Im­mer wie­der neue Be­trugs­maschen

Leider kommt es immer häufiger vor, dass Betrüger gefälschte Mails oder SMS im Namen von Banken verschicken. Viele Mails oder auch SMS wirken absolut vertrauenswürdig und erwecken beim Leser den Eindruck, als handele es sich, um eine offizielle Information. Doch in Wirklichkeit wollen die Kriminellen nur an Ihre Zugangsdaten zum Online- oder Telefon-Banking. Wir sagen Ihnen, was Sie beachten sollten.

Unser Tipp

Aktuelle Sicherheitshinweise

Smishing - ge­fälschte SMS-Nach­richten

Vermehrt werden gefälschte SMS-Nachrichten an Smartphone-Nutzer verschickt. Dabei wird zum Klicken eines Links aufgefordert. Es handelt sich dabei um das sogenannte „Smishing“. Dies ist eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails). Die Betrüger haben nur ein Ziel, und zwar das Abfischen von persönlichen Daten. Ein aktuelles Beispiel finden Sie hier

  • Sie erhalten eine Textnachricht (SMS), vermeintlich von Ihrer Bank.
  • Diese enthält die Aufforderung, einem Link zu folgen oder eine Telefonnummer anzurufen.
  • Anschließend soll durch die Eingabe Ihrer Zugangsdaten Ihr Konto angeblich „geprüft“, „aktualisiert“ oder „reaktiviert“ werden. 
  • Vorsicht: Der Link führt zu einer gefälschten Webseite bzw. der Anruf zu wortgewandten Kriminellen, die sich als Angestellte der Bank ausgeben und Sie dazu bringen wollen, Ihre Daten preiszugeben.

Beispiel einer Phishing-Mail

Achtung: dies ist eine gefälschte Nachricht

Aktuell versenden Betrüger E-Mails mit dem Betreff „Helfen Sie uns, die Sicherheit Ihres Kontos zu erhöhen“. In den kriminellen Mails heißt es, dass Ihr Berater Ihnen angeblich eine sehr wichtige Nachricht bezüglich einer ausstehenden Transaktion hinterlassen hat. Aus diesem Grund sollen Sie sich nicht über einen Link in der Mail mit Ihren persönlichen Zugangsdaten anmelden. Folgen Sie diesen Anweisungen auf keinen Fall!

So läuft der Be­trugs­ver­such ak­tuell ab 

Betrüger versenden sogenannte Phishing-Mails, um an Ihre Bankdaten zu gelangen. Ziel der Betrüger ist es, ohne Ihr Wissen ein neues Sicherheitsverfahren, z.B. Postbank BestSign, anzulegen, um anschließend Ihr Konto zu plündern.

  • Durch einen Link in einer betrügerischen E-Mail werden Sie auf eine gefälschte Seite geleitet, die der Anmeldeseite des Postbank Banking & Brokerage zum Verwechseln ähnlich sieht.
  • Auf der gefälschten Seite werden Sie gebeten, sich im Online-Banking anzumelden. Wenn Sie nun Ihre Zugangsdaten eingeben, greifen die Täter die Daten ab und leiten Sie auf eine andere gefälschte Seite weiter.

Zeitgleich legt der Betrüger im Hintergrund ein neues Sicherheitsverfahren z. B. Postbank BestSign für Ihr Bankkonto an. Auf der gefälschten Seite werden Sie nun um eine Aktivierung gebeten. Geschickt verschleiern die Täter die Aktivierung mit erfundenen Aussagen, wie zum Beispiel, dass diese für ein „Sicherheits-Upgrade oder generelles Update“ dient.

Schützen Sie Ihre Konten und Daten vor Missbrauch! 

Achten Sie auf folgende Merk­male

  • Die Nachricht übt durch die Wortwahl sofort „Druck“ auf den Empfänger aus: ...„Zum wiederholten Male nicht erreicht  ...“, …„ohne schuldhaftes Verzögern“
  • Der Text der Mail gibt dringenden Handlungsbedarf vor, etwa: „Sie sind stets verpflichtet, Ihre Kundendaten ...“
  • Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, dann ...“
  • Sie werden aufgefordert, Daten sofort zu aktualisieren.
  • Die E-Mail enthält einen vermeintlich befristeten Link.
  • Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch kommt Ihnen das Anliegen des Absenders ungewöhnlich vor.

Tipp

Auf der Phishing-Radar-Website der Verbraucherzentrale finden Sie aktuelle Beispiele für Phishing-E-Mails.

Be­ach­ten Sie hier­für bit­te fol­gen­de Sicher­heits­hin­weise:

Hin­weis 1: Ver­wen­den Sie einzig­artige Zu­gangs­daten

Nutzen Sie für Ihr Online-Banking als Postbank ID und Passwort auf keinen Fall Daten, die Sie auch für andere Online-Dienste verwenden, z. B. für Ihr E-Mail-Konto oder in sozialen Netzwerken. Fürs Online Banking ist ein ein komplexes, schwer zu knackendes Passwort unumgänglich. Weitere Informationen rund um das Thema Passwörter und Datensicherheit finden Sie hier.

Tipp: E-Mail-Absender prüfen

Schauen Sie sich insbesondere bei E-Mails, die von Ihnen die Eingabe Ihrer Daten verlangen, die Adresse des Absenders genau an, bevor Sie sie öffnen. Banken etwa, werden Sie niemals per E-Mail auffordern, persönliche Daten preiszugeben.

