2024

Betrügerische Stammdatenänderung

19.11.2024

Haben Täter durch eine betrügerische Aktivierung eines Sicherungsverfahrens die vollständige Kontrolle über das Online-Banking des Kunden erhalten, z.B. durch Realtime-Phishing, so können alle verfügbaren Onlineprozesse durch den Täter genutzt werden. Eine weitere Beteiligung des Kunden/Opfers bei der Betrugsdurchführung ist zu diesem Zeitpunkt nicht erforderlich.

In einem aktuellen Fall haben die Täter zum einen Kontaktdaten des Kunden geändert, um mögliche Bankrückmeldungen zu unterbinden, dann im Anschluss das beim Tagesgeld hinterlegte Referenzkonto geändert und letztlich die betrügerischen Transaktionen durchgeführt.

Realtime-Phishing

19.11.2024

Täter haben vorab eine betrügerische Anzeige bei Suchmaschinenbetreiber geschaltet, die bei Eingabe des entsprechenden Banknamens als Suchergebnis prominent angezeigt wird. Um Bankkunden zu täuschen ist diese Anzeige, wie ein echter Link zur Bankseite gestaltet.

Folgt das Opfer dem Anzeigenlink, so wird er auf eine Bankphishingseite geleitet. Werden nun beim vermeintlichen Login die erforderlichen Zugangsdaten eingegeben (VR-NetKey und PIN), so werden diese jedoch nicht wie bei gewöhnlichem Phishing abgespeichert, sondern unverzüglich durch die Täter im echten Online-Banking der Bank verwertet.

In einem aktuellen Fall wurde im ersten Schritt der Betrugsdurchführung durch die Täterkampagne eine SecureGo plus Aktivierung auf dem von Tätern kontrollierten Smartphone durchgeführt. Die dazu erforderliche TAN wird im "guten Glauben" dass diese erforderlich ist, durch den echten Kunden freigegeben.

Brief-Phishing mit QR-Codes (Quishing)

18.11.2024

Derzeit werden Phishing-Briefe mit QR-Codes versendet. Ziel des sogenannten "Quishings" (QR-Code-Phishing) ist es, u. a. Bankkunden mit vertrauenserweckenden physischen Briefen dazu zu bringen, einen QR-Code zu scannen.

In den bekannten Fällen leitet der QR-Code auf Phishing-Seiten oder Seiten mit Schadcode weiter. Dadurch werden Zugangsdaten abgegriffen, die im weiteren Verlauf in betrügerischer Absicht verwendet werden.

In Deutschland sind neben klassischem Brief-Phishing auch unadressierte Postwurfsendungen und Briefe mit Einschreiben bekannt geworden. In einzelnen Kampagnen sind dabei mehrere zehntausend Briefe versendet worden sein.

Datenphishing: unzustellbarer Brief

14.11.2024

Aktuelles Beispiel einer Phishing E-Mail:

Sehr geehrte/r Frau/Herr <vorname> <nachname>,

wir teilen Ihnen mit, dass ein Brief wiederholt nicht zugestellt werden konnte, was auf eine veraltete Anschrift hinweisen könnte. Dieser Umstand erfordert eine umgehende Handlung, da die Kommunikation von Geschäftsvorgängen beeinträchtigt wird und das Fortbestehen des Vertrags gefährdet ist.

Wir bitten Sie, Ihre Daten unverzüglich zu aktualisieren, da wir andernfalls einen kostenpflichtigen Nachforschungsantrag beim Einwohnermeldeamt stellen werden.

Zur Aktualisierung: Jetzt aktualisieren
Bitte klicken Sie auf den Link um den Prozess abzuschließen.

Freundliche Grüße
Ihre Support

Neuer Banktrojaner im Umlauf

12.11.2024

Aktuell gibt es wieder Meldungen zu Schadensfällen im Zusammenhang mit Banktrojanern.

Die Trojaner reagieren dabei typischerweise erst bei höheren Zahlungen. Kleinere Überweisungen werden unverändert ausgeführt. Ist diese Vorbedingung, z. B. >1000€, erfüllt werden die Trojaner zum Freigabeprozess aktiv und ersetzen die ursprünglich eingegebene IBANs durch betrügerische IBANs. Auf dem infizierten PC werden dabei immer die ursprünglich eingegebenen IBANs angezeigt. Die Trojaner verfälschen somit sowohl die Eingaben als auch die Ausgaben von Informationen. Im Hintergrund wird so, ebenfalls durch den Kunden nicht sichtbar, der Haken für "Echtzeit-Überweisung" gesetzt. 

Eine ordnungsgemäße Buchung kann nur durch den exakten Vergleich der IBAN in der Anzeige des Sicherungsverfahrens, SmartTAN plus oder SecureGo plus, mit der originären Ziel-IBAN festgestellt werden.

Sind die angezeigten IBANs unterschiedlich ist von einer Infizierung des Rechners auszugehen.

Im Folgenden die Ansicht bei einem PC, bei diesem eine derartige Ersetzung der IBAN erfolgte

 Die BIC des betrügerisch genutzten Kontos wurde in diesem Beispiel nicht verschleiert. 

Kampagne: nicht beauftragter Aktivierungsbrief

14.10.2024

Kunden bekommen unaufgefordert einen neuen Aktivierungscode für Secure Go Plus per Post zugestellt, den sie wissentlich nicht beantragt haben.

Ein paar Tage später erhalten Betroffene einen Anruf mit gespoofter Telefonnummer. Die angebliche Bankmitarbeitenden nehmen direkten Bezug auf den postalisch zugestellten Aktivierungsbrief und führen gemeinsam mit dem Kunden die Aktivierung des Tätergeräts durch.

Dadurch haben die Betrüger den Bankaccount des Kunden übernommen und können von nun an eigenständig, ohne Kundenbeteiligung, agieren.

In einem konkreten Fall haben die Betrüger zuerst das Überweisungslimit hoch gesetzt und dann eine Umbuchung von einem Nebenkonto veranlasst. Der finale Cashout erfolgte dann im Anschluss an ein externes Konto ausserhalb der genossenschaftlichen Finanzgruppe.
Im Vorfeld sind die Täter im Besitz von Zugangsinformationen, (z.B. durch abphishen) Jedoch haben sie ohne ein TAN-Verfahren nicht die Möglichkeit größere Transaktionen auszuführen.

Erneuerung des Lastschriftmandats

31.07.2024

Forderung zur Erneuerung des Lastschriftmandats im Namen von Dienstleistern

Unter dem Vorwand das ein "Lastschriftmandat" bei einem Dienstleister (z. B. Klarna, Spotify, Netflix, Amazon usw.) abläuft werden arglose Kunden auf eine Phishing-Seite umgeleitet. Wie immer wir auf eine besondere Dringlichkeit hingewiesen und dass ansonsten keine weiteren Zahlungen oder Services mehr durchgeführt werden können.

Auf der Phishing-Seite werden üblicherweise Bankzugangsdaten oder Kreditkartendaten abgefragt.

Rechnungsbetrug: Kontoinformation aktualisieren

15.07.2024

Anforderung zur Aktualisierung der Kontoinformationen

Die Masche Gehaltszahlungen auf Täterkonten umzuleiten, wird auch weiterhin von Tätern aktiv genutzt.

Im folgenden finden Sie aktuelle Beispiele:

Bsp. 1:

Hallo,
Hier sind meine neuen Bankdaten:
KONTONAME – <Name des Mitarbeitendenden>
BANK – Banking Circle
IBAN- DE252022080000280xxxx
BIC- SXPYDEHHXXX
Ich möchte, dass mein neues Konto sofort ab diesem Monat Juligehalt wirksam wird.
Bitte bestätigen Sie mir, wenn mein neues Konto aktualisiert ist.

Grüße
<Name des Mitarbeitendenden>

Bsp. 2:

Von:        "Name eines Bankmitarbeitenden" <everythingreat089@gmail.com>
An:        "<Name>"@BankDomäne"
Datum:        13.03.2024 08:14
Betreff:        [EXT] Bankkontoinformationen aktualisieren

Guten Morgen <Name>

Ich möchte meine Bankverbindung vor Abschluss der nächsten Lohn- und
Gehaltsabrechnung ändern.
Was brauchst du von mir?

Grüße.

<Fake - Signatur

 

Bsp. 3:

Von: "Anzeige Name" <everythingreat020@gmail.com> (SPAM-Absender)

Betreff: Bankkontoinformationen aktualisieren
 

Hallo <Name>
Meine neuen Bankdaten finden Sie weiter unten.

