Polizei warnt vor neuer Betrugsmasche mit NFC-Smartphone-Bezahlung

Die gute Nachricht zuerst: Weder Online-Banking-Portale, noch NFC-Antennen oder Google Pay, Apple Pay oder die mobilen Smartphone-Bezahlmöglichkeiten der heimischen Banken wurden gehackt. Es gibt auch keine entsprechende Sicherheitslücken oder sonstige Schwachstellen die ausgenutzt wurden.

Trotzdem haben es Betrüger*innen geschafft, einige Bankkonten mithilfe von Bankkarten auf Smartphones leerzuräumen. Bei der aktuellen Betrugsmasche, die offenbar hauptsächlich in Oberösterreich die Runde macht, handelt es sich um einen klassischen Phishing-Angriff.

Laut Presseaussendung der Polizei funktioniert die neue Phishing-Welle nur mit Zutun und einer ordentlichen Portion Gutgläubigkeit der Opfer. Wer Grundlegendes beachtet, sollte somit ausreichend vor dem Trick geschützt sein.

So funktioniert die neue Phishing-Welle

Ausgangspunkt des Angriffs ist eine SMS, die die potenziellen Opfer erhalten. Die Betrüger*innen geben sich darin als österreichische Bank aus und locken die Betroffenen auf eine gefälschte Website, die den Webseiten der heimischen Banken zum Verwechseln ähnlich sieht.

Unter dem Vorwand einer angeblichen Sicherheitsüberprüfung werden die Betroffenen aufgefordert, ihre Verfügernummer sowie den PIN-Code auf der nachgeahmten Website einzugeben.

"Nachdem die Geschädigten ihre Daten bei dieser Fake-Webseite eingegeben haben, werden diese von den Tätern übernommen und für die widerrechtliche Verwendung der Bankkonten bzw. der damit verknüpften Kredit- bzw. Debitkarten verwendet", schreibt die Landespolizeidirektion Oberösterreich in einer Aussendung.

Anschließend verknüpfen die Täter*innen offenbar die erbeuteten mit ihren Mobiltelefonen. Das heißt sie richten sich auf ihren Handys eine virtuelle Bankkarte ein, was möglich ist, da sie Verfügernummer, PIN-Code und andere Daten der Opfer erhalten haben. So können sie dann per NFC etliche Einkäufe im lokalen Handel tätigen. Laut Polizei wird bei den Einkäufen meist der Kontoüberziehungsrahmen ausgereizt, sodass die Konten der Betroffenen regelrecht leergeräumt werden.

Wie man sich schützt

Wie beschrieben, können die Cyberkriminellen nicht so ohne weiteres an die Kreditkartendaten gelangen. Wer vorsichtig ist und grundlegende Sicherheitsaspekte beachtet, ist vor dieser Phishing-Welle ausreichend geschützt.

Wenn man eine SMS erhält, in der sich jemand als Bank ausgibt, sollten schon sämtliche Alarmglocken schrillen. Banken nutzen in der Regel keine SMS, sondern in erster Linie das Kommunikations-Tool im Online-Banking. Wer sich unsicher ist, kann proaktiv seine Bank kontaktieren und sich nach dieser angeblichen Sicherheitsüberprüfung erkundigen.

➤ Mehr lesen: Was tun, wenn ich auf eine Phishing-Mail hereingefallen bin?

Eine ganz ähnliche Phishing-Welle hat es Anfang des Jahres gegeben. Damals haben sich die Täter*innen als Netflix, Disney+, Spotify, Paketdienstleister oder einem ähnlichen vertrauenserweckenden Unternehmen ausgegeben. Unter dem Vorwand einer angeblichen Zahlungsaufforderung über gefälschte Webseiten wurden damals den Betroffenen die Zugangsdaten zu ihren Online-Banking-Konten abgeluchst.

Kein Links anklicken, keine TANs weitergeben

Keinesfalls sollte man auf einen mitgeschickten Link klicken, den man über eine SMS oder eine Mail eines unbekannten Absenders zugeschickt bekommt. Stattdessen ist es ratsam, die Website des angeführten Unternehmens oder seiner Bank über den üblichen Weg im Web-Browser selbständig anzusteuern. Sollte tatsächlich eine Zahlung ausständig sein oder eine Sicherheitsüberprüfung anstehen, wird das in Regel in den Account-Einstellungen angezeigt.

Ebenso sollte man besonders vorsichtig sein, wo und bei welcher Webseite man seine Kreditkartendaten hinterlässt. Besondere Vorsicht gilt beim TAN-Code. Diesen sollte man wirklich nur eingeben, wenn man sich 100-prozentig sicher ist, dass man sich auf der originalen Webseite seiner Bank befindet.

Ebenso wenig sollte man einen TAN-Code telefonisch weitergeben, wenn sich jemand am Telefon als angebliche Bankmitarbeiter*in ausgibt. In diesem Fall lohnt es sich, die Bank über die übliche Telefonnummer zurückzurufen und mit dem Vorfall zu konfrontieren. Dabei wird sich herausstellen, dass Bankmitarbeiter*innen nie am Telefon nach einem persönlichen TAN-Code, Passwort oder ähnlichem fragen werden.