Schrift:
Ansicht Home:
Netzwelt

Betrugsversuche

Kriminelle nutzen Verwirrung um Änderungen beim Onlinebanking

Eine neue Zahlungsdiensterichtlinie soll Onlinegeschäfte sicherer machen. Vielen Kunden allerdings ist unklar, was genau sich für sie ändert. Das ruft Kriminelle auf den Plan.

DPA

Der zweite Faktor wird wichtiger: Beim Onlineshopping ändert sich derzeit einiges

Mittwoch, 11.09.2019   15:44 Uhr

Polizei und Verbraucherschützer warnen vor Betrug und Phishing-Attacken im Zusammenhang mit der Einführung der neuen Zahlungsdiensterichtlinie PSD2. Die Richtlinie, die Onlineeinkäufe ab dem 14. September durch eine Zwei-Faktor-Methode sicherer machen soll, werde als Anlass für Phishing und Betrugsversuche ausgenutzt, teilten die Verbraucherzentrale und das Landeskriminalamt Rheinland-Pfalz am Mittwoch mit und mahnten zur Vorsicht.

Demnach kursieren Phising-E-Mails, in denen Bankkunden aufgefordert werden, im Zusammenhang mit der Neuerung ihre Kundendaten zu bestätigen. Die Mail-Empfänger werden jedoch auf ein gefälschtes Banking-Portal gelockt und geben ihre Daten darüber Betrügern preis. Auch rund um den Zahlungsdienst PayPal habe es ähnliche Vorfälle gegeben, erklärte das Landeskriminalamt.

Bei einer anderen Masche werden die bevorstehenden Änderungen von Anbietern teurer Prepaid-Kreditkarten ausgenutzt. Eine Frau habe etwa einen Anruf erhalten, wonach ihr wegen der neuen Richtlinie eine neue Kreditkarte zugeschickt werde - angeblich, weil sie ihre alte Karte nicht mehr verwenden könne. Sie sollte knapp hundert Euro bezahlen, obwohl sie keine neue Kreditkarte bestellt hatte.

Lieber zu vorsichtig als zu naiv

Internetnutzer müssen sich ab dem 14. September bei Kartenzahlungen im Netz grundsätzlich mit zwei Faktoren identifizieren. Die Kartennummer und die Prüfnummer allein reichen dann nicht mehr, um online einzukaufen. Zusätzlich zum Kennwort oder zu einer Prüfziffer soll ein weiteres Sicherheitsmerkmal angegeben werden. Das kann etwa eine Tan sein, die in einer Sicherheitsapp generiert wird. Auch für den Zugang zum Onlinebanking selbst wird bald ein zweiter Faktor vorausgesetzt.

Bankkunden, die sich nicht sicher sind, ob Mitteilungen zu ihrem Konto echt sind und welche Änderungen genau auf sie zukommen, sollten im Zweifel immer zuerst direkt bei ihrer Bank nachfragen.

Das Landeskriminalamt und die Verbraucherzentrale raten allgemein zur Skepsis, wenn jemand telefonisch oder per Mail "irgendwelche angeblich notwendigen Maßnahmen ankündigt oder von Ihnen verlangt". "Banken oder Zahlungsdienste fragen niemals Kundendaten oder Zugangsdaten zum Konto per Mail ab", betonen sie noch. Vermeiden sollte man zudem, Links in E-Mails anzuklicken oder Dateianhänge zu öffnen, "wenn auch nur der geringste Zweifel an der Sinnhaftigkeit oder Echtheit der Anlage besteht".