IBAN: DE02 3701 9000 1010 XXXX XX

BIC: BUNQXXXX

Name der Bank:

Bitte geben Sie mir eine Bestätigung, wenn es aktualisiert wurde.

DANKE.

<Fake - Signatur>
Head of Controlling

 

Betrug durch Missbrauch digitaler girocards

08.07.2024

Durch Täter erbeutete Zugangsdaten werden dazu verwendet, digitale Karten im Namen des Kunden zu bestellen. Der Kunde wird unter dem Vorwand der Erneuerung des TAN-Verfahrens dazu veranlasst, eine TAN-Freigabe durchzuführen.

Aktuell sind Betrüger mit einer Masche unterwegs, bei der sie digitale girocards zu Lasten eines geschädigten Bankkunden erstellen und dann damit Transaktionen tätigen.

In einem ersten Schritt müssen die Betrüger, z.B. durch eine der Phishingmethoden, an die Zugangsdaten des geschädigten Bankkunden gelangt sein. Anschließend wird mit diesen Daten eine digitale Karte bestellt und der Kunde unter einem Vorwand (hier: "Erneuerung des TAN-Verfahrens") zur Freigabe der TAN verleitet.

In einem konkreten Fall wurde der Bankkunde von einem angeblichen Bankmitarbeiter angerufen und unter einem Vorwand dazu gebracht, TAN-Freigaben zu tätigen. Mit diesen TAN-Freigaben wurden digitale girocards auf Geräten der Betrüger erstellt und freigeschaltet.

SMS-Phishing/Smishing Transaktionen stornieren

07.03.2024

Um die Glaubwürdigkeit eines Anrufs des vermeintlichen Bankmitarbeitenden zu unterstreichen, senden Täter vorbereitende SMS an ihre Opfer. In dieser SMS wird in aller Regel auf einen dringenden Handlungsbedarf hingewiesen und dass diesbezüglich Kontakt per Telefon aufgenommen wird.

Als Kampagne sind folgende bekannt:

  • Sicherheitsprüfung
  • Stornierung
  • Falsche PayPal Transaktion

Die Kampagnen werden von den Tätern entsprechend der aktuellen Lage verändert.

Rechnungsbetrug: Kontoinformation aktualisieren

08.02.2024

Durch den Versand von gefälschten E-Mails versuchen Täter Kundenprozesse, die Einfluss auf regelmäßige Transaktionen (z.B. regelmäßige Gehaltszahlungen) haben, anzugreifen. In einem aktuellen Fall wurde versucht eine Änderung der Bankverbindung einer Gehaltszahlung zu initiieren. 

Von: "Anzeige Name" <gimmieapolloXXX@gmail.com> (SPAM-Absender)
Betreff: Kontoinformation aktualisieren

Hallo <Name>
Ich möchte meine Bankverbindung aktualisieren, bevor die nächste Lohn- und Gehaltsabrechnung abgeschlossen wird. Was brauchen Sie?

Grüße
<Fake - Signatur des Opfers>

 

Unsere Handlungsempfehlungen:

  • Die Herkunft der E-Mail und die Authenzität des Absenders immer prüfen. Besser zu oft auf bekannten Kommunikationswegen zurückfragen, als zu wenig.
  • Sofern bereits eine IBAN als potentielles Ziel genannt wird, bitten wir um entsprechende Meldung.

2023

Ablaufendes TAN-Verfahren

28.11.2023

Die Registrierung der SecureGo App endet

Per SMS werden Kunden mit dieser Kampagne zu einer Phishingseite geleitet. Diese fragt die Zugangsdaten zum Onlinebanking, wie VR-NetKey und Passwort ab. Darüber hinaus werden aber auch weitere Daten, wie Geburtstag und Adresse ausgespäht.

Im Folgenden als Demonstrationsbeispiel die Phishingseite,

wenn dem Link aus obiger SMS gefolgt wurde:

Dem Opfer wird plausibel erklärt, warum jetzt seine Daten abgefragt werden müssen.

Die meisten E-Mails / SMS sind "Kalt-Aquisen".
D.h. der Täter hat aktuell keine oder nur wenige aus seiner Sicht verwertbaren Informationen über den Kunden. 
Neben den bereits vorhanden technischen Informationen (IP, Referer usw.) werden jetzt erstmals bankfachliche Dinge aktiv abgefragt.

Die Seite prüft bei der Abfrage den grundsätzlichen Aufbau des VR-Netkeys (Länge und Zeichen). 

Vermutlich werden mit dieser Seite nicht nur die SMS Phishinglinks, sondern möglicherweise auch Links aus Phishing-E-Mails bedient.

Beim nächsten Schritt wird man auf die Seite des BVR weitergeleitet.

Überprüfung der Kundendaten

31.08.2023

Angeblich sei es erforderlich, die Daten zu verifizieren. Die Dateneingabe erfolgt dann aber auf einer klassischen Phishing-Seite.

Betrüger verschicken Mails an Bankkunden, die den Eindruck erwecken, sie kämen von der Bank. Unter dem Vorwand, es sei dringlich eine Datenaktualisierung notwendig, versuchen Betrüger Zugangsdaten zu Online-Bankkonten zu erlangen. 

Die dahinter liegende Methode ist klassisches Phishing.

Erpressungsversuche per Mail (Sextortion)

22.06.2023

Online-Erpresser behaupten, die Empfänger ihrer Mails beim Surfen auf Pornoseiten gefilmt zu haben. Als Beweis dafür geben sie oft sogar ein Passwort des Empfängers an. Es wird i. R. eine Zahlung in Cryptowährung (Bitcoin) verlangt.

 

Ihr Konto wurde gehackt. Ihre Daten wurden gestohlen. Erfahren Sie, wie Sie wieder Zugang erhalten.

Hallo! Ich bin ein Hacker und habe mir erfolgreich Zugang zu Ihrem Betriebssystem verschafft. Ich habe auch vollen Zugriff auf Ihr Konto. Ich beobachte Sie nun schon seit einigen Monaten. Tatsache ist, dass Ihr Computer über eine von Ihnen besuchte Webseite für Erwachsene, mit Malware infiziert worden ist. Wenn Sie damit nicht vertraut sind, werde ich es Ihnen erklären. Ein Trojaner-Virus gibt mir vollen Zugriff und Kontrolle über einen Computer oder ein anderes Gerät. Das bedeutet, dass ich alles auf Ihrem Bildschirm sehen kann, die Kamera und das Mikrofon einschalten kann, ohne dass Sie etwas davon wissen. Ich habe auch Zugriff auf alle Ihre Kontakte und Ihre gesamte Korrespondenz. Warum hat Ihr Antivirusprogramm keine Malware erkannt? Antwort: Die von mir verwendete Malware ist treiberbasiert und ich aktualisiere alle 4 Stunden ihre Signaturen. Daher kann Ihr Antivirenprogramm die Malware nicht erkennen. Ich habe ein Video gemacht, das zeigt, wie Sie sich in der linken Hälfte des Bildschirms selbst befriedigen, und die rechte Hälfte zeigt das Video, welches Sie sich gerade ansehen. Mit einem Mausklick kann ich dieses Video an alle Ihre E-Mails und Kontakte in Ihren sozialen Netzwerken senden. Ich kann auch Ihre gesamte E-Mail-Korrespondenz und den Chatverlauf in den von Ihnen verwendeten Messengern veröffentlichen. Wenn Sie das nicht wollen, überweisen Sie 1400€ in Bitcoin an meine Bitcoin-Adresse (wenn Sie nicht wissen, wie das geht, suchen Sie einfach bei Google "bitcoin kaufen"). Meine Bitcoin-Adresse (BTC Wallet) lautet: 15iRjn9gnNDWsac6adwA4jgirDKmW6Brpa Nachdem ich Ihre Zahlung bestätigt habe, werde ich das Video sofort löschen, und das war's. Sie werden nie wieder etwas von mir hören. Ich gebe Ihnen 50 Stunden (mehr als 2 Tage) Zeit, um zu bezahlen. Wenn Sie diese E-Mail öffnen und der Timer beginnt, werde eine Benachrichtigung erhalten. Es macht keinen Sinn, irgendwo eine Beschwerde einzureichen, denn diese E-Mail kann nicht nachverfolgt werden wie meine Bitcoin-Adresse. Ich mache nie einen Fehler. Sollte ich feststellen, dass Sie diese Nachricht an jemand anderen weitergegeben haben, wird das Video sofort verbreitet. Mit freundlichen Grüßen!

Beispiel einer aktuellen Smishing-Kampagne (SMS-Phishing)

22.05.2023

Aktuell werden wieder verstärkt SMS zur Platzierung von Phishinglinks eingesetzt.

