten beginnt.

Wie kann ich mich schützen?

• Banken, Sparkassen und Kreditkarteninstitute fordern Kundinnen und Kunden niemals zur Eingabe persönlicher Daten im Internet auf.
• Sie haben eine E-Mail erhalten? Vergewissern Sie sich, von wem das Schreiben stammt. Überprüfen Sie die Adressleiste in Ihrem Browser. Bei geringsten Abweichungen sollten Sie misstrauisch werden.
• Klicken Sie niemals auf den angegebenen Link in der übersandten E-Mail. Versuchen Sie stattdessen, die in der E-Mail angegebenen Seiten über die Startseite Ihrer Bank oder Sparkasse zu erreichen (ohne diese in die Adresszeile einzutippen).
• Kreditinstitute fordern grundsätzlich keine vertraulichen Daten per E-Mail, Telefon oder Post von Ihnen an. Wenn Sie sich unsicher sind, halten Sie in jedem Fall Rücksprache mit Ihrer Bank oder Sparkasse.
• Sollten Sie einen Anruf eines angeblichen Bankmitarbeiters bekommen, lassen Sie sich nicht dazu verleiten, sensible Daten am Telefon im Gespräch zu nennen oder zu bestätigen.
• Übermitteln Sie keine persönlichen oder vertraulichen Daten (beispielsweise Passwörter oder Transaktionsnummern) per E-Mail.
• Folgen Sie Aufforderungen in E-Mails, Programme herunterzuladen, nur dann, wenn Sie die entsprechende Datei auch auf der Internet-Seite des Unternehmens finden (starten Sie keinen Download über den direkten Link). Öffnen Sie insbesondere keine angehängten Dateien. Nutzen Sie Anti-Viren-Programme und Firewalls.
• Geben Sie persönliche Daten nur bei gewohntem Ablauf innerhalb der Online-Banking-Anwendung Ihres Kreditinstituts an. Sollte Ihnen etwas merkwürdig vorkommen, beenden Sie die Verbindung und kontaktieren Sie Ihre Bank oder Sparkasse.
• Beenden Sie die Online-Sitzung bei Ihrer Bank oder Sparkasse, indem Sie sich abmelden. Schließen Sie nicht nur das Browserfenster und wechseln Sie vor Ihrer Abmeldung nicht auf eine andere Internet-Seite.
• Kontrollieren Sie regelmäßig Ihren Kontostand sowie Ihre Kontobewegungen. So können Sie schnell reagieren, falls ungewollte Aktionen stattgefunden haben.
• PIN und TANs sollten Sie nur dann eingeben, wenn eine gesicherte Verbindung mit Ihrem Browser hergestellt ist. Eine sichere Verbindung erkennen Sie an dem https:// in der Adresszeile. Im Browserfenster erscheint ein kleines Icon, z. B. in Form eines Vorhängeschlosses, das den jeweiligen Sicherheitsstatus symbolisiert („geschlossen“ bzw. „geöffnet“).
• Nutzen Sie nur die offizielle Zugangssoftware Ihrer Bank oder Sparkasse.
• Sperren Sie bei Auffälligkeiten sofort den Zugang zu Ihrem Bankkonto über den kostenfreien Notruf 116 116 oder aus dem Ausland über die gebührenpflichtige Hotline +49 116 116.
• Wurden Sie Opfer, dann erstatten Sie Strafanzeige bei der Polizei. (wal)