Seien Sie im Umgang mit sensiblen Daten rund um die Kontonutzung stets wachsam! Im Betrugsfall wird Ihnen Ihre Bank den Schaden nur dann zurückzahlen, wenn Sie alle Sorgfaltspflichten erfüllt und keinerlei Mitschuld am Betrug haben. Bei grob fahrlässigem oder gar vorsätzlichem Verhalten haftet die Bank jedoch nicht.

Wenn Sie Opfer eines Betrugs geworden sind oder dies vermuten, sollten Sie Ihre Zahlungskarten bzw. Ihren Zugang zum Online- oder Telebanking unbedingt von Ihrer Bank oder über die Rufnummer 116 116 beim Sperrnotruf sperren lassen. Lassen Sie Ihre Karte auch dann sperren, wenn diese von einem Geldautomaten einbehalten wird. Wenn Sie vermuten, dass Ihre Zugangsdaten zum Online-Banking Dritten bekannt geworden sind, können Sie diese gegebenenfalls selbst im Online-Banking ändern.

Wenden Sie sich bei Betrugsverdacht zudem umgehend an die Polizei und erstatten Anzeige. Die Polizei kann dann eine so genannte KUNO-Sperrung vornehmen. Nur damit kann sichergestellt werden, dass eine Karte nicht mehr für das elektronische Lastschriftverfahren verwendet werden kann. Von den Banken oder dem Sperrnotruf kann diese Sperrung nicht veranlasst werden.

Wenn Sie sensible Karten- oder Banking-Daten preisgegeben haben, sollten Sie sich sofort mit Ihrer Bank in Verbindung setzen. Zu Ihren Pflichten gehört auch, dass Sie Ihre Kontoumsätze stets zeitnah und aufmerksam beobachten. Wenn Sie feststellen, dass jemand unberechtigterweise Zahlungen oder Bargeldabhebungen von Ihrem Konto vorgenommen hat, sind Sie verpflichtet, sofort Ihre Bank zu benachrichtigen und den Schaden zu melden.

Skimming

Was ist Skimming?

Beim Skimming geht es um das Ausspähen von Kartendaten und PIN am Geldautomaten. Die Täter installieren dabei vor dem Karteneinschubschacht ein optisch zum Geldautomaten passendes Kartenlesegerät oder eine vollständige Frontplatte. Das Kartenlesegerät ist dabei so konzipiert, dass es die im Magnetstreifen befindlichen Kartendaten ausliest, kopiert und die Karte an den originalen Kartenleser weiterleitet. Die normale Funktion des Geldautomaten wird dadurch nicht beeinträchtigt, sodass die Opfer keinen Verdacht schöpfen.

An die PIN gelangen die Täter entweder durch ein manipuliertes Tastaturfeld, das auf der Originaltastatur befestigt wird oder durch eine installierte Minikamera oberhalb der Tastatur.

Die gestohlenen Kartendaten werden im Anschluss auf einen Kartenrohling kopiert und in Kombination mit der PIN für Abbuchungen verwendet..

Wie kann ich mich vor Skimming schützen?

• Überprüfen Sie vor dem Geldabheben das Umfeld und die Beschaffenheit des Geldautomaten.
• Geben Sie Ihre PIN verdeckt ein und stellen Sie sicher, dass niemand hinter Ihnen steht und die Eingabe beobachten kann.
• Prüfen Sie regelmäßig die Abbuchungen von Ihrem Konto.

Phishing

Was ist Phishing?

Beim Phishing versenden Betrüger E-Mails, bei denen zum Beispiel Banken als vermeintliche Absender angegeben sind. Darin werden die Empfänger aufgefordert, ihre PIN und TAN aus dem Onlinebanking anzugeben.

Die Empfänger der Mails können auf den ersten Blick oft nicht erkennen, ob es sich um eine Nachricht ihrer Bank oder um einen Betrugsversuch handelt. Der Betreff (zum Beispiel "Ihre Überweisung") wird so gewählt, dass Empfänger neugierig werden, die E-Mail öffnen und die gewünschten Daten angeben.