Im Folgenden ein Beispiel, welche Informationen per Phishingseite abgefragt werden, wenn man einem solchen Link folgt:

Remote-Access

09.05.2023

Betrüger rufen Bankkunden, insbesondere ältere Menschen, an und geben sich zum Beispiel als Techniker z.B. von Microsoft oder von einer Bank aus, um sich Zugriff auf den Rechner des Bankkunden zu verschaffen.
Unter dem Vorwand,

- man hätte auf ihrem Rechner ein Problem (z.B. Schadsoftware) entdeckt
- man müsste ein technisches Problem mit Hilfe des Kunden analysieren,
- man wolle eine technische Neuerung zusammen mit dem Kunden testen,

oder andere, wird der Kunde aufgefordert, eine Software zu installieren. Diese Software dient nicht, wie von den Betrügern behauptet z.B. der Beseitigung einer vermeintlichen Schadsoftware (Virus), sondern enthält Schadcode oder eine Software für den Remote-Zugriff der es den Betrügern ermöglicht, Transaktionen zu manipulieren (man in the middle).

Die Betrüger "beheben" nun zusammen mit dem Bankkunden das vermeintliche Problem in einer Online-Session. So werden die Bankkunden im weiteren Gespräch in der Regel aufgefordert, Testtransaktionen auszuführen. Durch die Schadsoftware werden diese Transaktionen aber so manipuliert, dass Betrag und Zielkonto nicht dem entsprechen, was die Bankkunden am Bildschirm sehen. Im Glauben, eine Testtransaktion z.B. über einen geringen Betrag an ein Familienmitglied auszuführen, geben die Bankkunden die Transaktion frei.
Die Betrüger sind in der Gesprächsführung mit den Bankkunden so versiert, dass sie es schaffen, diese über Stunden zu beschäftigen und mehrere Transaktionen auszuführen.

 

Die Rückrufnummer für den Technical Support Scam wird in Windows als Einblendung angezeigt

Neben der direkten Ansprache des Kunden per Telefon nutzen Täter auch gezielte SMS oder wie im folgenden Beispiel eine Einblendung durch Schadsoftware im Windows Desktop zur Kontaktaufnahme.  

Das daraus folgende Gespräch verläuft im weiteren in der üblicher Weise zu den bisherig bekannten Fällen.  

"Passwort-Recovery" per iPhone-PIN

02.03.2023

Mit der iPhone-PIN ist es möglich das Passwort einer Apple-ID zu ändern und damit an alle in der iCloud gespeicherten Benutzerdaten zu gelangen.

Mit der iPhone-PIN kann ein Angreifer die Apple-ID und damit das Benutzerkonto bei Apple übernehmen. Damit können alle mit dieser Apple-ID verbunden Geräte, z.B. iPads oder Mac für den echten Besitzer gesperrt werden.

Eine direkte Übernahme des Bankingzugangs der Volks- und Raiffeisenbanken ist nach aktueller Sachlage nicht wahrscheinlich, da der Zugriff auf die Banking- oder der SecureGo plus App nicht mit dem iPhone-PIN alleine möglich ist.

 

Bitte beachten Sie in diesem Zusammenhang:

  • Ein sorgsamer Umgang mit diesem PIN analog des Banking-PINs ist unbedingt erforderlich.
  • Der PIN sollte Alphanummerisch vergeben werden.
  • Der VR-Netkey-PIN sollte nicht im Browser gespeichert werden.
  • Die Bank sollte bezüglich Kartensperrung informiert werden, sofern Bankdaten in der iCloud hinterlegt wurden.

Schadcodeverbreitung über OneNote-Dateien

20.02.2023

Täter versenden per E-Mail OneNote-Dateien, die Schadcode, aktuell meist Ransomare, enthalten. Einen Einsatz zur Erbeutung von Zugangsdaten des OnlineBankings ist ebenfalls nicht ausgeschlossen.

 

Wenn ein Weg zur Verbreitung von Schadcode durch angepasste Virenscanner oder andere Abwehrmaßnahmen nicht mehr funktionieren, werden neue Wege ausprobiert.

Eine neue Masche ist es, Schadcode in einem OneNote-Dokument zu verstecken und per E-Mail an potenzielle Opfer zu senden. Dieser Schadcode wird jedoch nicht automatisch ausgeführt, sondern der Empfänger muss das Programm erst durch Drücken auf einen Button aktivieren.

In einem zweiten Schritt erfolgt auch ein Windows-Hinweis auf die Gefährlichkeit der Ausführung ungeprüfter Programme oder Skripte.

Mit der entsprechend aufbereiteten Kampagne ist jedoch nicht auszuschließen, dass Betroffene trotz dieser Systemhinweise ein solches Programm doch ausführen.

Bislang sind uns noch keine Schadenfälle im OnlineBanking bekannt, die im direkten Zusammenhang mit dieser neuen Masche stehen. Jedoch haben die mittels OneNote ausgelieferten Programme das Potential, auch zum Ausspionieren von Zugangsdaten z. B. auch dem OnlineBanking genutzt zu werden.

Aktuell wird die Masche zum Verbreiten von Ransomware genutzt.

 

Empfohlene Maßnahmen:

  • Daher sollten sie solche Dateien nur aus sicheren, bekannten Quellen öffnen und keine Ausführung von Programmcode erlauben.
  • Ändern Sie umgehend die OnlineBanking-PIN von einem nichtinfiziertem Client, falls Sie ein solches in OneNote eingebettes Program ausgeführt haben.

Betrug durch Missbrauch digitaler girocards

01.02.2023

Aktuell sind Betrüger mit einer Masche unterwegs, bei der sie digitale girocards zu Lasten eines geschädigten Bankkunden erstellen und dann damit Transaktionen tätigen.

In einem ersten Schritt müssen die Betrüger, z.B. durch eine der Phishingmethoden, an die Zugangsdaten des geschädigten Bankkunden gelangt sein. Anschließend wird mit diesen Daten eine digitale Karte bestellt und der Kunde unter einem Vorwand (hier: "Erneuerung des TAN-Verfahrens") zur Freigabe der TAN verleitet.

In einem konkreten Fall wurde der Bankkunde von einem angeblichen Bankmitarbeiter angerufen und unter einem Vorwand dazu gebracht, TAN-Freigaben zu tätigen. Mit diesen TAN-Freigaben wurden digitale girocards auf Geräten der Betrüger erstellt und freigeschaltet.

Ablaufende Legitimation von SecureGo-plus

30.01.2023

Aktuell versenden Täter wieder SMS oder E-Mails mit dem Inhalt, dass ihre SecureGo-plus Legitimation ablaufen würde.
Der beigefügte Link verweist auf eine Phishingseite.

Beigefügt ein Beispieltext der Täter:

Betrügerische SMS

30.01.2023

Aktuell sind wieder betrügerische SMS im Umlauf, um an Onlinebankingdaten zu kommen. So werden z.B. folgende SMS verschickt:

Bitte folgen Sie nur Links wenn Sie der Quelle vertrauen und beachten, dass wir keine derartigen SMS verschicken und niemals nach Ihren Zugangsdaten fragen.

Android Schadcode Godfather

09.01.2023

Betrüger versuchen auf den Geräten, mit denen Bankkunden ihr Online-Banking durchführen, Schadsoftware z.B. durch Fake-Apps zu installieren.

Die Schadsoftware „Godfather“ nimmt gezielt Banking-Apps unter Android-Betriebssystemen in mehreren Ländern ins Visier.
Die BaFin und das BSI haben dazu Warnungen veröffentlicht.

Als mögliches Ziel einer Kompromittierung listet die Malware die von Atruvia bereits abgekündigte VR Banking App classic auf.
Die SecureGo-App und die neueren Apps SecureGo plus und Banking-App sind aktuell nicht betroffen.

Wie die Schadsoftware von den Tätern eingesetzt wird, ist nicht abschließend geklärt. Das Magazin t3n erläutert beispielweise, dass die Malware „gefälschte Websites“ verwendet, „die über die regulären Banking- und Krypto-Apps angezeigt werden“. Gibt der Kunde hier seine Login-Daten ein, werden diese an die Kriminellen übermittelt. Zugang zu Smartphones kann sich die Software über bösartige Anwendungen verschaffen, die Nutzer auf ihren Smartphones installieren. Google hat hierauf bereits reagiert und Apps aus dem PlayStore entfernt.

Wichtiger Hinweis:

Bitte installieren Sie nur vertrauenswürdige Apps aus offiziellen Quellen (z. B. Google PlayStore), halten Sie Ihre Smartphone-Betriebssysteme und Apps immer auf dem neuesten Stand und folgen Sie keinen Links aus E-Mails oder SMS, die unbekannt sind.