Hin­weis 2: Hal­ten Sie Ihre Zu­gangs­da­ten streng ge­heim

Geben Sie niemals Ihre Zugangsdaten preis – weder telefonisch noch über Kontaktaufnahmen per E-Mail oder z. B. über Messenger-Dienste. Tun Sie dies auch dann nicht, wenn Sie von angeblichen Polizisten oder Bankmitarbeitern dazu gedrängt werden.

Hinweis 3: Ge­ben Sie kein neu­es Si­cher­heits­ver­fahren frei, so­fern Sie es nicht selbst be­auf­tragt ha­ben

Erteilen Sie eine Freigabe für ein neues Sicherheitsverfahren (z. B. Postbank BestSign) nur dann, wenn Sie selbst den Vorgang veranlasst haben. Sollten Sie von Betrügern mit fadenscheinigen Behauptungen zu einer Freigabe gedrängt werden, geben Sie dieser Aufforderung keinesfalls nach.

Bitte beachten Sie

Die Postbank fordert Sie niemals in E-Mails oder Telefonaten auf, Ihr Passwort zu nennen, Ihre Zugangsdaten zu aktualisieren oder ein zusätzliches Sicherheitsverfahren einzurichten und dieses anschließend zu bestätigen. Bleiben Sie wachsam.

Wich­tige Be­gri­ffe der Cyber­sicher­heit kurz zu­sammen­gefasst 

#1 Phishing

Mit betrügerischen E-Mails soll der Empfänger verleitet werden, persönliche, finanzielle oder sicherheitsbezogene Informationen preiszugeben. Die E-Mails sehen täuschend echt aus. Es werden die bekannten Logos verwendet und auch die Wortwahl gleicht den echten E-Mails. Kriminelle bauen hier vor allem darauf, dass Menschen häufig vielbeschäftigt sind und deshalb E-Mails nur oberflächlich lesen. Die E-Mails vermitteln Dringlichkeit und sofortiges Handeln. Es wird verlangt, dass ein Anhang geöffnet oder ein Link geklickt wird. Anschließend soll das eigene Konto „geprüft“, „aktualisiert“ oder „reaktiviert werden“. Leider führt der Link zu einer gefälschten Webseite!

#2 Smishing

Grundsätzlich geht es beim Smishing auch um das Abfischen von Daten, allerdings nicht per Mail, sondern per SMS. Es werden Textnachrichten versandt. Diese enthalten die Aufforderung einem Link zu folgen oder eine Telefonnummer anzurufen. Anschließend soll das eigene Konto „geprüft“, „aktualisiert“ oder „reaktiviert" werden. Leider führt der Link zu einer gefälschten Webseite oder der Anruf zu einem Kriminellen, der sich als Angestellter des echten Unternehmens ausgibt.

#3 Vishing

Der Begriff „Vishing" setzt sich aus dem englischen Wort „Voice" (dt.: Sprache) und „Phishing“ zusammen. Die Kriminellen setzen das Opfer geschickt unter Druck, damit die Opfer persönliche Daten preisgeben oder direkt Geld überweisen. Die Betrüger recherchieren vorab in den sozialen Medien nach persönlichen Informationen des potenziellen Opfers, mit den gewonnenen Informationen erschleichen diese sich das Vertrauen der Opfer. Vertrauen Sie einem unbekannten Anrufer nicht, nur weil dieser einige persönliche Details kennt. Lassen Sie sich die Telefonnummer geben und versprechen einen Rückruf. Dadurch gewinnen Sie Zeit und können über das geführte Gespräch nachdenken. Erhalten Sie aus vorgeschobenen Gründen keine Rufnummer, dann erkundigen Sie sich selbst bei dem genannten Unternehmen. Wichtig: Dabei darf nicht die im Display angezeigte Nummer zurückgerufen werden, denn genau diese kann gefälscht sein.

#4 Boiler-Room-Scam

Die wörtliche Übersetzung ist „Heizungskeller-Betrug“. In diesem Fall ist der „Heizungskeller“ jedoch ein Callcenter, über das Händler per Telefon unter Druck Produkte verkaufen müssen. Bei dieser Betrugsmasche werden ahnungslose Interessenten von Kriminellen unter Druck gesetzt, ihr Geld in angeblich besonders Gewinn versprechende Wertpapiere zu investieren. Im Zuge dessen locken die Betrüger auch mit Aussagen wie „geringes Risiko“ bzw. „sichere Geldanlage“.

# 5 Quishing

Eine neue Variante ist das sogenannte Quishing so die Polizeiliche Kriminalprävention der Länder und des Bundes. Quishing ist die Zusammensetzung aus QR und Phishing. Die Vorgehensweise ist ähnlich einer Phishing-Mail. Nur wird der Empfänger in einer Mail aufgefordert einen QR-Code zu scannen. Hinter dem QR-Code verbergen sind keine weiteren Informationen, sondern der Link führt auf eine Fake-Website, wie wir ihn vom Phishing kennen – nur eben anders verpackt.

Quellen: Bankenverband der deutschen Banken; Bundesamt für Sicherheit in der Informationstechnik

Auf dem Lau­fen­den blei­ben

Bankgeschäfte bequem vom heimischen PC oder von unterwegs aus zu erledigen, ist sehr bequem. Achten Sie dabei auf die 10 wichtigsten Regeln für ein sicheres Online Banking. Informieren Sie sich außerdem regelmäßig zum Thema Sicherheit. Kostenlose Newsletter gibt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI).