Phishing for money

Cybercrime Kompetenzzentrum
Phishing for money
Derzeit kursieren Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen. Dies sei angeblich „wegen der PSD2 Umstellung der Banken notwendig“
PP Wuppertal, KK 25

Seit wenigen Wochen, nämlich seit dem 14. September 2019, ist die neue Zahlungsrichtlinie - PSD2 - in Kraft. Die zweite Zahlungsdienstrichtlinie oder auch Payment Services Directive 2, kurz PSD2, hat zum Ziel, das Bezahlen im Internet sicherer zu machen.

Im Rahmen der Umstellung wird eine Zwei-Faktor-Authentifizierung zur Pflicht: Kunden müssen also nicht nur ihre gewohnten Passwörter eingeben, sondern noch ein zweites Sicherheitsmerkmal parat haben, etwa eine zusätzliche TAN-Nummer, einen Fingerabdruck oder etwa einen Gesichtsscan über das eigene Smartphone (Ausnahmen gibt es aktuell allerdings noch bei Kreditkartenzahlungen).

Kriminelle nutzen gezielt Verunsicherungen

Allerdings sorgen die neuen Vorschriften nicht nur bei einigen Händlern, sondern auch bei Kunden für Verwirrung: Was ist neu? Was muss ich tun? Welche neuen Daten muss ich hinterlegen?Kriminelle scheinen nun genau diese Unsicherheiten ausnutzen zu wollen. Derzeit baut sich eine neue Phishing-Welle auf. Die Kriminalpolizei Wuppertal warnt ausdrücklich vor Phishing-Attacken und Betrugsversuchen in Zusammenhang mit der Zahlungsrichtlinie PSD2.

Phishing-Mails: Gehen sie auf diese E-Mails nicht ein!

Die erforderlichen Umstellungen versuchen Betrüger allerdings für ihre Zwecke ausnutzen. Es kursieren Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen. Dies sei angeblich „wegen der PSD2 notwendig“.

In Wirklichkeit geben die Verbraucher auf einem gefälschten Portal ihre Banking-Daten Betrügern preis. Für andere Zahlungsdienste wie PayPal sind ähnliche Betrugsversuche zu verzeichnen.

Besser zu vorsichtig als betrogen zu werden

Die Kriminalpolizei Wuppertal empfiehlt misstrauisch zu sein:

„Phishing-Mails können sehr seriös und überzeugend echt wirken“. Zumal auch bekannte und seriöse Unternehmen als Absenderangaben gefälscht werden, um auf diesem Weg das Vertrauen der Kunden zu gewinnen.

Grundsätzlich verweist die Polizeibehörde darauf, dass Banken oder Finanzinstitute ihre Kunden nie via E-Mail über Zugangsdaten oder andere sensible Informationen ausfragen würden. Wenn Unsicherheiten oder Zweifel aufkommen sollten, sei es anzuraten, sich direkt mit den Banken oder Dienstleistern in Verbindung zu setzen. Auch sollten Links in E-Mails niemals angeklickt und angehängte Dateien auch nicht geöffnet werden, „wenn auch nur der geringste Zweifel an der Sinnhaftigkeit oder Echtheit der Anlage“ bestehe.

Die Kriminalpolizei Wuppertal rät:
  • Banken oder Zahlungsdienste fragen niemals Kundendaten oder Zugangsdaten zum Konto per Mail ab
  • Fragen Sie im Zweifel bei Ihrer Bank oder dem Zahlungsdienst nach
  • Seien Sie misstrauisch! Phishing-Mails können sehr seriös und überzeugend echt wirken. Bekannte Absenderangaben sind oft gefälscht und sollen Vertrauen erwecken
  • Klicken Sie in einer E-Mail niemals Links an und öffnen Sie keine Dateianhänge, wenn auch nur der geringste Zweifel an der Sinnhaftigkeit oder Echtheit der Anlage besteht
  • Werden Sie hellhörig, wenn jemand Sie telefonisch oder per Mail kontaktiert und mit Verweis auf die PSD2 irgendwelche angeblich notwendigen Maßnahmen ankündigt oder von Ihnen verlangt
  • Prüfen Sie kritisch, ob diese Maßnahmen überhaupt erforderlich sind

Rückfragen bitte an:

Polizeipräsidium Wuppertal
Kriminalkommissariat 25
Telefon: 0202 - 284 2501

Was bedeutet Phishing?
Phishing

Spam verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt. Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom "einfachen" Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel auch über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger – darunter auch Kernkraftwerksbetreiber.

Spear-Phishing

Nicht alle Phishing-Mails landen im Gefolge einer ungezielten Spam-Welle im Postfach: Das sogenannte Spear-Phishing richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-Mails mit oft hohem Aufwand und viel Akribie auf einen ganz konkreten Empfänger zugeschnitten. Die Hintermänner gehören in solchen Fällen meist einer international organisierten Gruppe von Cyber-Kriminellen an. Spear-Phishing ist oft nur der Auftakt einer gestaffelten Angriffskette, bei der es häufig um Finanzbetrug, aber auch um das Abschöpfen von Geschäftsgeheimnissen oder militärischen Informationen geht.

In dringenden Fällen: Polizeinotruf 110