Phishing: Krumme Shopping-Touren mit Kreditkarten-Klonen

Zuge­geben: Es muss schon einiges passieren, damit Betrü­gerinnen und Betrüger ein digi­tales Abbild einer fremden Kredit- oder Debit­karte erbeuten, es auf ihrem Mobil­gerät hinter­legen und dann damit in Geschäften kontaktlos bezahlen können.

Aber die jüngste Häufung von Fällen zeige, dass die Versuche der Krimi­nellen, gestoh­lene Kredit­karten-Klone auf Smart­phones und Smart­wat­ches zu hinter­legen, mitunter durchaus erfolg­reich verlaufen, warnt das Landes­kri­minalamt (LKA) Nieder­sachsen. Wer weiß, wie die Masche funk­tio­niert, kann sich besser schützen. Der Betrug in drei Schritten erklärt:

Schritt 1a: Das poten­zielle Opfer sucht etwa per Such­maschine nach der Online­ban­king-Seite seiner oder ihrer Bank, klickt dann aber in den Ergeb­nissen auf einen Link, der eine Phis­hing-Seite öffnet, und gibt dort etwa seine Online­ban­king- und Karten­daten ein. Deshalb gilt: Die Bank-Adresse immer selbst in den Browser eintippen.

Schritt 1b: Der Weg zu solchen gefälschten Bank­seiten kann auch über Links in Phis­hing-Mails führen. Diese Nach­richten tarnen die Krimi­nellen als offi­zielle Bank-Mail. Darin steht frei Erfun­denes: Eine plötz­liche Sper­rung, eine notwen­dige Veri­fizie­rung oder eine Ände­rung der Rechts­lage, die angeb­lich die Eingabe von Banking-Zugangs­daten und Karten­daten erfor­der­lich macht.

Betrugsmasche erklärt: Geklonte Kreditkarten
Foto: Juergen-Faelchle---Fotolia.com, Grafik/Montage: teltarif.de Achtung: Banken würden Sie niemals zu so etwas auffor­dern. Bei Zwei­feln kontak­tiert man am besten den Kunden­dienst der Bank.

Schritt 2: Am Tag darauf klin­gelt das Telefon. Es sind die Betrü­gerinnen oder Betrüger, die sich als Bank­mit­arbei­tende ausgeben. Denn um mit dem digi­talen Karten­abbild auf einem Smart­phone oder einer Smart­watch bezahlen zu können, genügt es nicht, einfach nur die Karten­daten beim jewei­ligen Bezahl­dienst einzu­geben.

In der Regel ist zusätz­lich eine Bestä­tigung der karten­aus­gebenden Bank notwendig. Das geschieht teils über die Eingabe einer TAN im Online­ban­king, die in der TAN-App der Bank ange­zeigt wird (Push-TAN), teils aber auch über eine Finger­abdruck- bezie­hungs­weise PIN-Frei­gabe inner­halb der Banking-App.

Deshalb fragen die falschen Bank­mit­arbeiter ihre Opfer im Gespräch nach der Push-TAN oder fordern sie mit eben­falls faden­schei­nigen Begrün­dungen zur biome­tri­schen Frei­gabe in der App auf. Tatsäch­lich richten sie aber gerade die Kredit- oder Debit­karte ihres Opfers auf ihrem Smart­phone oder ihrer Smart­watch ein. Achtung: Solche sensi­blen Daten niemals preis­geben.

Schritt 3: Sind im Gespräch mit den Krimi­nellen TAN preis­gegeben oder Frei­gaben erteilt worden, muss man damit rechnen, dass das jewei­lige Gerät des Täters nun zum Bezahlen frei­geschaltet ist. Damit können die Krimi­nellen nun Einkaufen gehen, ohne tatsäch­lich über die physi­sche Kredit- oder Debit­karte zu verfügen.

Dann gilt: Zur Scha­dens­begren­zung unver­züg­lich die Bank kontak­tieren und im Online­ban­king die fürs Konto hinter­legten Geräte prüfen. Bei unbe­rech­tigten Abbu­chungen eben­falls die Bank infor­mieren und Anzeige bei der Polizei erstatten.

Mit Phis­hing-Angriffen - der Begriff setzt sich aus den engli­schen Begriffen "Pass­word", "Harve­sting" und "Fishing" zusammen - versu­chen Betrüger, in den Besitz von Zugangs­daten oder Konto­infor­mationen unbe­dachter User zu gelangen.