2022

Phishing mittels ebay-Kleinanzeigen und der Funktion "Sicheres Bezahlen"

30.11.2022

Cyberkriminelle versuchen mittels angeblichen Käufen bei ebay-Kleinanzeigen in Verbindung mit der Funktion "Sicheres Bezahlen" an Kreditkartendaten zu gelangen.

Betrüger verschicken Mails an Verkäufer auf ebay in denen sie mitteilen, dass sie gerade einen Artikel mit einer Debitkarte gekauft hätten und der Verkäufer in Kürze eine Benachrichtigung von ebay bezüglich der Bestellung erhalten würde. 

Im Anschluss erhält der Verkäufer eine weitere E-Mail (oder auch SMS), in der mitgeteilt wird dass ein Artikel über die Funktion "Sicher Bezahlen" gekauft wurde und man auf einen Link klicken müsse, um das Geld zu erhalten. Wer dem Link folgt, wird auf eine Phishingseite umgeleitet.

Betrugsmasche per SMS/WhatsApp

22.11.2022

Aktuell sind wieder betrügerische SMS und WhatsApp-Nachrichten in Umlauf, um an das Geld von meist älteren Opfern zu kommen. So werden z.B. folgende SMS verschickt (Handynummer geändert):

Hallo Mama/Papa,

mein Handy ist

kaputt. Das ist meine

neue Handynummer.

+49123456789 Die

kannst du dir einspeichern!

Schickst du mir eine Nachricht auf Whatsapp?

Vielen Dank!

Mit solchen SMS werden die Opfer dazu verleitet, die neue Nummer einzuspeichern und eine Nachricht an die Betrüger zurückzuschicken. Anschließend nehmen die Betrüger Kontakt zum Opfer auf und behaupten, dass man mit der neuen Mobilfunknummer angeblich Probleme beim Mobilbanking habe und deshalb eine dringende Überweisung benötige. Kommt das Opfer der Aufforderung, eine Überweisung zu tätigen nach, landet das Geld beim Betrüger.

Täter kontaktieren Bankkunden telefonisch

11.11.2022

Immer wieder werden Bankkunden von Tätern angerufen, die vorgeben, die Bank zu sein. In früheren Fällen wurde dabei mündlich nach Zugangsdaten zum Onlinebanking gefragt. Jüngsten Berichten zufolge werden Bankkunden aktuell vermehrt aufgefordert, deren VR-NetKey und PIN mittels Tastenfeld einzugeben.

Kampagne: Kundenaktivität wegen PSD2 erforderlich

28.08.2022

Angeblich hat der Kunde eine Zustimmung zur PSD2/EU-Richtlinie oder ähnliches noch nicht gegeben.

Dazu sind auf einer Webseite seine Zugangsdaten (BLZ, VR-NetKey und PIN) einzugeben. Darüber hinaus wird zusätzlich das Geburtsdatum und Telefonnummer des Kunden abgefragt.

Betrüger verschicken SMS an potentielle Bankkunden, die den Eindruck erwecken, sie kämen von der Bank. Unter dem Vorwand, es sei dringlich eine Zustimmung notwendig, versuchen Betrüger Zugangsdaten zu Online-Bankkonten zu erlangen.

Phishingmasche "Ihre Bezahlkarte wird möglicherweise eingeschränkt"

Per E-Mail werden angehängte Schreiben versendet. Durch Anklicken von "identität bestätigen" gelangen über eine Phishingseite wichtige Informationen an die Täter.

Kampagne: Ablaufendes TAN-Verfahren (mobileTAN)

28.08.2022

Betrüger behaupten, dass das TAN-Verfahren in Kürze ablaufe. Sollte man als Bankkunde nicht aktiv seine Daten aktualisieren, so wäre das Online-Banking nicht mehr nutzbar.

Täter versenden SMS oder E-Mails mit dem Thema der nahenden Abschaltung von mobileTAN.
In den Nachrichten wird von einer zeitnahen Abschaltung gesprochen und die Kunden sollen auf einen Link klicken, um die Sperrung des Online-Bankings zu verhindern.

Unsere aktuell verfügbaren TAN-Verfahren finden Sie hier.

Online-Suchergebnisse (Google usw.)

09.08.2022

Der Betrüger plaziert bei den gängigen Suchmaschinen an vorderster Stelle eine Fake-Anzeige. Es erscheint ein der Bank ähnlich aussehender Treffer - der Link auf eine Phishingseite.

Will man im Internet die Webseite seiner Bank aufrufen, hat man nicht immer gleich die URL zur Hand oder möchte sich das Eintippen der URL sparen. Wie schön, dass es Suchmaschinen gibt. Schnell mal als Suchbegriffe "Volksbank" und seinen Ortsnamen in die Suchmaschine (z.B. Google, Bing, Yahoo) eingegeben und schon werden Suchergebnisse angezeigt.

Betrüger erstellen Phishingseiten, die Werbeseiten von Banken imitieren, und bezahlen die Online-Suchdienste dafür, dass diese in den Suchergebnissen weit vorn platziert werden. Getarnt als ein reguläres Suchergebnis, verweisen diese Werbeeintragungen jedoch auf eine Phishingseite mit der Nutzerdaten abgefischt werden (siehe Methode "Phishingseite").

Unvollständig eingegebene Banken-URLs erzeugen meist eine Suchanfrage z. B. bei Google, Bing, Yahoo. Täter platzieren aktuell erneut gezielte Werbung der jeweiligen Bank mit einem Link auf eine Phishing-Seite. Die Kunden merken oft nicht, dass sie Ihre Zugangsdaten auf eine Fake-Seite eingeben.

Ob diese "Anzeige" tatsächlich angezeigt wird, kann von der Region des jeweiligen Aufrufs abhängig sein. Dadurch ist für Dritte, z. B. aus der Bank, die Nachvollziehbarkeit erschwert. Weiterhin wurde beobachtet, dass bei den hinterlegten Phishing-Seiten auch nach der Herkunft des Aufrufs geprüft werden kann. Erfolgt ein Aufruf der Phishing-Seite nicht von der definierten Stelle, wird direkt auf eine "neutrale" Seite weitergeleitet.

Sollten Sie auf derartige Werbeanzeigen stoßen, so kontaktieren Sie bitte umgehend den Kundenservice. Damit ein Takedown der Phishing-Seite eingeleitet werden kann, teilen sie uns auch die hinterlegte Phishing-URL mit.

Überprüfung der Kundendaten

27.07.2022

Betrüger verschicken Mails an Bankkunden, die den Eindruck erwecken, sie kämen von der Bank. Unter dem Vorwand, es sei dringlich eine Datenaktualisierung notwendig, versuchen Betrüger Zugangsdaten zu Online-Bankkonten zu erlangen. 

Die dahinter liegende Methode ist klassisches Phishing.

Weiterhin viele "Autohändler"-Fälle mit hohen Schadenssummen zu verzeichnen

04.07.2022

Die von den Tätern genutzte Masche mit direkten Anrufen in der Bank, dem Ausgeben für einen (Firmen)Kunden und der Wunsch zur Erfassung von Eil-Überweisungen direkt in der BAP-Dialogerfassung verzeichnet weiterhin hohe Schadenssummen.

 

Der bisherige Schwerpunkt bei Autohändlern bleibt im Wesentlichen bestehen, es zeigen sich aber zunehmend auch Fälle aus anderen Branchen, ein Fokus auf bestimmte Branchen lässt sich nicht ableiten. Bitte beachten Sie diese Hinweise daher bei allen telefonischen Kontakten mit der Bitte um Erfassung von Überweisungsaufträgen.

Speziell in den jüngeren Fällen kommt es auch zu (wesentlich) höheren Überweisungsbeträgen im 5-stelligen Bereich, die dem beschriebenen Muster hinsichtlich Tat- und Gesprächsablauf jedoch weiter folgen.

Bestätigung Ihres SecureGo plus (Online-Anzeige)

13.05.2022

Betrüger nehmen die Umstellung auf SecureGo plus zum Anlass, das Bankverfahren von den Bankkunden zu übernehmen. Sie versenden dazu E-Mails an die Bankkunden mit der Aufforderung, die per SMS versendete TAN zum Anzeigen eines Aktivierungscodes für die Geräteaktivierung zu bestätigen. Mit der TAN kann sich der Betrüger dann den Aktivierungscode im Online Banking des Bankkunden für seine Geräteaktivierung ansehen.