Eine andere Variante sind sogenannte Banking-Trojaner. Die E-Mails enthalten dabei einen Link oder eine angehängte Datei, wo Schadsoftware hinterlegt ist und auf dem Rechner oder mobilen Endgerät des Empfängers installiert wird. Die Schadsoftware täuscht beispielsweise eine Eingabemaske der Hausbank vor und greift die eingegebenen Daten ab.

Andere Versionen der Banking-Trojaner arbeiten im Hintergrund und manipulieren Überweisungen so, dass das Geld an das Konto der Betrüger umgeleitet wird.

Die Banken können den illegalen E-Mail-Versand nicht unterbinden, da die meisten Nachrichten aus dem Ausland gesendet werden.

Beim Bezahlen im Internet beziehungsweise dem Onlinekauf und -verkauf besteht ebenfalls das Risiko von Phishing-Angriffen. Die Betrüger versuchen auch hier, durch E-Mails Schadsoftware auf Ihre Geräte zu schleusen und an Ihre Kartendaten zu gelangen.

Wie kann ich mich vor Phishing schützen?

• Geben Sie nie vertrauliche Zugangsdaten ein, wenn Sie per E-Mail dazu aufgefordert werden! Keine Bank oder Kartenanbieter würde so vorgehen.
• Öffnen Sie Anhänge, Links und Downloads unbekannter E-Mails nicht.
• Achten Sie bei Downloads auf seriöse Quellen.
• Wenn Sie Zweifel an der Echtheit einer E-Mail haben, kontaktieren Sie Ihre Bank.
• Gehen Sie sensibel mit Ihren Daten im Internet und in sozialen Medien um.
• Nutzen Sie eine verschlüsselte Verbindung (zum Beispiel SSL-Standard)
• Beachten Sie, dass sichere Internetseiten mit „https“ beginnen und der Browser in der Statusleiste ein Symbol in Form eines Vorhängeschlosses anzeigt.
• Halten Sie das Betriebssystem, den Virenschutz und die Firewall auf dem neusten Stand.

Vishing

Wie funktioniert Vishing?

Vishing (Voice Phishing) ist eine Mischung aus technischer und emotionaler Manipulation. Der Betrüger ruft von einer Telefonnummer an (zum Beispiel einer Bank), die nicht seine eigene ist bzw. nicht mit seiner IP-Adresse in Verbindung steht. Er manipuliert die VoiP-Technologie (Voice-over-IP-Technologie), um seine eigene Identität und Rufnummer zu verschleiern. Dies führt dazu, dass das Opfer auf seinem Display die echte Telefonnummer seiner Bank sieht, in Wahrheit aber mit einem Betrüger spricht.

Dabei denkt sich der Betrüger eine für das Opfer plausible Geschichte aus, die es zu einem sofortigen Handeln, wie der Weitergabe von sensiblen Daten bewegt. Die Betrüger gelangen dabei durch psychologische Tricks an ihre Ziele. Die Opfer werden unter Druck gesetzt, um sensible Daten preiszugeben und ein sofortiges Handeln zu erzwingen.

Zum Beispiel gibt sich der Betrüger als Mitarbeiter einer Bank aus und versucht mittels geschickter Gesprächsführung die Opfer - meist ältere Menschen - dazu zu bewegen, höhere Geldbeträge auf meist ausländische Bankkonten zu transferieren, oder die Onlinebanking-Daten preiszugeben. In diesen Fällen wird beispielsweise behauptet, dass das Geld der Opfer in Gefahr sei, etwa durch Bankschließungen oder kriminelle Organisationen, die einen Zugriff darauf hätten.

