Zugegeben: Es muss schon einiges passieren, damit Betrügerinnen und Betrüger ein digitales Abbild einer fremden Kredit- oder Debitkarte erbeuten, es auf ihrem Mobilgerät hinterlegen und dann damit in Geschäften kontaktlos bezahlen können.
Aber die jüngste Häufung von Fällen zeige, dass die Versuche der Kriminellen, gestohlene Kreditkarten-Klone auf Smartphones und Smartwatches zu hinterlegen, mitunter durchaus erfolgreich verlaufen, warnt das Landeskriminalamt (LKA) Niedersachsen. Wer weiß, wie die Masche funktioniert, kann sich besser schützen. Der Betrug in drei Schritten erklärt:
Schritt 1a: Das potenzielle Opfer sucht etwa per Suchmaschine nach der Onlinebanking-Seite seiner oder ihrer Bank, klickt dann aber in den Ergebnissen auf einen Link, der eine Phishing-Seite öffnet, und gibt dort etwa seine Onlinebanking- und Kartendaten ein. Deshalb gilt: Die Bank-Adresse immer selbst in den Browser eintippen.
Schritt 1b: Der Weg zu solchen gefälschten Bankseiten kann auch über Links in Phishing-Mails führen. Diese Nachrichten tarnen die Kriminellen als offizielle Bank-Mail. Darin steht frei Erfundenes: Eine plötzliche Sperrung, eine notwendige Verifizierung oder eine Änderung der Rechtslage, die angeblich die Eingabe von Banking-Zugangsdaten und Kartendaten erforderlich macht.
Achtung: Banken würden Sie niemals zu so etwas auffordern. Bei Zweifeln kontaktiert man am besten den Kundendienst der Bank.
Schritt 2: Am Tag darauf klingelt das Telefon. Es sind die Betrügerinnen oder Betrüger, die sich als Bankmitarbeitende ausgeben. Denn um mit dem digitalen Kartenabbild auf einem Smartphone oder einer Smartwatch bezahlen zu können, genügt es nicht, einfach nur die Kartendaten beim jeweiligen Bezahldienst einzugeben.
In der Regel ist zusätzlich eine Bestätigung der kartenausgebenden Bank notwendig. Das geschieht teils über die Eingabe einer TAN im Onlinebanking, die in der TAN-App der Bank angezeigt wird (Push-TAN), teils aber auch über eine Fingerabdruck- beziehungsweise PIN-Freigabe innerhalb der Banking-App.
Deshalb fragen die falschen Bankmitarbeitenden ihre Opfer im Gespräch nach der Push-TAN oder fordern sie mit ebenfalls fadenscheinigen Begründungen zur biometrischen Freigabe in der App auf. Tatsächlich richten sie aber gerade die Kredit- oder Debitkarte ihres Opfers auf ihrem Smartphone oder ihrer Smartwatch ein. Achtung: Solche sensiblen Daten niemals preisgeben.
Schritt 3: Sind im Gespräch mit den Kriminellen TAN preisgegeben oder Freigaben erteilt worden, muss man damit rechnen, dass das jeweilige Gerät des Täters nun zum Bezahlen freigeschaltet ist. Damit können die Kriminellen nun Einkaufen gehen, ohne tatsächlich über die physische Kredit- oder Debitkarte zu verfügen.
Dann gilt: Zur Schadensbegrenzung unverzüglich die Bank kontaktieren und im Onlinebanking die fürs Konto hinterlegten Geräte prüfen. Bei unberechtigten Abbuchungen ebenfalls die Bank informieren und Anzeige bei der Polizei erstatten.