Sicherheitsupdate

Aktuell sind Betrüger mit einer neuen Kampagne unterwegs, um Zugangsdaten von Bankkunden abzuphishen, siehe Beispiel unten.

Typische Kennzeichen:

- Androhung bzw. Mitteilungen von Maßnahmen, die das Banking einschränken ("... dass wir Ihr Konto vorübergehend eingeschränkt haben ...")

- Zeitdruck erzeugen ("... wenn Sie sich vor Ablauf der Frist nicht registrieren ...")

Neue Variante des Enkeltricks unter Nutzung eines Messenger-Dienstes, z. B. WhatsApp

Mai 2022

Der klassische Enkeltrick
Täterinnen und Täter rufen ältere Menschen unter dem Vorwand an, Verwandte oder gute Bekannte zu sein: „Rate mal, wer am Telefon ist?“. Dann täuschen sie einen finanziellen Engpass vor und bitten um hohe Bargeldbeträge, weil sie das Geld aufgrund einer Notlage sofort benötigten (zum Beispiel nach einem Autounfall). Durch mehrere Telefonanrufe innerhalb kurzer Zeit erhöht die Anruferin oder der Anrufer den psychischen Druck auf das Opfer, verbunden mit Appellen wie: „Hilf mir bitte!“. Die Täterinnen und die Täter fordern absolute Verschwiegenheit gegenüber Dritten (zum Beispiel anderen Verwandten). Weil sie angeblich nicht selbst kommen können, vereinbaren sie mit den älteren Menschen ein Kennwort, das eine andere Person nennen wird, wenn das Geld abgeholt wird. In zahlreichen Fällen haben die älteren Opfer nach solchen Gesprächen hohe Geldbeträge von ihrem Konto abgehoben, um der oder dem vermeintlichen Angehörigen zu helfen.

Neue Variante unter Nutzung eines Messenger-Dienstes, hier: WhatsApp
Die falschen Verwandten oder Bekannten nehmen über WhatsApp mit einer dem Opfer unbekannten Rufnummer Kontakt auf. In der Regel wird das Opfer mit „Hallo Mama! Ich habe eine neue Telefonnummer.“ oder ähnlichem kontaktiert. Die Kontaktaufnahme wird  damit begründet, dass z. B. das Handy verloren wurde. Als nächstes wird das Opfer aufgefordert, die neue Nummer zu speichern. Kurze Zeit danach geht die nächste WhatsApp-Nachricht ein, dass z. B. eine offene Rechnung von mehreren Tausend Euro bezahlt werden müsse. Die oder der vermeintliche Angehörige habe aber aufgrund der Umstände keine Möglichkeit, auf Online-Banking zuzugreifen, um eine Überweisung durchzuführen. Es ergeht nun die Bitte an das Opfer, diese Überweisung auf ein von der oder dem vermeintlichen Angehörigen genanntes Konto vorzunehmen, um die behauptete offene Rechnung zu begleichen. Das Geld würde angeblich in wenigen Tagen an das Opfer zurückgezahlt werden, was jedoch nicht geschieht.

Vermeintliche Anrufe von Europol oder Interpol

Mai 2022

Die Täterinnen und Täter rufen wie bisher bei Ihren potenziellen Opfern an. Mittels des sogenannten „Call-ID-Spoofing“ wird die Rufnummernübermittlung beim Angerufenen so manipuliert, dass auf dem Display z. B. die Rufnummer der örtlichen Polizei, Staatsanwaltschaft usw. oder sogar die Notrufnummer 110 (in der Regel in Verbindung mit der örtlichen Vorwahl (z. B. 0211 110) oder anderen Zahlenfolgen vorweg) erscheint.

Anrufer: „Europol oder Interpol“

Kriminelle geben sich am Telefon als Mitarbeitende der europäischen Polizeibehörde Europol aus und setzen die Angerufenen mit erfundenen Geschichten, in deren Mittelpunkt sie stehen, unter Druck. Im einzelnen können dies Straftaten sein, in die man angeblich selber verwickelt sei oder aber auch Ereignisse zum Nachteil naher Angehörige oder Freunde.
Die Anruferin oder der Anrufer fordert die potenziellen Geschädigten auf, an ein extra eingerichtetes Konto für Kryptowährung sowie an ein Konto in Übersee hohe Geldmengen zu transferieren. Die Kriminellen kommunizieren teilweise über mehrere Stunden mit den Geschädigten und setzen sie dadurch noch mehr unter Druck.
In einzelnen Fällen bezeichnen sich die Kriminellen als Police Officer oder als Mitarbeitende des Federal Police Department, Interpol oder Europol. Angeblich sei auch das Bankkonto betroffen oder es gäbe ein großes Ermittlungsverfahren. Würde man eine Auskunft verweigern, so wurde auch bereits mit fünf Jahren Haft gedroht.
In bekannten Fällen wurde dazu aufgefordert, das Geld vom eigenen Bankkonto auf ein ausländisches Konto zu überweisen, um einer Gefängnisstrafe zu entgehen.

Die "Autohändler-Fälle" sind auch weiterhin "erfolgreich"

25.04.2022

Beispiel: Ablauf der Täuschung „social Engineering“

„Am 24.03.2021 wurde mir durch unser Telefonteam der Anruf eines Kunden von Herrn … durchgestellt, der telefonisch die Beauftragung von Überweisungen per E-Mail ankündigen wollte. Der Name des Kunden, …, war mir aufgrund der Zusammenarbeit mit Herrn … bereits bekannt. Im alltäglichen Geschäft werden uns auf diesem Weg des Öfteren Überweisungen avisiert. Der Anrufer legitimierte sich durch Nennung seines Namens, der Kontonummer, des Geburtsdatums sowie seines Beraters in unserem Haus. Da die Stimme des Anrufers zum Alter passte und die E-Mailadresse auch auf den Namen des Kontoinhabers ausgestellt war, habe ich die zwei Überweisungen ausgeführt. Am Morgen des 25.03.2021 erhielt ich eine weitere E-Mail mit der Bitte, an eine der Bankverbindungen vom Vortag eine erneute Überweisung zu veranlassen. Im Hinblick auf das am Tag zuvor geführte Gespräch, habe ich die Überweisung ausgeführt. Am späten Vormittag erhielt ich eine weitere E-Mail mit dem Wunsch einer neuen Überweisung. Zwecks erneuter Legitimation, habe ich versucht den Kontoinhaber unter der im System hinterlegten Mobilfunknummer zu erreichen, jedoch ohne Erfolg. Nach der Bitte um Rückruf per Mail erhielt ich kurzfristig einen Anruf von einer nicht im System hinterlegten Mobilfunknummer. Dies begründete der Anrufer mit der Nutzung mehrerer Handys.“

„Der Anrufer war durchgängig sehr charmant und höflich, aber nicht übertrieben. Die telefonische Verbindung war durchgehend schlecht.“

aktuelles Beispiel für Phishing mittels WhatsApp-Nachricht

14.04.2022

Betrüger nutzen auch den Weg über WhatsApp-Nachrichten, um an das Geld ihrer Opfer zu kommen.

Haben Betrüger zum Beispiel auf irgend einem Weg die Kontaktliste (z.B. aus WhatsApp) eines Bankkunden/einer Bankkundin erlangt, können sie eine personalisierte Aufforderung, eine bestimmte Überweisung zu tätigen, an ihr Opfer schicken. Für das Opfer sieht die Aufforderung auf den ersten Blick valide aus, da sie glauben, den Absender zu kennen.

In diesem konkreten Fall ist das Opfer stutzig geworden und hat die Überweisung nicht ausgeführt.

Polizei warnt vor neuer Betrugsmasche bei Ebay Kleinanzeigen

25.03.2022

Betrüger bauen Internetseiten von bekannten Anbietern (z.B. Amazon, Paypal) nach, auf denen Bezahlfunktionen angeboten werden. Auf diese Weise versuchen Betrüger an Zugangsdaten für Online-Konten zu kommen.

Aktuell werden Verkäufer von Waren auf Ebay Kleinanzeigen zur Zielscheibe für Betrüger, wofür sie die Ebay-Kleinanzeigen-Bezahlmethode "Sicher bezahlen" nutzen. Obwohl die Bezahlmethode eigentlich kaum Spielraum für Betrug lässt, gelingt es Betrügern trotzdem immer wieder, ehrliche Verkäufer hinters Licht zu führen und abzuzocken.

Bei dieser Methode schreibt der vermeintliche Interessent (Betrüger) den Verkäufer einer Ware auf Ebay Kleinanzeigen an. Der Käufer unterbreite den Vorschlag, die Zahlung über die Bezahlmethode "Sicher bezahlen" abzuwickeln. Darauf sendet der Betrüger dem Verkäufer einen Link, wo dieser seine Kreditkartendaten zum Erhalt der Zahlung eingeben soll. Der übermittelte Link dient natürlich nicht der Abwicklung der Zahlung, sondern dient dem Abphishen von Kreditkartendaten. Die so erbeuteten Kreditkartendaten werden dann für betrügerische Abbuchungen von der Kreditkarte genutzt, die aber nichts mit dem Kauf des Artikels aus der Kleinanzeige zu tun haben.

Weisen Sie Kunden darauf hin, die Kreditkartendaten niemals an unbekannte Personen weiter zu geben. Ebay Kleinanzeigen selbst fragt nie die Kreditkartendaten von Käufer ab. 

SecureGo

15.03.2022

Betrüger rufen Bankkunden an und geben sich als Bankmitarbeiter aus, der Hilfe bei der Einrichtung eines neuen Bankverfahrens anbietet. Die Betrüger haben sich vorher schon Zugang auf das Online-Konto des Bankkunden verschafft und bei der Bank die Einrichtiung des neuen Bankverfahrens beauftragt, wodurch dem Bankkunden bereits ein Freischaltbrief zugestellt wurde.

Geht der Bankkunde auf das Angebot zur Einrichtung des Bankverfahrens ein, werden die Betrüger im Verlauf des Gesprächs wichtige Authentifizierungsdaten abfragen oder veranlassen Testüberweisungen durchzuführen.

Physischer Brief mit Aufforderung zur Weitergabe des Aktivierungscodes

Durch, z.B. Phishing, haben die Täter Zugang zum Online-Banking des betroffenen Kunden erhalten. Mit dem Modus Operandi "vermeintlicher Bankmitarbeiter" wird im weiteren Verlauf eine Deviceregistrierung durchgeführt. Die extra hierfür gestaltete und im Brief beschriebene Phishingseite aktzeptiert nur die VR-Netkeys der betroffen Nutzer für den Upload des Aktivierungcodes. Die Links innerhalb der Phishingseite verweisen auf reale Bankseiten.

Warnung vor Fake-Anrufen von IT-Dienstleistern

07.02.2022

Bei diesem Modus Operandi rufen Betrüger mit einer aktuell Niederländischen Telefonnummer (+31) bei Banken an und geben sich als IT-Mitarbeiter des Dienstleisters ihrer Bank aus. Unter einem Vorwand, z.B. technisches Problem, werden die Banken um Mithilfe gebeten.

Auszug aus einer aktuellen Meldung von einer Bank:

Der Gesprächspartner (männlich mit holländischem Akzent) gab an von unserem IT Dienstleister (er sprach von FIDUCIA) zu sein und er wolle dass ich zwei Zahlungen freigebe. Mir kamen die Angaben seltsam vor, da sie vor ca. 6 Monaten ihren Namen von FIDUCIA auf ATRUVIA geändert haben. Ich beendete daher sofort das Gespräch.
...

Es ist absehbar, dass sich die Anrufer künftig auch mit dem Namen "Atruvia" melden werden.
Bekannt sind in diesem Zusammenhang auch Anrufe von vermeintlichen Oracle-Mitarbeitern oder auch anderen IT-Firmen.
(Täterziel: z.B. Erpressung oder CEO-Fraud)

Neues OnlineBanking

31.01.2022

Das alte OnlineBanking wird abgeschaltet. Parallel werden dazu eine neue Banking App und das neue TAN-Verfahren SecureGo plus eingeführt.

Die Verlinkten Seiten, die Buttons, verweise jeweils auf die Phishingseite. Andere Verlinkungen, z.B. Impressum, Datenschutz verweisen auf eine echte Volksbankseite.

Betrüger verschicken Mails an Bankkunden, damit diese sich mit dem neuen OnlineBanking vertraut zu machen. Die Inhalte entstammen der originalen Bankseite der Volksbank. Jedoch sind die enthaltenen Seitenlinks auf Phishingseiten abgeändert.

Dahinter verbirgt klassisches Phishing. Die Bankkunden werden auf eine Phishingseite weiter geleitet, auf der ihre Kontodaten abgefischt werden.


2021

Bestätigung Ihres SecureGo plus

16.09.2021

Betrüger versenden E-Mails an Bankkunden mit der Aufforderung angeblich SecureGo plus zu aktivieren, was aber zur Aktivierung eines Endgerätes der Betrüger führt.

Betrüger nehmen die Umstellung auf SecureGo plus zum Anlass, das Bankverfahren von den Bankkunden zu übernehmen. Sie versenden dazu E-Mails an die Bankkunden mit der Aufforderung, die per SMS versendete TAN zum Anzeigen eines Aktivierungscodes für die Geräteaktivierung zu bestätigen. Mit der TAN kann sich der Betrüger dann den Aktivierungscode im Online Banking des Bankkunden für seine Geräteaktivierung ansehen.

Kommt der Bankkunde dieser Aufforderung nach, ermöglicht er die Aktivierung des Mobilgerätes des Betrügers für das SecureGo plus Verfahren.

Die Betrüger haben vorher, wahrscheinlich durch Phishing der Zugangsdaten, Zugang zum Online Banking des Bankkunden erlangt. Damit registrieren die Betrüger entweder ein neues TAN-Verfahren (Erstregistrierung SecureGo plus statt mobile TAN) oder ein (weiteres) Gerät, das unter ihrer Kontrolle steht, für SecureGo plus. Haben sie ein weiteres Gerät registriert, löschen sie anschließend das alte Gerät des Bankkunden. Über dieses neu freigeschaltete Gerät führen sie dann Transaktionen aus, von denen der Bankkunde nichts mit bekommt.

Aktuell erreichen Bankkunden Mails mit QR-Code

10.09.2021

Betrüger versenden E-Mails mit eingebetteten QR-Code, die Schadcode enthalten. Durch die Verwendung der QR-Codes können Spamfilter und Virenscanner eventuelle dynamische Anhänge nicht erkennen. Ziel der Betrüger ist es, die meist weniger gesicherten Endgeräte zu kompromittieren (MOBTRO) zu kompromittieren.

Unter dem Vorwand einer AGB-Änderung oder aufgrund eines neuen Verfahrens ("VIBS") wird auf eine Phishingseite verwiesen. Auf dieser Seite sind VR-Banken mittels BLZ hinterlegt. Im weiteren Verlauf werden VR-NetKey und PIN abgegriffen.

Unberechtigte Lastschriften

21.07.2021

Betrüger versuchen mit Phishing-Mails, in denen behauptet wird, dass unberechtigte Lastschriften zurückgebucht werden müssten, an die Zugangsdaten von Bankkunden zu kommen. In den Mails ist ein Link, der auf eine Phishing-Webseite verweist.

Nachfolgende Mail zeigt eine aktuelle Phishingmasche. Der in der Mail angegebene Link führt auf eine Phishing-Webseite:

Hinweis: Unberechtigte Lastschriften zurückbuchen 

 

Sehr geehrter Kunde, 

 

leider müssen wir Ihnen mitteilen, dass von Ihrem Konto unberechtigte Lastschriften vorgenommen wurden, sodass Ihr Konto vorübergehend gesperrt wurde. Wir bitten Sie, Ihr Konto umgehend zu entsperren, danach können Sie eine automatische Rückbuchung veranlassen. Die Entsperrung und Rückbuchung erfolgt automatisch. 

 

Link Weiter zur Entsperrung und Rückbuchung 

 

Kommen Sie dieser E-Mail innerhalb 24 Stunden nicht nach, ist die Rückbuchung nicht mehr möglich. Die Freischaltung ist dann nur noch in einem persönlichen Termin in der Filiale möglich. Für einen Termin in der Filiale wird eine Bearbeitungsgebühr in Höhe von 79,95 Euro fällig!

Telefonanruf eines vermeintlichen Bankmitarbeiters

16.07.2021

Betrüger rufen Bankkunden an und geben sich als Bankmitarbeiter aus. Angeblich hätte man eine verdächtige Überweisung verhindert und bittet nun den Bankkunden um Mithhilfe. Im Lauf des Gespräch sollen dann wahrscheinlich wichtige Daten zum Online-Banking-Zugang abgefragt oder Testüberweisungen durchgeführt werden.

Der Absender des Telefonanruf ist für den Bankkunden unter Umständen vertrauenserweckend, da die Telefonnummer gespooft (englisch für Manipulation, Verschleierung oder Vortäuschung) ist.