Ein weiteres oft genutztes Beispiel ist, dass die Betrüger eine Nachricht auf dem Anrufbeantworter bzw. der Mailbox des Opfers hinterlassen, in der sie um einen Rückruf bitten, weil das Bankkonto zum Beispiel von einem Hackerangriff betroffen sei. Beim Rückruf des Opfers wird dann durch eine Bandansage verlangt, dass die Bankdaten bzw. Kreditkartendaten benannt werden.

Wie kann ich mich vor Vishing schützen?

• Geben Sie unter keinen Umständen Ihre Bankdaten, Tan-Nummern und Login-Daten preis, wenn Sie unerwartet angerufen werden. Eine Bank ruft Sie nie an und bittet Sie, diese Daten preiszugeben.
• Unterbrechen Sie das Gespräch, kontaktieren Sie den Kundenservice Ihrer Bank und erkundigen Sie sich, ob der vermeintliche Bankmitarbeiter und das Vorgehen bekannt sind.
• Rufen Sie keine Nummern an, die Ihnen per E-Mail zugeschickt wurden. Diese Nummern können Bestandteil des Betrugsversuchs sein.

Quishing

Was ist Quishing?

Beim Quishing (QR-Code-Phishing) erbeuten Betrüger mit Hilfe von QR-Codes sensible Daten ihrer Opfer. Die Kontaktaufnahme erfolgt dabei beispielsweise über gefälschte Bank-Briefe, welche per Post verschickt werden. Diese Briefe enthalten einen Vorwand, zum Beispiel die Überprüfung der Kundenidentität oder eine Sicherheitsaktualisierung. Der Vorwand zielt darauf ab, dass die potenziellen Opfer aktiv werden und den QR-Code mit einem mobilen Endgerät abscannen. Der QR-Code führt zu einem hinterlegten Link, der einen entweder zu einer gefälschten Internetseite weiterleitet oder einen Download von Malware (Banking Trojaner; siehe auch Phishing) auslöst.

Über die gefälschten Seiten bzw. die Malware werden die sensiblen Daten abgefischt und an die Betrüger weitergegeben, sobald die Opfer die entsprechenden Eingaben vornehmen. Die Betrüger verwenden im Anschluss diese Daten, um auf Kosten ihrer Opfer einzukaufen oder das Bankkonto leerzuräumen.

Betrüger nutzen aber nicht nur Briefe beim Quishing, sondern auch E-Mails, SMS oder WhatsApp-Nachrichten. Ebenfalls werden originale QR-Codes mit gefälschten Versionen überklebt - zum Beispiel auf Ladesäulen - oder gefälschte Strafzettel an Autos platziert.

Wie kann ich mich vor Quishing schützen?

• Scannen Sie nur QR-Codes, wenn Sie sicher sind, wohin diese führen.
• Stellen Sie Ihr Smartphone so ein, dass der hinter dem QR-Code verborgene Link nicht direkt aufgerufen, sondern erst angezeigt wird (Sicherheitscheck). Installieren Sie am besten eine App für QR-Codes, die erst den Link anzeigt und dann abfragt, ob Sie dem Link vertrauen.
• Öffnen Sie Internetseiten nur, wenn Sie absolute Klarheit darüber haben, dass diese einem seriösen Anbieter gehören.
• Seien Sie skeptisch bei QR-Code-Briefen von Banken und überprüfen Sie den verborgenen Link im QR-Code (Sicherheitscheck). Lassen Sie sich im Zweifel von der Bank die Echtheit bestätigen, oder checken Sie Ihr Online-Banking-Postfach dahingehend, ob der Brief dort ebenfalls eingegangen ist.
• Überprüfen Sie die Anrede bei Briefen von Banken. Betrüger verwenden dort oft nicht Ihren Namen als Anrede, sondern zum Beispiel "Sehr geehrter Kunde / geehrte Kundin oder Sehr geehrter Kontoinhaber / geehrte Kontoinhaberin".
• Seien Sie vorsichtig bei QR-Codes auf Ladesäulen und überprüfen Sie, ob diese gegebenenfalls überklebt wurden.
• Gehen Sie mit vermeintlich gefälschten Strafzetteln zur Polizei und klären Sie dort den Sachverhalt.

