Dass es Täter per Mail oder Webseite auf sensible Daten wie Zugangsdaten von Internetnutzerinnen und –nutzern abgesehen haben, ist inzwischen sehr weit verbreitet. Dass die Täter dies auch per Telefon versuchen, ist weniger bekannt.
Die Masche ist nicht neu, überrascht die Angerufenen aber immer wieder. Besonders dann, wenn die Täter es schaffen, die Identität von beispielsweise einer Bank am Telefon vorzugaukeln. Dies geschieht in der Regel durch die geschickte Manipulation der übermittelten Rufnummer auf der Anzeige des Telefons beim angerufenen, potentiellen Opfer. So eine Manipulation nennt man Call-ID-Spoofing und ist für die Täter mit relativ geringem technischen Aufwand möglich.
Diese Methode kommt aktuell tatsächlich häufiger vor und die Sparda Bank warnt als Beispiel aktuell vor dieser Masche.
Unerwartet und gern auch zu ungünstigen Zeiten, in denen die potentiellen Opfer durch andere Tätigkeiten ggf. abgelenkt sein könnten, kommt der Anruf der Täter.
Sie geben sich als Mitarbeiter oder Sicherheitsdienst einer Bank aus. Zunächst werden in der Regel grundlegende Personalien abgefragt. Im weiteren Gesprächsverlauf werden Probleme im Bankkonto des Betroffenen behauptet. Das können angeblich festgestellte Fremdzugriffe, Sperrungen, versuchte Überweisungen, Aktualisierung des Kontos, Zustimmung zu neuen AGB, Erneuerung des TAN-Verfahrens oder hohe Auslandsüberweisungen sein. Die Ideen der Täter sind hier vielseitig und die Behauptungen klingen zunächst auch immer plausibel. Zudem wird ein zeitlicher Druck durch die Dringlichkeit aufgebaut, so dass den Angerufenen gefühlt wenig Zeit zum Handeln bleibt. Eine angebliche Folge wäre die Sperrung des Kontos, Strafgebühren oder missbräuchliche hohe Überweisungen, die man sonst nicht stoppen könnte.
Haben die Täten das potentielle Opfer diesbezüglich überzeugt, so verlangen die Täter im Anschluss zusätzliche Daten zum Onlinebanking wie z.B. die Zugangsdaten oder die Herausgabe von Transaktionsnummern (TAN). Letztere kommen dann auch passend auf das zugehörige Smartphone.
Durch geschickte Redeführung wird im schlimmsten Fall nun das Opfer davon überzeugt, dass die angezeigte (echte) TAN bestätigt oder am Telefon genannt werden muss.
Auch eine zeitgleiche Manipulation der Angerufenen durch zuvor oder zeitgleich verschickte Mails mit Links zu Phishingseiten sind hier ebenfalls denkbar und verstärken zudem den Effekt des Supportanrufes. Das Opfer wird auf eine manipulierte Webseite gelockt. Ggf. muss sich das Opfer noch mit Zugangsdaten einloggen und sieht dann tatsächlich die im Telefongespräch mitgeteilten Behauptungen (z.B. versuchte oder bereits getätigte Überweisungen). Zudem wurden so auch noch die Zugangsdaten abgephisht.
Wird eine oder mehrere TAN bestätigt bzw. telefonisch an die Täter übergeben, so werden dadurch entsprechende Aktionen im Konto ausgelöst. Das können Überweisungen sein, dass kann die Freischaltung eines Smartphones für das berührungslose Bezahlen sein oder die Abänderung von Daten (Passwort, Kontaktdaten, Mobilfunkdaten usw.) im Kundenkonto sein.
Was können Täter noch so fälschen?
Neben der übermittelten Rufnummer, die auch tatsächlich zu der passenden Bank gehören kann, fälschen die Täter gerne Webseiten und platzieren diese mittels Bezahlung zudem an prominenter Stelle in Suchmaschinen. Suchen Sie dann Ihre Bank über die Suchmaschine, so bekommen Sie möglicherweise eine Täterwebseite noch vor der echten Bankseite als Suchergebnis angezeigt. Klicken Sie dann auf den falschen Link, landen Sie auf einer Phishingseite. Besonders perfide wird es, wenn die Täter die echten Bankseiten mit den Fälschungen überlagern und die potentiellen Opfer tatsächliche Teile Ihre Onlinebankings erkennen können. Dies kann dadurch passieren, dass die Täter Ihre Opfer auf eine gefälschte Seite während des Telefonates weiterleiten und sie dort einloggen lassen. Im Hintergrund werden Teile der echten Bankseite geladen und auch angezeigt. Im Vordergrund dagegen präsentieren die Täter ihre manipulierten Daten. Für den Bankkunden lassen die Täter es dann z.B. so aussehen, als wäre der Kontostand anders oder eine Überweisung müsste gestoppt werden. Durch weitere Handlungen des Opfers (z.B. Eingabe einer TAN) wird dann erst eine tatsächliche Überweisung ausgelöst.
