Kunden und Banken werden reingelegt

Neue Betrugsmasche beim Onlinebanking

nw/tk. Stade. Seit einigen Tagen wurden mehrere Bürger im Landkreis Stade Opfer einer neuartigen Betrugsmasche, die insbesondere Personen betrifft, die Online-Banking nutzen. Die Täter bekommen Zugriff auf Konto und die Secure-App. Damit können sie sich selbst Geld überwiesen. Die Vorgehesnweise ist dabei erschreckend ausgeklügelt.

Die Täter gehen in drei Schritten vor: Als Erstes gelangen sie auf bislang noch unbekannte Art und Weise an die persönlichen Daten (Name und Telefonnummer) sowie an die Kontodaten (IBAN und BIC) der Geschädigten und können damit herausfinden, bei welcher Bank die potenziellen Opfer Kunden sind.

Anschließend suchen die Kriminellen auf den Seiten der Kreditinstitute nach Telefonnummern von Kundenberatern. Anschließend werden die Kunden angerufen. Die Täter sind in der Lage, die Anrufernummern so aussehen zu lassen, dass auf den Displays die tatsächliche, real existierende Telefonnummer des jeweiligen Kundenberaters (mit korrekter Durchwahl) aufgezeigt wird. 

Ziel der Anrufe ist, unter einem Vorwand an die Online-Banking-Zugangsdaten der Geschädigten zu gelangen. Es wird suggeriert, dass es zu unrechtmäßigen Abbuchungen vom Girokonto gekommen sei, weil die Zugangsdaten des Online-Bankings in fremde Hände gelangt seien. Um das Konto zu schützen, fordern die Täter die Opfer auf, neue Zugangsdaten festzulegen. Da dies im Online-Banking von zu Hause aus möglich ist, wird dies dann mit den Opfern zusammen direkt am Telefon erledigt. So gelangen die Kriminellen an die neuen Zugangsdaten für das Online-Banking.

In einem zweiten Schritt wird ein Schreiben an die Bank gesendet, wonach der Kunde einen neuen Wohnsitz hat. In den bisherigen Fällen wurde ein neuer Wohnsitz in Nordrhein-Westfalen angegeben. Die Unterschrift auf den Schreiben wird von der Tätern gefälscht, sodass die Banken tatsächlich davon ausgehen, dass ihre Kunden umgezogen sind.  Wie die Täter an eine (augenscheinlich täuschend echte) Unterschriftsprobe der Opfer gelangen, ist bislang noch unklar.

Online-Banking-Kunden jeder Bank müssen, um eine Überweisung durchführen zu können, stets eine sogenannte TAN, d.h. eine Art Bestätigungscode, generieren. Bis vor Kurzem war es üblich, dass diese Prozedur (Eingabe der Überweisung und Generierung der TAN) auf zwei unterschiedlichen Endgeräten stattfindet. Im Zeitalter der App-Nutzung haben viele Kunden  zwei Anwendungen auf ihrem Smartphone: Zum einen eine reine "Banking-App", auf welcher Überweisungen eingegeben werden können. Zum anderen (zur Ausführung der Überweisung) eine sog. "Secure"-App, auf welcher eine TAN eingespielt wird. Diese TAN wird durch den Nutzer bestätigt und anschließend in die "Banking-App" eingegeben. So kommt es zur Ausführung der Überweisung.

Für beide Apps werden unterschiedliche Zugangsdaten benötigt. So kann man sich auf der "Secure"-App nicht mit seinen gewohnten Online-Banking-Daten anmelden, sondern benötigt einen weiteren Zugangscode. Bei erstmaliger Anmeldung werden diese Daten bankseitig auf dem Postweg an den Kunden versandt. Und so schließt sich der Kreis:

Denn in Schritt 3 erbitten die Täter bei der Bank, die Secure-App zu aktivieren und lassen sich die Zugangsdaten an die neue, soeben geänderte "Fake-Wohnanschrift" senden; die Secure-App wird aktiviert.

In ihrem ersten Schritt haben die Täter bereits die Online-Banking- Daten erhalten, sodass auch die reine Banking-App funktioniert . Nun haben die Täter die komplette Verfügungsgewalt und könnten jegliche Überweisungen von den Konten der Opfer durchführen.

Es werden daher alle Bürger aufgerufen, täglich ihr Online-Banking zu aktualisieren und bzgl. fehlerhafter Abbuchungen zu überprüfen. Ist auf dem Kontoauszug eine neue Adresse zu sehen, oder haben sich andere sensible Daten geändert, so sollte das der Bank sofort mitgeteilt werden.

Tipps der Polizei: Achten Sie drauf, dass Bankmitarbeiter niemals persönliche Daten in den Banksystemen telefonisch ändern.

Entsorgen Sie Paketmüll mit Adressen, Rechnungen, Briefe etc., auf denen sensible Daten wie Namen und/oder Kontonummern stehen, nie im normalen Altpapier, Täter durchwühlen soetwas gerne und kommen dann möglicherweise so an die Daten.

Bankseitig sollte bei etwaigen Adressänderungen der Kunden, insbesondere in Schriftform, stets besonders sensibel vorgegangen werden, insbesondere dann, wenn nach der Adressänderung die Secure-App aktiviert wurde. Eine telefonische Rücksprache beim Kunden kann hier - bei etwaigen Änderungsmitteilungen - vorbeugend wirken.