Fake Shops

Was sind Fake Shops?

Bei sogenannten Fake Shops handelt es sich um gefälschte oder falsche Einkaufsseiten im Internet. Die Betrüger locken die Kunden in der Regel mit hochwertigen Artikeln zu sehr günstigen Preisen. Die bestellten Waren werden nach der Eingabe von sensiblen Daten und der Bezahlung – die meist nur per Vorkasse möglich ist - aber niemals ausgeliefert.

Die Opfer fallen bei dieser Methode einem doppelten Betrug zum Opfer: Einerseits bezahlen sie für Ware, die nicht geliefert wird, und andererseits werden sensible Daten wie zum Kartendaten preisgegeben beziehungsweise abgefischt.

Wie kann ich mich vor Fake Shops schützen?

• Vergleichen Sie Preise und seien Sie bei sehr günstigen Angeboten misstrauisch.
• Informieren Sie sich zum Beispiel anhand von Bewertungen über die Shops.
• Achten Sie darauf, welche Zahlweisen angeboten werden.
• Seien Sie vorsichtig bei Verwendung sensibler Daten.
• Überprüfen Sie anhand der Informationen aus den Allgemeinen Geschäftsbedingungen (AGB) und des Impressums die Existenz des Internethändlers. Wenn kein Impressum und keine AGB hinterlegt sind, handelt es sich um einen Fake Shop.

Lastschriftbetrug

Wie findet Lastschriftbetrug statt?

Manche Zahlungsdienstleister ermöglichen Nutzerinnen und Nutzern die Bezahlung von Online-Einkäufen über eine Gastzahlung- oder Gastkonto-Funktion, ohne ein Konto anzulegen. Nach Eingabe der IBAN beim Zahlungsdienstleister erfolgt eine Abbuchung vom Girokonto mittels Lastschrift.

Internetbetrüger nutzen diese Methode, indem Sie beim Bezahlvorgang von Online-Einkäufen über die Gastzahlung- oder Gastkonto-Funktion eine fremde IBAN eingeben. Die Bankdaten der ahnungslosen Opfer erhalten Betrüger zum Beispiel aus Phishing-Angriffen.

Wie kann ich mich schützen und wehren?

• Gehen Sie vorsichtig mit Ihren persönlichen Daten um. Prüfen Sie genau, wo und wem Sie Ihre IBAN weitergeben.
• Prüfen Sie regelmäßig Ihre Kontoumsätze.
• Zahlungsdienstleister sind berechtigt, eine Lastschrift ausschließlich anhand der angegebenen IBAN durchzuführen. Lassen Sie unberechtigt abgebuchtes Geld von Ihrer Bank zurückbuchen. Sie können die betreffende Lastschrift innerhalb von acht Wochen nach der Abbuchung ohne Angabe von Gründen widerrufen. Bei nicht autorisierten Lastschriften beträgt die Frist 13 Monate.
• Melden Sie einen Betrugsfall bei dem Zahlungsdienstleister, über den der Betrug stattgefunden hat. Der Zahlungsdienstleister wird bei der Abbuchung als Zahlungsempfänger benannt. Auch eine Kontaktaufnahme zum Online-Händler ist zu empfehlen.
• Widersprechen Sie unberechtigten Forderungen von Inkassobüros.
• Erstatten Sie im Betrugsfall Anzeige bei der Polizei.

Job Scamming

Was ist Job Scamming?

Manche Kreditinstitute bieten zur Identifizierung der Kunden bei einer Kontoeröffnung ein sogenanntes „Video-Ident-Verfahren“ an, damit sie nicht in eine Filiale kommen oder an einem Post-Ident-Verfahren teilnehmen müssen. Bei einem Video-Ident-Verfahren identifizieren sich die Kunden über einen Videoanruf über das Internet bzw. eine App auf dem Smartphone gegenüber dem Kreditinstitut oder einem von ihm beauftragten Unternehmen. Zur Identitäts- und Legitimationsprüfung müssen die Kunden zum Beispiel einen gültigen Personalausweis oder Reisepass in die Kamera zeigen und Fragen beantworten.

Auch Internetbetrüger nutzen das elektronische Verfahren zur Kontoeröffnung für sich aus. Unter einem Vorwand bringen sie Verbraucher dazu, ihre persönlichen Daten preiszugeben und am Video-Ident-Verfahren teilzunehmen. Die unter den Namen ihrer Opfer eröffneten Konten verwenden die Täter für kriminelle Zwecke, zum Beispiel als Kontoverbindung für den Betrieb von Fake Shops oder zur Geldwäsche.

Eine bekannte Betrugsmasche ist die Schaltung gefälschter Stellenanzeigen in Job- oder Kleinanzeigen-Portalen im Internet: Die Betrüger verwenden teilweise professionell aussehende Internetseiten, die namhaften Unternehmen nachempfunden sind und täuschend echt aussehen können. Bewerber auf ein solches Stellenangebot werden häufig aufgefordert, an einem Online-Bewerbungsverfahren teilzunehmen. Im Online-Bewerbungsverfahren sollen sie vielfältige persönliche Daten von sich preisgeben und zum Beispiel Fotos von ihrem Personalausweis übermitteln. Mit den Daten stellen die Betrüger im Hintergrund online bei einem Kreditinstitut einen Antrag auf Kontoeröffnung unter dem Namen des Bewerbers und geben zur weiteren Abwicklung Kontaktdaten an, auf die sie selbst Zugriff haben.

Unter einem Vorwand werden die Bewerber im nächsten Schritt gebeten, am Video-Ident-Verfahren einer Bank teilzunehmen. Als Begründung wird ihnen zum Beispiel mitgeteilt, sie müssten eine Verifizierung bei einer „Partnerbank“ vornehmen, da für einen Heimarbeitsplatz kein persönliches Vorstellungsgespräch möglich sei. Bei einer anderen Vorgehensweise wird ein fester Arbeitsvertrag in Aussicht gestellt, wenn die Bewerber einen „Testauftrag“ zur Qualitätssicherung des Video-Ident-Verfahrens erfolgreich durchführen würden. Hierbei werden die Bewerber angewiesen, auch auf Nachfrage der Bank beim Identifikationsprozess nicht den „Test“ zuzugeben, mithin gegenüber der Bank die Unwahrheit zu sagen.

In Wirklichkeit wird über das Video-Ident-Verfahren ein Konto unter dem Namen des Bewerbers eröffnet, das Betrüger für kriminelle Zwecke missbrauchen.

Wie kann ich mich vor Job Scamming schützen?

• Wird Ihnen mitgeteilt, dass bei einem Bewerbungsverfahren kein persönlicher Kontakt möglich sei? Dann sollten Sie zurückhaltend mit Ihren persönlichen Daten umgehen.
• Sollen Sie an einem Video-Ident-Verfahren zur Kontoeröffnung teilnehmen, um sich für ein Jobangebot zu identifizieren? Nehmen Sie davon Abstand! Ein Verfahren zur Kontoeröffnung hat nichts mit einem Bewerbungsverfahren zu tun.
• Werden Sie aufgefordert das Video-Ident-Verfahren zu testen? Sollen Sie möglicherweise zu Testzwecken vorspielen, dass Sie ein Konto für sich selbst eröffnen wollen? Brechen Sie das Verfahren umgehend ab und erstatten Sie gegebenenfalls Anzeige! Echte Jobangebote dieser Art werden im Internet nicht angeboten.

• Gibt es Warnungen oder andere Hinweise über das vermeintliche Jobangebot, die Sie aufhorchen lassen sollten? Erkundigen Sie sich ausgiebig über die Echtheit eines Jobangebotes, bevor Sie sich bewerben.