Wenn „falsche Bankangestellte“ das Falsche als richtig darstellen ...
Die Polizei warnt vor Phishing-Versuchen per Anruf, SMS oder Brief von vermeintlichen Kreditinstituten. Die Social Engineering Betrugsmasche tarnt sich als Sicherheitsmaßnahme. Aktuell sind solche Quishing-Briefe mit gefälschtem Bank-Absender in Umlauf.
Das Essenzielle zuerst: Banken und Sparkassen, Behörden oder seriöse Firmen fragen niemals nach vertraulichen Informationen oder fordern dazu auf, PINs, TANs oder Passwörter preiszugeben, weder telefonisch noch digital!
Der Dreh- und Angelpunkt der Masche mit „falschen Bankmitarbeitenden“.
Sie wollen das Schutzversprechen der Kreditinstitute gegenüber Kundinnen und Kunden ad absurdum führen. Bei Betrugsversuchen im vorgetäuschten Namen einer Bank oder Sparkasse betonen Kriminelle inzwischen ausdrücklich die Sicherheitsaspekte oder den Schutz der Kundendaten, bevor sie die eigentliche Falle servieren. Die Täterinnen und Täter erwecken dabei einen professionellen Anschein, wirken seriös und wohlmeinend, um Vertrauen aufzubauen. Auch das folgende Praxisbeispiel enthält dieses Tatmuster.
Bei diesem Quishing-Brief haben Außenstehende eigentlich keine Chance.
Versandumschlag und Anschreiben sehen täuschend echt aus mit dem gedruckten Logo, Gestaltung und Typografie entsprechen den üblichen Briefen. Unterschrieben haben zwei Bankangestellte, deren Namen auch früher schon in der Kundenkommunikation aufgetaucht sind. Ihre paraphierte Signatur wirkt vertraut. Nur Insidern kann es überhaupt auffallen: Die beiden sind gar nicht mehr im Unternehmen!
Auffällig am Brieftext sind lediglich zwei Dinge: Die nicht namentliche Anrede eingangs und eine etwas umständliche Formulierung am Ende. Viel mehr fällt der zentral platzierte QR-Code zur Aktualisierung des photoTAN-Verfahrens ins Auge. Der sei umgehend mit dem Mobiltelefon zu scannen, „für alle Kunden verpflichtend“. Jedoch führt der Scan auf eine Internetseite der Kriminellen im nachgeahmten Look der imitierten Bank. Je nach Gerät und Browser ist die Fake-Webseite auf den ersten Blick nicht zu erkennen. Im guten Glauben eingetippte Zugangsdaten zum Online-Banking nutzen die Betrüger dann für sich. In manchen Fällen veranlassen die Täterinnen und Täter auf solche Weise auch direkte Geldtransfers.
Und so variiert die Methode.
Falsche Institutsmitarbeiterinnen und -mitarbeiter nehmen auch via Telefon oder Kurznachrichtendienst Kontakt mit Kundinnen und Kunden auf, manchmal mixen sie die Kanäle auch innerhalb eines „Raubzugs“. Als Anlässe vorgeschoben werden Kontosperrung, kurzzeitige Deaktivierung des Online-Bankings, Aktualisierung von Zahlungsinformationen oder ähnliche Überprüfungen.
Typisch ist ein Anruf, in dem das Gegenüber erst vor betrügerischen Anrufen warnt und dann selbst lügt, manipuliert, stiehlt und betrügt. Mal gaukeln die Täterinnen und Täter spontane, unbürokratische Hilfsbereitschaft angesichts besonderer, dringlicher Umstände vor – mal macht eine große System-Umstellung innerhalb des Bankhauses die Mitwirkung von Kundenseite angeblich unausweichlich. Mal werden die Angaben geradewegs abgefragt, mal werden im Gespräch extra beiläufig entscheidende Informationen entlockt. Immer besteht das Ziel der Betrügerinnen und Betrüger darin, dass persönliche, geheime Schlüsseldaten neu eingegeben werden.
Wie schütze ich mich gegen Betrugsversuche mit „falschen Bankangestellten“?
• Bei derartigen Kontaktaufnahmen sollten Sie höchst alarmiert sein. Gehen Sie niemals direkt auf das vorgebrachte Anliegen ein. Kontaktieren Sie das angegebene Unternehmen selbstständig, losgelöst von Vermittlungsangeboten der fraglichen Anruferinnen oder Anrufer bzw. Absenderinnen oder Absender.
• Für Ihren Umgang mit QR-Codes gilt dasselbe wie für E-Mails von fragwürdigen Absenderinnen oder Absender mit unbekannten Anhängen oder Verlinkungen: Die Unbedenklichkeit dessen sollte gesichert sein, bevor Sie den QR-Code scannen.
• Verwenden Sie immer eine Multi-Faktor-Authentifizierung zum Schutz Ihrer Daten bei Passwörtern und beim Online-Banking.
• Haben Sie einen Betrugsversuch bemerkt oder befolgt, melden Sie sich umgehend bei der Polizei. Blockieren Sie betrügerische Geldverfügungen, indem Sie Ihr Konto sofort sperren lassen – wenden Sie sich entweder an Ihr Kreditinstitut oder an den jederzeit verfügbaren Sperr-Notruf 116 116.
• Nicht ohne Grund verfolgen manche Banken und Sparkassen seit Langem die Kundenstrategie, auf einem persönlichen Kennenlernen mit Beraterinnen und Beratern zu bestehen. Auch eine Sicherheitsfrage zu hinterlegen, kann im Zweifel Ihren Schutz vor Betrugsversuchen erhöhen.
Quellen:
https://lka.polizei.nrw/presse/quishing-gefaelschte-briefe-von-vermeintlichen-kreditinstituten-im-umlauf
https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/quishing-falsche-qrcodes-in-bankbriefen-und-im-strassenverkehr-98612
https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059