mbö/AFP

insgesamt 67 Beiträge
vaikl 11.09.2019
1. Zugang zum Onlinebanking selbst
Wenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen [...]
Wenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen kostenpflichtigen, aber sonst mit nix kompatiblen TAN-Generator generieren lässt (wobei dies auch noch mit einem 5-Minuten-Timeout der eigentlichen Banking-App "belohnt" wird, so dass man sich recht früh aufs neue TAN-Generieren freuen kann) und man im Vorfeld mit teilweise unvollständigen und widersprüchlichen Informationen mehr schlecht als recht informiert wurde, dann ist es kein Wunder, wenn Kriminelle ihre Kerben in solche Service-Wüste einschlagen und Kunden leicht übertölpeln können.
paul.lemke 11.09.2019
2. Überregulierung
Das ist wieder ein typischer Fall von Überregulierung. Warum einfach wenn es auch kompliziert geht?
Das ist wieder ein typischer Fall von Überregulierung. Warum einfach wenn es auch kompliziert geht?
zeichenkette 11.09.2019
3. Das Problem ist doch...
dass hier nicht EINMAL Nägel mit Köpfen gemacht werden, sondern die Kunden ständig mit neuen Anforderungen entnervt werden. TAN-Listen, TAN per SMS, Bestätigung per App, TAN-Generator mit Chipkarte, [...]
dass hier nicht EINMAL Nägel mit Köpfen gemacht werden, sondern die Kunden ständig mit neuen Anforderungen entnervt werden. TAN-Listen, TAN per SMS, Bestätigung per App, TAN-Generator mit Chipkarte, Zwei-Faktor-Authentifizierung... da blickt doch Otto Normalverbraucher jetzt schon nicht mehr durch. Der Service bricht immer mehr weg, es gibt keine Ansprechpartner, in der Hotline darf man sich eine Stunde lang Musik anhören -- die sollen sich bloss nicht wundern, wenn irgendwann Apple/Google/Facebook etwas anbieten, das einfach funktioniert und die Kunden sich erleichtert wegdrehen, Datenschutz hin oder her.
Thomas Kossatz 11.09.2019
4. Alter Wein in neuen Schläuchen.
Die Tricks die wir derzeit erleben sind banales social engineering. Mit dem neuen Verfahren hat das nichts zu tun. Die Postbank hat ihre Informationen überwiegend offline verschickt. Ich arbeite bereits mit einer [...]
Die Tricks die wir derzeit erleben sind banales social engineering. Mit dem neuen Verfahren hat das nichts zu tun. Die Postbank hat ihre Informationen überwiegend offline verschickt. Ich arbeite bereits mit einer Hardware-Lösung, die völlig stressfrei funktioniert. Faustformel für Privatkunden: Wenn Deine Bank Dich anruft, ist es nicht Deine Bank.
marthaimschnee 11.09.2019
5.
Macht die Postbank inzwischen auch und das nervt gewaltig. Und auf diese Weise erzeugt man nicht nur selber maximal Unsicherheit, man vermindert auch die Akzeptanz, insbesondere da die mTan einfach pauschal als unsicher [...]
Zitat von vaiklWenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen kostenpflichtigen, aber sonst mit nix kompatiblen TAN-Generator generieren lässt (wobei dies auch noch mit einem 5-Minuten-Timeout der eigentlichen Banking-App "belohnt" wird, so dass man sich recht früh aufs neue TAN-Generieren freuen kann) und man im Vorfeld mit teilweise unvollständigen und widersprüchlichen Informationen mehr schlecht als recht informiert wurde, dann ist es kein Wunder, wenn Kriminelle ihre Kerben in solche Service-Wüste einschlagen und Kunden leicht übertölpeln können.
Macht die Postbank inzwischen auch und das nervt gewaltig. Und auf diese Weise erzeugt man nicht nur selber maximal Unsicherheit, man vermindert auch die Akzeptanz, insbesondere da die mTan einfach pauschal als unsicher deklariert wurde, obwohl sie wohl kaum unsicherer als die dreihundertfünfundzwanzigste App auf dem Schrott-Phone ist. Zum Thema Phishing hab ich letztens auch eine solche Mail erhalten, Absender meine Bank, korrekte Anrede, fehlerfreier Amts-Deutsch Text, und fragte auch nicht nach Daten, sondern wollte mir nur mitteilen, daß ich mich zu dem PSD2-Kram da und dort informieren könne. Einzig stutzig machte das fehlende https und daß alle Links auf die selbe Adresse führten, diese allerdings tatsächlich auf einem (zu der Zeit schon nicht mehr erreichbaren) Server der Bank. An der Stelle hat es wohl einen erfolgreichen Angriff auf die Bank gegeben, bei der mindestens ein Teil einer Kontaktdatenbank erbeutet und ein Server mit einem Webserver ausgestattet werden konnte. Und deswegen muß man ganz klar sagen, daß Unternehmen die strafbewehrte Pflicht haben sollten, Sicherheitsvorfälle an einen staatliche Stelle zu melden, bei der man sich darüber informieren kann.

Verwandte Themen

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP