SMS der Bank sind auch Einladung für Phisher

Manche Banken informieren ihre Kunden per SMS über Abbuchungen. Das soll betrügerische Transaktionen schnell aufdecken helfen, bringt aber auch Betrüger auf unerfreuliche Ideen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 108 Beiträge

Eine Filiale der Scotiabank auf Barbados

Von

Beispiel eines Phishing-Versuchs per SMS

Manche Geldinstitute senden jedesmal SMS an ihre Kunden, wenn deren Kreditkarten, Debitkarten oder ähnliches Plastikgeld eingesetzt wurde. Das soll helfen, falsche Beträge oder überhaupt unautorisierte Transaktionen schnell aufzudecken, um Schäden zu minimieren. Doch leider lockt die gut gemeinte Information auch Phisher auf den Plan. Und nicht immer steht die Bank für den Schaden gerade, wie der kanadische Rundfunk CBC berichtet.

Ein Kanadier hatte eine Kurznachricht erhalten, die wie eine der üblichen Umsatz-Infos der Scotiabank (Bank of Nova Scotia) aussah. Weil ihm der angebliche Umsatz unbekannt war, klickte er auf den in der Mitteilung enthaltenen Link. Er gelangte auf eine Seite, die wie die echte Bank-Webseite aussah. Dort loggte er sich ein, um den verdächtigen Umsatz zu melden.

Tatsächlich aber gab er damit den Phishern die Zugangsdaten zu seinem Online-Banking. Die Betrüger räumten sofort seine Konten leer. Transaktionsnummern zur Autorisierung einzelner Transaktionen sind in Nordamerika unüblich, Login und Username reichen aus. Der Kanadier ist nun 3.000 kanadische Dollar ärmer.

Die peinliche Aufforderung zur Passwortänderung der Scotiabank-Tochter "Scene".

Denn Scotiabank weigert sich, für den Schaden aufzukommen. Zwar bestätigte ein Sprecher, dass Phishzüge weltweit häufiger und ausgefuchster werden. Doch der Kunde habe nun einmal Dritten seine Zugangsdaten gegeben, weshalb die Bank nicht hafte.

Gleichzeitig aber trainieren Banken und deren Geschäftspartner ihre Kunden immer wieder darauf, Links in elektronischen Nachrichten anzuklicken und Daten auf unterschiedlichen Webseiten einzugeben. Beispielsweise hat sich die kanadische Zweigstelle von American Express wiederholt damit hervorgetan, aber auch die Scotiabank-Gruppe hat Verbesserungspotenzial.

Kürzlich empfingen Teilnehmer des Scotiabank-Kundenbindungsprogramms "Scene" eindringliche E-Mails. Die Empfänger wurden dabei aufgefordert, ihr Scene-Passwort zu ändern. Der passende Link war mit dabei. Ein verunsicherter Kunde fragte Scotiabank um Rat, und bekam zur Antwort, die Nachricht wäre ein Betrugsversuch.

Doch die sicherheitsbewussten Mitarbeiter der Bank hatten nicht mit der Unbeholfenheit ihrer eigenen Tochterfirma Scene gerechnet. Die Aufforderung zur Passwortänderung war echt! Ein Unternehmenssprecher verteidigte den Sprung in den Fettnapf gegenüber der CBC auch noch: Die E-Mails seien geschickt worden, "um unseren Teilnehmern dabei zu helfen, ihre Konten sicher zu halten". Und der eingebettete Link diene dem "Komfort der Teilnehmer".

Der "S-SMS"-Dienst von Diners Club Österreich ist gut gemeint.

Doch nicht nur Weblinks, auch Telefonnummern können zum Verhängnis werden. Manche Banken fügen jeder Umsatz-Information eine Telefonnummer an, bei der verdächtige Umsätze gemeldet werden sollen. Für professionelle Phisher ist es kein großes Hindernis, echt wirkende Umsatz-Informationen mit einer anderen Rückrufnummer zu versenden.

Toronto Dominion aus Kanada verweist auf die auf der Karte aufgedruckte Telefonnummer.

Weil kaum ein Empfänger diese Rufnummer überprüft, kann es leicht vorkommen, dass die Anrufe direkt bei den Betrügern landen. Und weil Bankkunden gewohnt sind, vom Telefonisten der Bank diverse "Sicherheitsfragen" gestellt zu bekommen, beantworten sie solche Fragen in der Regel bereitwillig. So schnappt die Falle zu.

Manche Banken versuchen dem vorzubeugen, indem sie in ihren Umsatz-Mitteilungen keine Telefonnummer angeben, sondern auf die auf der (angeblich) benutzten Plastikkarte aufgedruckte Nummer verweisen. Sie hoffen, dass den Karteninhabern auffällt, wenn eine angebliche Bank-SMS vom üblichen Wortlaut abweicht und plötzlich einen Link oder eine Telefonnummer bewirbt. (ds)