Die angerufenen Bankkunden werden dazu bewegt TANs preiszugeben. Die TANs werden dann genutzt, um betrügerische Überweisungen per Echtzeitüberweisung auszuführen. Die betroffenen Bankkunden sind vor allem Firmen und entsprechend hoch sind die Beträge.

Die derzeitigen Betrugsfälle werden parallel von Angriffen auf die Banken-Website und die Telefonie der Bank begleitet, um die Erreichbarkeit der Bank zu verhindern. Die betroffenen Bankkunden haben somit keine oder nur eingeschränkte Möglichkeiten, die Bank zu erreichen.

PSD2

23.04.2021

Betrüger verschicken Mails an Bankkunden, in denen diese aufgefordert werden, ihre Kontodaten zu aktualisieren, da dieses angeblich die neue PSD2-Richtlinie erfordern würde.

Tweilweise werden über diese Mails auch Links auf APK-Files (Android Package File) verteilt, mit denen Trojaner auf mobile Geräte mit dem Android-Betriebssystem installiert werden.

Aktuell sind Trojaner unterwegs, die mit dem Verweis auf eine angebliche EU-Regelung (PSD2) zur Installation einer Software (APK-File) auffordern.

Welche Malware damit auf dem Gerät installiert wird, ist noch nicht bekannt.

 

SMS-Phishing

SMS-Phishing ist eine Methode mit der Betrüger versuchen, Bankkunden über SMS-Nachrichten versuchen auf Phishingseiten zu leiten oder sie (zum Beispiel mittels Werbebotschaft) dazu animieren, Kontakt mit den Betrügern aufzunehmen, die sich als seriose Ansprechpartner tarnen.

Darüber hinaus kann auch zur Installation eines Trojaners aufgefordert werden.

Paketversand-SMS

24.03.2021

Seit März 2021 werden Paket-Benachrichtigungen versendet, die einen Link zu einer vermeintlichen App eines Versanddienstleisters (z.B. FedEx, DHL) enthalten. Die App verlangt umfangreiche Rechte auf dem mobilen Endgerät und wird verwendet, um Passwörter und Kreditkarteninformationen auszuspähen.
Die Paketbenachrichtigung per SMS beinhaltet einen Link zu einem App-Download. Als Paket-App getarnt wird der Schadcode (FluBot/Cabassous) genutzt, um Überblendungen (Overlay/Webinject) für andere Apps, wie etwa der Online-Banking-App, zu generieren. Auf diese Weise werden Zugangs- und Kreditkarteninformationen erbeutet, die später von Tätern genutzt werden können.

In der SMS heißt es zum Beispiel:

"Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren sie es. http://.....duckdns.org"

 

Erpressungsversuche per Mail

23.03.2021

Online-Erpresser behaupten, die Empfänger ihrer Mails beim Surfen auf Pornoseiten gefilmt zu haben. Als Beweis dafür geben sie oft sogar ein Passwort des Empfängers an. Es wird i. R. eine Zahlung in Cryptowährung (Bitcoin) verlangt.

Nachfolgende Mail zeigt eine aktuelle Phishingmasche:

Grüße Sie!

Ich habe eine schlechte Nachricht für Sie.
Vor ein paar Monaten habe ich Zugriff auf Ihre Endgeräte, die Sie zum Surfen im Internet verwenden, erhalten.
Danach habe ich begonnen, Ihre Internetaktivitäten zu verfolgen.

Hier ist die Reihenfolge der Ereignisse:
Vor einiger Zeit habe ich Hackern Zugang zu E-Mail-Konten abgekauft (heutzutage ist so etwas online recht einfach zu erwerben).
Offensichtlich gelang es mir problemlos, mich in Ihr E-Mail-Konto (<gültige Mailadresse>) einzuloggen.

Eine Woche später habe ich bereits einen Trojaner auf den Betriebssystemen aller Geräte, die Sie für den Zugriff auf Ihre E-Mails verwenden, platziert.
Eigentlich war es gar nicht so schwer (da Sie die Links aus Ihren Posteingangs-E-Mails aufgerufen haben).
Alles Geniale ist einfach =)

Mit dieser Software habe ich Zugriff zu allen Bedienelementen Ihrer Endgeräte (z.B. Ihr Mikrofon, Ihre Videokamera und Ihre Tastatur).
Ich habe alle Ihre Informationen, Daten, Fotos, Web-Browsing-Verlauf auf meine Server heruntergeladen.
Ich habe Zugriff auf alle Ihre Messenger, sozialen Netzwerke, E-Mails, Chat-Verläufe und Kontaktlisten.
Mein Virus aktualisiert ständig die Signaturen (er ist treiberbasiert) und bleibt daher für Antivirensoftware unsichtbar.

Außerdem verstehen Sie jetzt sicher, warum ich bis zu diesem Schreiben unentdeckt geblieben bin...

Beim Sammeln von Informationen über Sie habe ich herausgefunden, dass Sie ein großer Fan von Webseiten für Erwachsene sind.
Sie lieben es wirklich, Porno-Webseiten zu besuchen und sich aufregende Videos anzusehen und dabei eine enorme Menge an Vergnügen empfinden.
Nun, ich habe es geschafft, eine Reihe Ihrer schmutzigen Szenen aufzunehmen und ein paar Videos zu montieren, die zeigen, wie Sie masturbieren und Orgasmen erreichen.

Wenn Sie Zweifel haben, kann ich mit ein paar Mausklicks alle Ihre Videos an Ihre Freunde, Kollegen und Verwandten weitergegeben.
Ich habe auch überhaupt kein Problem damit, sie der Öffentlichkeit zugänglich zu machen.
Ich vermute, dass Sie das nicht wollen, denn in Anbetracht der Besonderheit der Videos, die Sie sich gerne ansehen (Sie wissen genau, was ich meine), wäre das für Sie eine echte Katastrophe.

Lassen Sie es uns so regeln:
Sie überweisen mir 1650 EUR (in Bitcoin-Äquivalent gemäß dem Wechselkurs zum Zeitpunkt des Geldtransfers) und sobald die Überweisung eingegangen ist, werde ich dieses ganze schmutzige Zeug sofort löschen.
Danach werden wir einander vergessen. Ich verspreche auch, alle Schadsoftware auf Ihren Geräten zu deaktivieren und zu löschen. Vertrauen Sie mir, ich halte mein Wort.

Dies ist ein fairer Deal und der Preis ist ziemlich günstig, wenn man bedenkt, dass ich mir Ihr Profil und Ihren Traffic schon seit einiger Zeit ansehe.
Für den Fall, dass Sie nicht wissen, wie Sie die Bitcoins kaufen und transferieren können - Sie können jede moderne Suchmaschine benutzen.

Hier ist meine Bitcoin-Adresse: 1FECvkFjYdsPCwtDpKrLiPkkM5ESNM2EG5

Sie haben weniger als 48 Stunden von dem Moment an, in dem Sie diese E-Mail geöffnet haben (genau 2 Tage).

Dinge, die Sie vermeiden sollten, zu tun:
*Antworten Sie mir nicht (ich habe diese E-Mail in Ihrem Posteingang erstellt und die Absenderadresse generiert).
*Versuchen Sie nicht, die Polizei oder andere Sicherheitsdienste zu kontaktieren.
Vermeiden Sie außerdem, dies Ihren Freunden zu erzählen. Wenn ich das herausfinde
(wie Sie sehen können, ist das wirklich nicht so schwer, wenn man bedenkt, dass ich alle Ihre Systeme kontrolliere) - wird Ihr Video sofort öffentlich gemacht.
*Versuchen Sie nicht, mich zu finden - es ist absolut sinnlos. Alle Kryptowährungstransaktionen sind anonym.
*Versuchen Sie nicht, das Betriebssystem auf Ihren Geräten neu zu installieren oder sie wegzuwerfen. Es ist auch sinnlos, da alle Videos bereits auf entfernten Servern gespeichert wurden.

Dinge, über die Sie sich keine Gedanken machen müssen:
*Dass ich nicht in der Lage sein werde, Ihre Überweisung zu empfangen.
- Keine Sorge, ich werde, sobald Sie die Überweisung abgeschlossen haben, das sofort sehen,
da ich alle Ihre Aktivitäten ständig verfolge (mein Trojaner hat eine Fernsteuerungsfunktion, so ähnlich wie TeamViewer).
*Dass ich Ihre Videos sowieso teilen würde, sobald Sie den Geldtransfer abgeschlossen haben.
- Glauben Sie mir, ich habe keinen Grund weiterhin Ihr Leben zu belasten. Wenn ich das wirklich wollte, würde ich es schon längst tun!

Alles wird auf eine faire Art und Weise geschehen!

