Sicherheitstipps

«Social Engineering» – die raffinierten Tricks des Online- und Telefonbetrugs.

Bei «Social Engineering» geht es um die menschliche Beeinflussung einer Person mit betrügerischen Absichten. Das zeigt sich in immer neueren Varianten. Was steckt dahinter? Und wie kann man sich schützen? Die Betrüger versuchen mit allen Social-Engineering-Tricks, die zuverlässig funktionierenden technischen Sicherheitssysteme der Banken zu überlisten. Im Fokus sind Angst, Zeitdruck, Neugier oder Gutgläubigkeit. Dabei manipulieren Kriminelle ihre potenziellen Opfer und bringen sie dazu, Geld zu senden oder sensible Daten preiszugeben (PINs, Passwörter, Konto- oder Kredit- und Debitkarten-Nummern). Mit den erschlichenen Daten lassen sich dann die Sicherheitssysteme umgehen – Stichwort «Identitätsdiebstahl» und «Account Takeover».

«Phishing»: «Abfischen» von persönlichen Zugangsdaten

Beim Phishing wird mit gefälschten E-Mail-Nachrichten versucht, persönliche Zugangsdaten zu Konten, Kennwörter oder Kredit- oder Debitkartendaten «abzufischen». Die E-Mails täuschen einen legitimen Grund mit dringendem Handlungsbedarf vor. Beispiele sind: «Ihr Konto wurde vorübergehend gesperrt» oder «Sie müssen Ihre Zugangsdaten aktualisieren». Die Opfer werden aufgefordert, auf einen Link zu klicken und dort die entsprechenden Zugangsdaten einzugeben. Auf den gefälschten, aber täuschend echt aussehenden Webseiten werden diese Daten von Kriminellen abgegriffen, um diese danach betrügerisch einzusetzen. Oftmals beinhalten die «Phishing-E-Mails» auch schädliche Anhänge, die den Betrügern beim Öffnen der Anhänge weiteren Zugang zu wertvollen Daten liefern.

Machen Sie den Phishing-Test

«Quishing»: Phishing inklusive Verwendung eines QR-Codes

Der Begriff Quishing setzt sich dabei aus den Begriffen QR-Code und Phishing zusammen. Quishing ist eine Form des Betrugs, bei dem Cyberkriminelle gefälschte QR-Codes verwenden, um sensible Daten wie Bankzugangsdaten oder Passwörter zu stehlen. Diese Schreiben mit einem QR-Code werden von Betrügern per E-Mail oder per Brief zugestellt. Der Kunde wird aufgefordert, einen QR-Code zu scannen, der ihn auf eine betrügerische Webseite leitet, die aussieht wie eine offizielle Seite, zum Beispiel die seiner Bank. Dort wird er gebeten, persönliche Informationen einzugeben. Seien Sie daher vorsichtig beim Scannen von QR-Codes und prüfen Sie immer, ob die Quelle vertrauenswürdig ist, um sich vor solchen Betrugsmaschen zu schützen.

«Smishing» und «Vishing»: Betrug per SMS oder Telefon

Nicht alle Angriffe werden über E-Mail-Nachrichten abgewickelt. Beim Smishing erfolgt die Kontaktaufnahme über SMS mit der Aufforderung, einem Link zu folgen oder eine Telefonnummer anzurufen. Dabei soll beispielsweise das Konto «geprüft» werden. Der Link führt zu einer gefälschten Webseite oder zu einem Anruf bei einer Person, die sich als vermeintliches Teammitglied eines tatsächlich existierenden Unternehmens ausgibt. Beim Vishing erfolgt der Kontakt über einen Telefon-Anruf. Die Anruferin oder der Anrufer wirkt sehr vertrauenswürdig und gibt vor, vermeintliche (Sicherheits-)Probleme lösen zu müssen, wofür die Daten der Kunden gebraucht werden. Sie geben sich dabei als Mitarbeitende eines existierenden Unternehmens aus. Auf mögliche Einwände und Zweifel reagieren sie glaubwürdig und mit verständlichen Argumenten.

Im Rahmen von debiX gibt es zwei verschiedene Arten von Phishing:

• Kartendatendiebstahl
• debiX+ Account Takeover

In beiden Fällen verschickt die Täterschaft klassische Phishing-E-Mails an verschiedene E-Mail-Adressen, die in der Regel irgendwo erworben wurden, und hofft darauf, dass sich darunter potenzielle Nutzerinnen und Nutzer von Debit- und Kreditkarten befinden. 

Beim Kartendatendiebstahl werden die Empfängerinnen und Empfänger in der E-Mail-Nachricht aufgefordert, die Kartendaten (PAN, CVC, Ablaufdatum) bekannt zu geben. Ziel des Angriffs ist das Abfangen von Kartendaten und nicht die Übernahme der debiX+ App. Danach versucht die Täterschaft:

• Die Karte in einem Wallet (z. B. Apple Pay) zu hinterlegen.
• Mit den Kartendaten online einzukaufen.

