Konten leergeräumt: Neue Phishing-Welle mit Apple Pay

Konten leergeräumt: Neue Phishing-Welle mit Apple Pay

© Pexels / Teona Swift

Digital Life

Konten leergeräumt: Neue Phishing-Welle mit Apple Pay

Zunächst die gute Nachricht: Apple Pay wurde nicht gehackt, es wurden keine Kreditkartendaten abgesaugt und es gibt auch keine Sicherheitslücke in dem Bezahldienst von Apple.

Dennoch wurden mithilfe von Apple Pay bereits zahlreiche Bankkonten leergeräumt. Ohne Zutun und ohne Gutgläubigkeit der Opfer funktioniert die neue Phishing-Angriffswelle aber nicht. Wer Grundlegendes beachtet, ist somit ausreichend vor dem neuen Trick geschützt. 

So funktioniert die neue Phishing-Welle

Zunächst geben sich die Cyberkriminellen in einer Mail als vertrauenserweckende Unternehmen wie Netflix, Disney+ oder Spotify aus, heißt von der österreichischen Informationsplattform für Internet-Betrug "Watchlist Internet".

So sieht eine der gefälschten Netflix-Seiten aus

SMS-TAN niemals weitergeben

In dieser Mail heißt es, dass noch eine Zahlung ausstehe, eine Zahlung nicht verarbeitet werden konnte oder ähnliches. Man solle doch auf den angeführten Link klicken und dort die notwendigen Daten eingeben.

Nach einem Klick auf den mitgeschickten Link erscheint die nachgeahmte Login-Website beispielsweise von Netflix. Man wird aufgefordert, dort die persönlichen Daten sowie die Kreditkarteninformationen einzugeben.

Im Hintergrund nutzen die Cyberkriminellen die Kreditkartendaten, um Apple Pay auf einem fremden Gerät zu aktivieren. In einem nächsten Schritt wird auf der gefälschten Login-Seite ein Aktivierungscode abgefragt, den per SMS auf dem Handy der Opfer in der Zwischenzeit eingegangen sein sollte.

Bei diesem so genannten Aktivierungscode handelt es sich allerdings um die Verifizierungs-TAN für die Freischaltung von Apple Pay. Gibt man diesen weiter, können die Cyberkriminellen den Bezahldienst auf dem fremden Gerät aktivieren und die Kreditkarte des Opfers für Einkäufe nutzen.

Mit solchen SMS versuchen die Cyberkriminellen gutgläubige Opfer zu ködern

Betrugsmasche in allen möglichen Formen

"Uns ist mittlerweile eine große Anzahl an Opfern bekannt", erklärt Thorsten Behrens, Projektleiter von Watchlist Internet, gegenüber der futurezone. In den meisten Fällen würden die Cyberkriminellen den Rahmen der Kreditkarte zur Gänze ausnutzen.

Diese Phishing-Welle tritt mittlerweile in allen möglichen Formen auf. So warnen auch PayLife und die BAWAG vor ganz ähnlichen Betrugsfällen, bei denen sich Cyberkriminelle als Paketdienstleister ausgeben. Auch hier wird vorgegaukelt, dass noch eine kleine Gebühr bezahlt werden müsse.

Ebenso hat das Landeskriminalamt Niedersachsen bereits im November vergangenen Jahres vor solchen Angriffsversuchen gewarnt. Cyberkriminelle würden versuchen, an Kredit- und Debitkarten über die Bezahldienste von Google und Apple zu kommen, heißt es in der Warnung der deutschen Polizeibehörden.

Wie man sich schützt

Wie beschrieben, können die Cyberkriminellen nicht so ohne weiteres an die Kreditkartendaten gelangen. Wer vorsichtig ist und grundlegende Sicherheitsaspekte beachtet, ist vor dieser Phishing-Welle ausreichend geschützt.

Wer ein Mail mit Zahlungsaufforderungen von Netflix, Disney+, Spotify, von einem Paketdienstleister oder einem ähnlichen vertrauenserweckenden Unternehmen erhält, sollte dennoch skeptisch sein. Man sollte auf jeden Fall die Mail-Adresse des Absenders kontrollieren und möglicherweise eine entsprechende Google-Suchanfrage tätigen. Meistens wird dabei klar, dass das Mail von Betrüger*innen stammt.

Kein Links anklicken, keine TANs weitergeben

Keinesfalls sollte man auf den mitgeschickten Link klicken. Stattdessen ist es ratsam, die Website des angeführten Unternehmens über den üblichen Weg im Web-Browser selbständig anzusteuern. Sollte tatsächlich eine Zahlung ausständig sein, wird das in Regel in den Account-Einstellungen angezeigt.

Ebenso sollte man besonders vorsichtig sein, wo und bei welcher Webseite man seine Kreditkartendaten hinterlässt. Auf gar keinen Fall sollte man einen zugeschickten TAN-Code eingeben.

Ebenso wenig sollte man einen TAN-Code telefonisch weitergeben, wenn sich jemand am Telefon als angebliche Bankmitarbeiter*in ausgibt. In diesem Fall lohnt es sich, die Bank über die übliche Telefonnummer zurückzurufen und mit dem Vorfall zu konfrontieren. Dabei wird sich herausstellen, dass Bankmitarbeiter*innen nie am Telefon nach einem persönlichen TAN-Code, Passwort oder ähnlichem fragen werden.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare