Hamburg. Ein Paket mit Zollgebühren wird per Kurznachricht angekündigt. Die Fälle nehmen dramatisch zu. ING geht nun in die Offensive.
Mit einer SMS über eine bevorstehende Paketlieferung die Kreditkartendaten der Betroffenen auszuspähen ist aktuell eine der perfidesten Betrügertricks. Das bestätigen Banken und Bundesnetzagentur dem Abendblatt. Auch viele Hamburger sind betroffen. Wie funktioniert die dreiste Masche? Wer fällt darauf herein? Wie groß ist der Schaden? Wie kann man sich schützen? Experten beantworten die wichtigsten Fragen.
Welche Betrugsmasche wird aktuell häufig praktiziert?
Immer mehr Hamburger erhalten derzeit über Nachrichtenkanäle wie WhatsApp oder per SMS Zahlungsaufforderungen von Paketdienstleistern zu angeblich unbezahlten Paketgebühren. „Im Rahmen unserer Ermittlungen haben wir verschiedene der in den uns mitgeteilten SMS verlinkten Internetseiten überprüft. Dabei hat sich der Verdacht bestätigt, dass es sich um eine Masche zum Datenphishing handelt, insbesondere will man hier offenbar an die Kreditkartendaten der Verbraucher kommen“, sagt der Sprecher der Bundesnetzagentur.
Um die oftmals geringe Summe zu begleichen, sollen Empfänger über einen Link in der Nachricht persönliche Daten und Kreditkarteninformationen preisgeben. „Wir beobachten seit Jahresbeginn eine besorgniserregende Häufung an Betrugsfällen solcher Art“, sagt Nico Rudolf, Teamleiter operative Betrugsprävention bei der ING.
Wie sieht der Betrug konkret aus?
Zum Beispiel erhält man eine SMS mit der Nachricht: „Ihr Paket wurde mit Zollgebühren in Höhe von 1,99 Euro belastet. Bitte bezahlen Sie diese.“ Ein Link führt dann auf eine Internetseite, die der von DHL oder vom Zoll täuschend echt ähnelt. „Die Masche mit dem Paket und der niedrige Betrag von 1,99 Euro, der zur Zahlung freigegeben werden soll, funktioniert besonders gut, weil die Menschen heute regelmäßig Pakete erwarten und bei diesem niedrigen Betrag kein hohes Risiko für finanzielle Schäden befürchten“, sagt Rudolf.
Auch der Bundesverband deutscher Banken warnt vor dieser Masche. Bei der Bundesnetzagentur häufen sich die Beschwerden über die Zollgebühren-SMS. Seit Januar 2023 steigt die Zahl der Beschwerden zu dieser Missbrauchskonstellation deutlich an. Im Januar sind 65 Beschwerden zu dem Thema eingegangen, im Februar 91, im März 331, und im April waren es bereits 2075.
Wie werden die persönlichen Daten abgegriffen?
Die Betroffenen werden nicht nur aufgefordert, ihre Kreditkartendaten einschließlich der dreistelligen Prüfziffer einzugeben, sondern auch Name, Geburtsdatum und Adresse. Mit den Kontakt- und Kreditkartendaten aktivieren die kriminellen Absender mobile Bezahldienste wie Apple Pay oder Google Pay auf einem fremden Gerät.
Aufgrund der Zwei-Faktor-Authentifizierung wird dafür meist noch ein Einmalpasswort benötigt, das die Betroffenen vom eigentlichen Zahlungsdienstleister erhalten. Wird auch dieses Passwort weitergegeben, kann die Aktivierung auf dem Fremdgerät vollzogen werden. Jetzt haben Betrüger freie Hand und können auf Kosten der Betroffenen Gelder überweisen oder Online-Einkäufe tätigen.
Wer fällt auf diese Tricks herein?
„Wegen des geringen Betrages von 1,99 Euro denken die Opfer offenbar, dass nicht viel passieren kann, der Schaden kommt erst hinterher“, sagt IT-Experte Rudolf. Das typische Opfer gebe es nicht. „Das reicht vom Ingenieur bis zur Großmutter“, so Rudolf. „Der Mensch ist in den meisten Fällen der größte Unsicherheitsfaktor, wenn er sensible Daten weitergibt.“
Welche Schäden entstehen?
„Der Schaden liegt meist im mittleren dreistelligen Bereich und setzt sich aus mehreren Einkäufen zusammen, die im In- und Ausland erfolgen“, sagt Rudolf. Wie schnell der Schaden bemerkt wird, hängt davon ab, wie intensiv man seine Umsätze auf dem Konto kontrolliert. „Wir raten unseren Kunden, die Push-Benachrichtigungen in der Banking-App zu aktivieren, um unverzüglich über neue Umsätze informiert zu werden“, rät Rudolf.
Sind auch andere Banken betroffen?
„Wir wissen aus Gesprächen, dass auch andere Banken betroffen sind“, sagt Rudolf. Aber offensichtlich geht jede Bank anders mit der Thematik um, die wenigstens so offensiv wie die drittgrößte Bank Deutschlands mit mehr als neun Millionen Kunden. Allerdings will auch die ING keine konkreten Zahlen zu den erfolgreichen Betrugsfällen nennen. Eine Sprecherin der Commerzbank sagt auf Anfrage: „Zu dem von Ihnen geschilderten Betrugsszenario können wir keine Angaben machen. Grundsätzlich sind auch Kunden der Commerzbank immer wieder von verschiedenen Betrugsmaschen betroffen.“
Inwiefern das erfolgreich sei, hänge vor allem auch von der Vorsicht der Kunden ab. Der Haspa sind nach eigenen Angaben keine Kunden bekannt, die auf die SMS-Masche mit den Zollgebühren hereingefallen sind. „Phishing-Versuche von Kriminellen, an persönliche Daten von Kunden zu gelangen, gehören jedoch leider zum Alltag“, sagt Haspa-Sprecherin Stefanie von Carlsburg.
Auch bei der Hamburger Volksbank gibt es aktuell häufiger Rückfragen „von Kundinnen und Kunden, die offensichtlich eine betrügerische SMS erhalten haben“, sagt eine Banksprecherin. Die Postbank schließt aus, dass sie von der aktuellen Betrugsmasche betroffen ist: „Wir bieten derzeit weder Apple Pay noch Google Pay an, deshalb sind unsere Kunden von dieser konkreten Betrugsmasche nicht betroffen“, sagt ein Sprecher des Kreditinstituts.
Wer kommt für den Schaden auf?
„Grundsätzlich haften Kunden bei grober Fahrlässigkeit für etwaige finanzielle Schäden“, sagt Rudolf. Der Schaden wird also von der Bank nicht ersetzt, weil die persönlichen Bankdaten weitergegeben wurden. Das sieht auch die Verbraucherzentrale Hamburg ähnlich. „Wir differenzieren aber, zu welchem Zeitpunkt die Kunden von einer Betrugsmasche betroffen waren“, sagt Kerstin Föller von der Verbraucherzentrale Hamburg. Wenn man eines der ersten Opfer ist, sei das noch etwas anderes, als wenn die Masche schon seit Wochen praktiziert wird. Die Verbraucherschützerin rät davon ab, die Kreditkartendaten im Handy zu hinterlegen. „Es ist schön einfach beim Bezahlen im Supermarkt, aber es gibt eben auch Risiken.“
Was ist im Schadenfall zu tun?
„Wenn ein Schaden eingetreten ist, muss die Kreditkarte sofort gesperrt und die Bank informiert werden. Weiterhin ist es ratsam, Strafanzeige bei der Polizei zu stellen“, sagt Rudolf. Dazu ist es ratsam, Beweise in Form von Fotos oder Screenshots zu sichern. Das Smartphone sollte in den Flugmodus versetzt werden. „So verhindert man, dass Kriminelle, die verdeckt eine App oder einen Virus auf Ihr Smartphone geladen haben, weitere Daten erbeuten“, sagt Rudolf. Zudem sollte das Konto permanent überprüft werden.
- Banken wackeln- Wie sicher ist noch mein Erspartes?
- Verdacht Geldwäsche- Sparer haben überraschendes Problem
- Haspa trickst beim Tagesgeld ihre Kunden aus
Wie kann man vorbeugen?
Die Links in SMS- oder WhatsApp-Nachrichten sollten keinesfalls geöffnet und die Mitteilungen sofort gelöscht werden. Die Bundesnetzagentur hat bisher über 200 Mobilfunknummern, die sich dieser Masche bedienten, abschalten lassen. Inzwischen werden für diese Betrugsmasche zunehmend ausländische Rufnummern eingesetzt, teilte die Behörde mit. „Da der ausländische Rufnummernraum nicht durch uns reguliert wird, sind Abschaltungsmaßnahmen hier nicht möglich“, sagt der Behördensprecher.
Wer ein Paket erwartet, sollte sich über die offizielle Seite des Postdienstleisters über den Status seiner Sendung informieren. „Wir würden unsere Kunden niemals per E-Mail oder Telefon auffordern, eine PIN, ein Passwort oder andere personenbezogene Daten zu nennen oder einen eingefügten Link anzuklicken, um vertrauliche Daten wie Kreditkarten-, Konto- oder Onlinebankingdaten einzugeben“, sagt die Sprecherin der Hamburger Volksbank. Hierbei handele es sich immer um einen Betrugsversuch.