Eine Sache noch... Lassen Sie sich in Zukunft nicht mehr in ähnliche Situationen verwickeln!
Mein Rat - ändern Sie alle Ihre Passwörter regelmäßig!

Demoüberweisung wegen angeblicher Sicherheitslücke im Browser

Der Betrüger plaziert bei den gängigen Suchmaschinen an vorderster Stelle eine Fake-Anzeige.

Es erscheint ein der Bank ähnlich aussehender Treffer - der Link auf eine Phishingseite.

Nach Anmeldung im Portal wird eine Informationsseite angezeigt, die den Kunden dazu auffordert eine Demoüberweisung durchzuführen.

Bei Anmeldung im Online Banking wird folgender Text angezeigt (Beispiel): 

Achtung!
Aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM führt unsere Bank als erste einen neuen Verschlüsselungsalgorithmus für Banküberweisungen ein. Um sicherzustellen, dass die erforderlichen Updates installiert sind bzw. dass Ihr Browser die neue Version des Verschlüsserlungsalgorithmus unterstützt, ist es erforderlich, dass Sie zum Demo-Account übergehen, wo Ihnen angeboten wird, eine Testüberweisung mit einer verbindlichen Eingabe der Transktionsnummer (TAN) zu tätigen.
Der Zugang zum Online Banking bleibt eingeschränkt, bis die erforderliche Verifizierung fertig ist.

Folgen Sie den Anweisungen.

   Schritt 1

       Klicken Sie auf Weiter, um sich im Demo-Account einzuloggen.

 

Bei Anmeldung am Demo-Account wird eine Pseudo Überweisung mit 1,00 Euro angezeigt, die mittels Smart TAN bestätigt werden soll.

Eingefrorenes / Gesperrtes Konto / weitere Varianten

09.02.2021

Betrüger verschicken Mails an Bankkunden mit der Aufforderung, ihre Kontodaten zu aktualisieren. Als angeblichen Grund geben sie an, dass das Konto gesperrt werden musste und durch einen Datenabgleich wider freigeschaltet werden kann.

Nachfolgende Mail zeigt eine aktuelle Phishingmasche:

Sehr geehrter Herr /Frau,

leider müssen wir Ihnen mitteilen, dass von Ihrem Konto unbefugte Überweisungen durchgeführt wurden, daher wurde Ihr Konto vorübergehend gesperrt.

Wir bitten Sie umgehend, Ihr Konto zu entsperren ,anschliessend können Sie eine automatische Rückbuchung veranlassen. Die Entsperrung und Rückbuchung wird automatisch durchgeführt.

> Link Weiter zur Entsperrung und Rückbuchung >

 

Kommen Sie dieser E-Mail innerhalb 24 Stunden nicht nach, ist die Rückbuchung nicht mehr möglich. Die Freischaltung ist dann nur noch in einem persönlichen Termin in der Filiale möglich.

Für einen Termin in der Filiale wird eine Bearbeitungsgebühr in Höhe von 79,95 Euro fällig!

Mit freundlichen Grüßen

Volksbank

Überprüfung der Kundendaten

05.01.2021

Betrüger verschicken Mails an Bankkunden, die den Eindruck erwecken, sie kämen von der Bank. Unter dem Vorwand, es sei dringlich eine Datenaktualisierung notwendig, versuchen Betrüger Zugangsdaten zu Online-Bankkonten zu erlangen.

Nachfolgende Mail zeigt eine aktuelle Phishingmasche:

Liebe Kundin, lieber Kunde,

 

auch im neuen Jahr steht Ihre Sicherheit bei uns an erster Stelle. Wir haben Sie vor kurzem aufgefordert Ihre persönlichen Daten auf den neusten Stand zu bringen. Dieser Aufforderung sind Sie bis dato noch nicht nachgekommen. Aus versicherungstechnischen Gründen sind wir gezwungen Ihre Kontofunktionen vorerst einzuschränken da mit veralteten Daten kein sicherer Zahlungsverkehr gewährleistet werden kann. Aufgrund dessen müssen wir Sie erneut höflich auffordern Ihre persönlichen Daten zu aktualisieren.

Um Ihre persönlichen Daten zu aktualisieren, bitten wir Sie auf den folgenden Button zu klicken und den dortigen Anweisungen folge zu leisten. Der Aktualisierungsvorgang ist vollautomatisiert und dauert nur einen kurzen Augenblick. Nach erfolgreicher Durchführung kann Ihr Konto wieder uneingeschränkt genutzt werden.

< < FORTFAHREN >>

Wir bedanken uns für Ihr entgegen gebrachtes Vertrauen und wünschen Ihnen einen erfolgreichen Start in das neue Jahr.

 

Mit freundlichen Grüßen,

Ihre VR-Online Team


PSD2

Einheitliche Standards für sichere elektronische Zahlungen

Am 14. September 2019 tritt die sogenannte "zweite Stufe" der Umsetzung der PSD2 (Zweite EU-Zahlungsdiensterichtlinie) in Kraft. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit bei Zahlungen im Internet sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Weiter zu PSD2


Sicherheitstipps

  • Speichern Sie vertrauliche Daten wie PIN und TAN oder Passwörter nicht auf Ihrer Festplatte.
  • Geben Sie niemals per E-Mail Ihre persönlichen Daten wie Bankkonten, PIN und TAN, Kreditkarten-Daten oder Passwörter preis.
  • Ändern Sie - wenn möglich - regelmäßig Ihre PIN und Passwörter.
  • Lassen Sie den Online-Zugang sofort sperren, falls Sie Ihre TAN-Liste verlieren.
  • Benutzen Sie für das Online-Banking möglichst keine Rechner in Internet-Cafés; hier sind Manipulationen Tür und Tor geöffnet.
  • Wenn Sie über ein Funknetz (WLAN) ins Internet gehen: Achten Sie darauf, dass die Daten-Übertragung ausreichend verschlüsselt ist.
  • Bei der freien Wahl Ihres selbst gewählten Kennwortes sollten Sie leicht zu erratende Kennwörter wie gleiche Zeichen und regelmäßige Zeichenfolgen (12345) ebenso vermeiden wie Geburtstage, Postleitzahlen, Telefon-Nummern oder bekannte Zeichenfolgen (wie 4711 und 0815).
  • Vergewissern Sie sich stets, ob die auf der Webseite geforderten Eingaben in Zusammenhang mit der von Ihnen gewünschten Aktion sinnvoll sind.
  • Geben Sie persönliche Daten möglichst nur über SSL-verschlüsselte Internet-Seiten weiter und auch nur an Unternehmen, die Sie kennen und denen Sie vertrauen.
  • Internet-Banking ist eine solche SSL-gesicherte Anwendung. Sie erkennen eine verschlüsselte Verbindung an einem Schloss-Symbol unten rechts im Browser oder daran, dass die URL mit "https://" beginnt.
  • Prüfen Sie, ob die in der Adress-Zeile des Browsers angegebene Internet-Adresse mit der zertifizierten Adresse Ihrer Bank übereinstimmt. Die zertifzierte Adresse erhalten Sie per Doppelklick auf das Schloss-Symbol unten rechts im Browser.
  • Klicken Sie nicht auf Links in E-Mails, Internet-Seiten oder sonstigen Nachrichten, um auf Ihre Bankseite zu kommen! Geben Sie die Adresse Ihrer Bank von Hand in die Adresszeile Ihres Browsers, oder benutzen Sie einen Eintrag in den Favoriten.
  • Schließen Sie stets alle anderen Browser-Fenster, bevor Sie die Internet-Banking-Anwendung starten.
  • Überprüfen Sie stets die Adress-Zeile Ihrer Internet-Banking-Anwendung. Selbst durch kleine Änderungen könnten die Daten, die Sie eingeben, auf eine gefälschte Internet-Seite gelangen. Wenn Sie den Verdacht haben, dass die vorliegende Webseite manipuliert ist, verlassen Sie diese und befolgen Sie keinesfalls die dort angegebenen Anweisungen. Informieren Sie ggf. Ihren Bankberater über die auffällige Seite.
  • Befolgen Sie stets auch die Sicherheits-Hinweise in der Internet-Banking-Anwendung selbst. Überprüfen Sie regelmäßig Ihre Konto-Bewegungen; teilen Sie Unstimmigkeiten umgehend Ihrem Bankberater mit.
  • Informieren Sie im Verdachtsfall (Verbindungs-Abbruch während der Internet-Anwendung) sofort die Bank und lassen Ihren Online-Zugang sperren.
  • Veranlassen Sie im Schadensfall sofort einen Überweisungs-Rückruf und erstatten Sie ggf. Anzeige.