Beim Account Takeover werden die Empfängerinnen und Empfänger in der E-Mail-Nachricht aufgefordert, sich unter einem Vorwand in die debiX+ App einzuloggen. Dabei werden Benutzername und Passwort abgegriffen. Die Täterschaft loggt sich dann mit den Daten in die debiX+ App ein. Die Nutzerin oder der Nutzer der debiX+ App erhält anschliessend einen SMS-Code mit der Aufforderung, diesen Code in der gefälschten Web-Maske einzugeben. Mit diesem Code kann sich die Täterschaft erneut in die debiX+ App einloggen. Danach versucht die Täterschaft, die Karte in einem Wallet (z. B. Apple Pay) zu hinterlegen (Provisionierung aus der App) beziehungsweise mit den in der App ersichtlichen Kartendaten online einzukaufen und die Transaktion im 3-D-Secure-Verfahren freizugeben. Erfahrungen zeigen, dass jede Phishing-Welle in den ersten Tagen eine hohe Intensität aufweist (viele E-Mails werden verschickt) und nachher abebbt.

Die Betrüger werden immer dreister, deren Vorgehen ist ausgeklügelt und die Betrugsmaschen variieren ständig.

Ein einheitliches Vorgehensmuster lässt sich kaum beschreiben. Telefon-Betrüger geben sich beispielsweise als Personen aus, die ohne Verschulden in finanzielle Schwierigkeiten geraten sind. Mit verwirrenden und emotionalen Geschichten versuchen sie, das Vertrauen und die Anteilnahme ihrer Opfer zu gewinnen und appellieren an das Mitgefühl und an die Barmherzigkeit der Angerufenen.

Der Begriff «Enkeltrick» ist zwar inzwischen in aller Munde, doch Telefon-Betrüger geben sich nicht zwingend als «Enkel» aus. Oft geben die Personen vor, irgendein Verwandter oder ein Familienfreund aus früheren Zeiten zu sein. Auch Liebesbetrüger, die auf Onlineplattformen ihren Opfern die grosse Liebe vorgaukeln, stehen ganz oben auf der Liste des Telefonbetrugs.

Nicht selten kommt es vor, dass sich Anrufende als Bankangestellte oder sogar als Polizisten ausgeben und die Angerufenen mit erschreckenden Geschichten – zum Beispiel eine erfundene Bedrohungslage – psychologisch unter Druck setzen. Selber stellen sich die Betrüger als «Retter in der Not» dar und versuchen so, das Vertrauen der Opfer zu gewinnen.

Auch in der Tonalität gibt es viele Facetten: Manche versuchen, den Angerufenen mit lauter Stimme und Drohungen unter Druck zu setzen, manche stellen sich verzweifelt, andere wiederum sprechen ganz ruhig oder gar glücklich und gut gelaunt.

Trickbetrüger drängen meist nachdrücklich darauf hin, auf den Rat von Bankangestellten oder anderen Dritten tunlichst zu verzichten – im schlimmsten Fall erweist sich das Befolgen solcher «fataler Ratschläge» als folgeschwerer Fehlentscheid. Das Ziel dieser Anrufe ist nämlich immer das gleiche: Sie möchten, dass die Angerufenen aus «freien Stücken» möglichst viel Geld überweisen.

 So schützen Sie sich:

• Besprechen Sie Situationen, die Ihnen seltsam vorkommen, mit der Familie oder mit Vertrauenspersonen aus Ihrem Freundeskreis.
• Die Telefonnummer des Anrufers ist kein Indiz dafür, dass die Person seriöse Absichten hat.
• Verzichten Sie auf den Rückruf an eine Telefonnummer, die Ihnen nicht bekannt ist.
• Lassen Sie sich nie zu einer Handlung drängen, die Sie nicht verstehen oder die Sie misstrauisch macht.
• Lassen Sie sich am Telefon auf keinen Fall unter Druck setzen: Wenn Sie sich im Gespräch nicht mehr wohl fühlen oder vermuten, dass es sich um einen Betrug handelt, beenden Sie das Telefonat sofort und melden es der örtlichen Polizei.
• IT-Unternehmen oder Banken kontaktieren Sie nie unaufgefordert per Telefon oder via E-Mail, um sich Zugriff auf Ihren Computer zu verschaffen.
• Geben Sie niemandem Zugriffsdaten zu Ihrem Computer oder Passwörter zu Ihrem E-Banking bekannt, auch dann nicht, wenn es sich angeblich um Mitarbeitende der Bank oder der Polizei handeln sollte.

Angeblicher Kauf über eine Verkaufsplattform

Eine weit verbreitete Masche betrifft Nutzerinnen und Nutzer von Plattformen wie Ricardo, Tutti oder Facebook Marketplace. Betrüger geben sich als Käufer aus und bieten an, den Betrag per TWINT zu überweisen. Anschliessend fordern sie dazu auf, einen QR-Code zu scannen oder einen Link zu öffnen – angeblich zur Bestätigung der Zahlung.

Wer dem folgt, gelangt auf eine gefälschte Website und wird dort aufgefordert, persönliche Bankdaten oder TWINT-Zugangsdaten einzugeben. Sobald dies geschieht, erhalten die Betrüger Zugriff auf Ihre App – in vielen Fällen sogar auf das E-Banking.

Wichtig: Für eine Zahlung mit TWINT braucht es keine zusätzliche Bestätigung über eine Website. Die Überweisung erfolgt direkt in der App – allein mit Ihrer Mobilnummer.

Falsche E-Mails, SMS oder Briefe

Kriminelle verschicken gefälschte Nachrichten, die aussehen, als kämen sie von TWINT, Ihrer Bank oder einem bekannten Zahlungsdienstleister. Darin ist meist von einem Sicherheitsproblem oder einer gesperrten Zahlung die Rede. Gleichzeitig wird dazu aufgefordert, einen Link zu öffnen und Zugangsdaten einzugeben.

Solche Nachrichten wirken auf den ersten Blick echt – besonders wenn sie Dringlichkeit vermitteln oder mit technischen Begriffen arbeiten. Auch gefälschte Briefe mit QR-Codes sind im Umlauf.

Was auffällt: fehlende persönliche Anrede, ungewöhnliche Absenderadressen, Warnungen mit Zeitdruck und Links zu nicht vertrauenswürdigen Domains. Im Zweifel lohnt sich ein Anruf bei Ihrem Bankberater.

Manipulierte QR-Codes im Umlauf

In Restaurants, an Parkautomaten oder auf Rechnungen platzieren Betrüger manipulierte QR-Codes. Wer diese mit der Smartphone-Kamera scannt, wird auf eine gefälschte Website weitergeleitet, die einer echten TWINT-Zahlungsseite ähnelt.

Unser Tipp: Scannen Sie TWINT-Codes immer direkt mit der TWINT App. Diese erkennt automatisch, ob der Code gültig und sicher ist.

Nachrichten von angeblichen Familienmitgliedern

In diesem Fall erhalten Sie per Messenger-Dienst wie WhatsApp eine Nachricht von einer unbekannten Nummer – angeblich von Ihrem Sohn oder Ihrer Tochter. Oft heisst es, die alte Nummer sei nicht mehr aktiv und man benötige dringend Geld. Die Aufforderung: eine TWINT-Zahlung.

Reagieren Sie nicht direkt, sondern fragen Sie über einen bekannten Kanal bei der betroffenen Person nach. Oft klärt sich der Fall sofort.

Bitte um Rücküberweisung

Manchmal erhalten TWINT-Nutzende eine Nachricht, in der jemand behauptet, versehentlich Geld überwiesen zu haben – verbunden mit der höflichen Bitte, den Betrag zurückzuschicken. Screenshots sollen die Überweisung belegen, sind aber gefälscht.

Prüfen Sie Ihre TWINT-App: Wird der genannte Betrag nicht in der Transaktionsübersicht angezeigt, hat keine Zahlung stattgefunden.

Geben Sie Ihre Zugangsdaten niemals weiter.

Dazu zählen TWINT-PIN, Sicherheitscodes, E-Banking-Zugänge oder Kartendaten. Solche Angaben werden von der Bank nie telefonisch oder per Nachricht angefordert.

Verwenden Sie nur die TWINT App zum Scannen von QR-Codes.

Die App erkennt automatisch, ob der Code gültig ist. Vermeiden Sie das Scannen mit der normalen Kamera Ihres Smartphones. Zahlen Sie nie mit 5-stelligen Zahlencodes, die Ihnen jemand per Nachricht übermittelt.

Geben Sie auf Verkaufsplattformen keine sensiblen Zahlungsinformationen weiter.

TWINT funktioniert ohne IBAN, Kartennummer oder E-Banking-Zugang. Für Zahlungen genügt die Mobilnummer – alles Weitere geschieht direkt in der App.

Aktivieren Sie Kontobenachrichtigungen.

Wenn Sie bei jeder Belastung eine Push-Nachricht, SMS oder E-Mail erhalten, fallen unberechtigte Transaktionen sofort auf. Diese Funktion können Sie selbst einrichten.

Benachrichtigungen im Mobile Banking einrichten:

1. Einstellungen aufrufen
2. Benachrichtigungen konfigurieren
3. Kanal auswählen (Push oder E-Mail)
4. Thema «Vermögen» auswählen
5. Konto auswählen (Belastungskonto für Zahlungsmittel wählen)
6. «Wenn Belastung grösser als» aktivieren und Betrag bestimmen

Benachrichtigungen im E-Banking einrichten:

1. «Kontonummer» anklicken
2. «Kontoinformationen» auswählen
3. Unter «Benachrichtigungen» E-Mail erfassen
4. «Wenn Belastung grösser als» einrichten, Betrag bestimmen und speichern

Sperren Sie TWINT bei Verdacht sofort.

Wenden Sie sich umgehend an unseren Service Line unter 0844 773 773 (Montag bis Freitag: 8 - 18 Uhr) oder vor Ort in der Filiale Netstal im Einkaufszentrum Wiggispark (Montag bis Freitag: 18 bis 19 Uhr & Samstag: 8 - 12 Uhr).