Ebenso vorsichtig sollten Bankkundinnen und –kunden sein, wenn Sie unerwartet Briefpost oder Mails von Ihrer Bank bekommen, die Sie nicht selber angefordert haben und die zu einer sensiblen Handlung auffordern (z.B. TAN-Verfahren bestätigen). Auch hier haben es Täter in der Vergangenheit geschafft, sich als Bank auszugeben, um so im weiteren Verlauf ein Konto übernehmen zu können.
Auch eine Mail mit Mailadresse, wo Ihnen als Absender eine tatsächlich existierende Mailadresse einer/Ihrer Bank angezeigt wird, kann gefälscht sein. Diese problemlose Manipulation nennt man Mail-Spoofing. Zudem sollte man generell in Mails vorsichtig sein, wenn unaufgefordert Anhänge oder Links mitgesendet werden. Hier besteht zudem immer die Gefahr von Schadsoftware, die ein weitere Manipulation des genutzten Gerätes zur Folge haben kann oder die Weiterleitung auf die bereits erwähnten Phishingseiten.
Weitere passende Maschen, die sogar in Kombination stattfinden können sind aktuell
Phishing bei Kleinanzeigen und Einrichten von digitalen Karten in Smarthones
Die Banken und Sparkassen informieren immer wieder über die Gefahren von Phishing und geben klare Ansagen:
Mitarbeiterinnen und Mitarbeiter von Banken und Sparkassen fordern am Telefon oder per Mail/Post niemals zur Bekanntgabe von Zugangsdaten oder TAN bzw. dem Aufrufen der dort eingepflegten Links auf!
Bedenken Sie! Jede Bekanntgabe/Eingabe einer TAN ist mit einer persönlichen Unterschrift gleichzusetzen, aus der z.B. eine Überweisung oder Freischaltung erfolgt.
Sollten Sie z.B. einen angeblichen Mitarbeiter einer Bank am Telefon haben, so können Sie über die Ihnen bekannte und echte Rufnummer der Bank zurückrufen und um Kontaktaufnahme zu dieser Person bitten. Nutzen Sie dafür aber nur die Rufnummern, die Sie offiziell von Ihrer Bank kennen. Vertrauen Sie nicht einer Rufnummer, die Sie im Display sehen, die Ihnen in solchen Gesprächen am Telefon genannt werden oder die Sie per Mail, Briefpost oder Webseite bekommen haben. Aber Vorsicht! Haben Sie die Rufnummer Ihrer Bank im Telefonbuch abgespeichert und die Täter nutzen zufälligerweise genau diese Rufnummer (durch Call-ID-Spoofing), so bekommen Sie gleich Ihren hinterlegten Kontakt angezeigt und Sie könnten eher auf den Trick hereinfallen. Machen Sie zur Sicherheit den eigenen Kontrollanruf und sprechen Sie mit einem echten Mitarbeiter.
Wie sind die Täter an meine Daten und die zugehörige Bank gekommen?
Die Ursachen für die Kenntnis über Ihre Bankdaten können unterschiedlich sein. Ggf. sind Sie zu früheren Zeiten auf eine Phishingmail/-webseite hereingefallen und haben dies so noch nicht bemerkt. Ebenso denkbar ist, dass Sie bei einem Unternehmen im Internet (z.B. ein Onlineshop) Kunde sind. Dieser wurde möglicherweise gehackt und passende Daten sind so in Täterhände gelangt. Nicht selten stehen auch Kontodaten auf Webseiten (z.B. Vereinshomepage, eigener Webshop) oder Sie haben im Zuge von Kleinanzeigeverkäufen Ihre Kontodaten einem angeblichen Käufer genannt.
Sollten Sie dennoch auf die Maschen hereingefallen sein und Sie haben Zugangsdaten oder TAN angegeben, so informieren Sie unverzüglich Ihre echte Bank unter der Ihnen bekannten echten Rufnummer! Lassen Sie Ihr Onlinebanking sperren und klären Sie weitere Schritte mit Ihrer Bank ab.
Erstatten Sie im Anschluss in Ruhe Anzeige bei Ihrer örtlichen Polizei oder Ihre zugehörige Onlinewache.