Per SMS versuchen Betrüger offenbar an Onlinebanking-Daten von Volksbankkunden zu kommen. Auch ein Biberacher erhielt vorige Woche eine solche SMS und war kurz davor, einen möglicherweise folgenschweren Fehler zu begehen. Der „Schwäbischen Zeitung“ hat er von dem Fall berichtet. Was die Volksbank Ulm-Biberach Betroffenen rät.

Bereits seit vielen Jahren erledigt der Biberacher Volksbankkunde Peter D. (Name von der Redaktion geändert) seine Bankgeschäfte online, neuerdings auch über die entsprechende Volksbank-App auf dem Smartphone. Vergangenen Mittwoch erhielt er eine SMS mit dem Inhalt „VOLKSBANK ‐ Ihre VR-SecureGo app Registrierung läuft morgen ab. Bitte verlänger Sie Ihre Legitimation“. Darunter war der Link zu einer Internetadresse angegeben.

Logos sehen „hineingebastelt“ aus

„Der Begriff VR-SecureGo-App sagte mir etwas, deshalb habe ich die SMS tatsächlich für eine Nachricht meiner Volksbank gehalten“, schildert der 52-Jährige. Ohne lange nachzudenken klickte er auf den Link. Auf dem Smartphone erschien das Volksbanklogo, anschließend sollte er eine Sprache wählen. Peter D. klickte auf „Deutsch“ und erhielt dann auf einer weiteren Internetseite, allerdings auf Englisch, die Nachricht, dass seine SecureGo-App abgelaufen sei („Your SecureGo has expired“). Der Biberacher schöpfte noch immer keinen Verdacht und klickte auf „Continue“.

Nun erschien ein Anmeldefenster mit Volksbanklogo, wie er es vom Onlinebanking kennt. Neben dem Logo tauchten allerdings immer wieder wechselnde Städtenamen, was Peter D. schließlich stutzig machte. Auch die unten auf der Seite eingefügten Logos sahen auf den zweiten Blick für ihn seltsam „hineingebastelt“ aus. Bei einem Klick auf die Begriffe „AGB“ und „Impressum“ landete der Biberacher auf einer leeren Seite.

Betrugsmasche Smishing kommt häufig vor

„Das war der Moment, in dem mir die ganze Sache komisch vorkam“, sagt der Biberacher, der keine Bankdaten eingab, sondern sich mit Screenshots der SMS und der seltsamen Internetseite an die SZ-Redaktion wandte. Dort ergab eine Nachfrage bei der Volksbank Ulm-Biberach relativ schnell Klarheit.

Bei der SMS, die der Biberacher Kunde erhalten habe, handle es sich um sogenanntes Smishing, sagt Pressereferentin Kathleen Parthey. Das sei ein Betrugsversuch, bei dem SMS mit irreführenden Informationen verschickt werden, um den Empfänger dazu zu bringen, seine persönlichen Daten preiszugeben. Der Begriff „Smishing“ setzt sich aus den Wörtern „SMS“ und „Phishing“ zusammen, wobei letzteres als Kunstwort aus Password (Passwort) und Fishing (Angeln) gebildet wurde. Diese Betrugsmasche komme aktuell häufiger vor.

Textnachrichten haben besseren Ruf

„Im Gegensatz zu Spam-Mails genießen Textnachrichten bei vielen Nutzern noch einen besseren Ruf“, so Parthey. „Zum einen, weil unsere Handynummer privater scheint als unsere Mailadresse, zum anderen, weil diverse Apps sie mittlerweile zur Verifikation benutzen. Kritisch ist in dieser Hinsicht auch, dass wir das Handy im Alltag so oft benutzen und in hektischen Situationen vielleicht nicht daran denken, dass wir gerade auf einen schädlichen Link klicken.“ Auch ihm sei erst beim späteren Betrachten aufgefallen, dass die SMS von einer unbekannten Handynummer geschickt wurde, sagt Peter D..

„Die Täter senden SMS im Namen vertrauenswürdiger Institutionen wie Banken oder Telekommunikationsanbieter und behaupten, es gebe ein fingiertes Problem“, so die Volksbank-Sprecherin. „Zum Beispiel könnte die eigene Bank über den bevorstehenden Ablauf der VR-SecureGo Registrierung informieren und auffordern, diese zu verlängern, wie im vorliegenden Fall geschehen.“

Nicht überhastet reagieren

Dabei gibt es zwei Vorgehensweisen. „Bei der ersten wird man dazu aufgefordert, einen Download durchzuführen. Dieser enthält jedoch schädliche Software und spioniert das Handy aus, um sensible Daten abzugreifen. Die zweite Variante führt über den Link zu einer Phishing-Seite, also einer Internetseite die den echten Seiten der Volksbank oft täuschend echt nachempfunden ist“, sagt Parthey. Und genau hier lauere die große Gefahr. „Aufgrund der Ähnlichkeit fallen viele Nutzer auf den Fake herein und geben ihre Banking-Daten auf den nachgemachten Seiten ein. Allerdings werden diese Daten dann nicht an die Volksbank übertragen, sondern fallen direkt in die Hände unbekannter Dritter. Diese können die Daten dann für weitere kriminelle Aktivitäten nutzen. Das sollte man unbedingt verhindern.“

Es gelte immer die Faustregel: Keinesfalls überhastet reagieren und sich Zeit zum Nachdenken nehmen, keine Links anklicken und niemals sensible Informationen weitergeben. „Im Zweifelsfall sollte man mit seiner Bank über deren offiziellen Telefonnummern beziehungsweise Mailadressen Kontakt aufnehmen, um sicherzugehen, ob diese der Absender war“, sagt die Sprecherin der Volksbank Ulm-Biberach, die noch zwei weitere Hinweise gibt: „Ein seriöses Unternehmen wird niemals nach Passwörtern, PINs oder anderen sensiblen Daten fragen. Selbst wenn man glauben, dass die Nachricht legitim sein könnte, sollte man für eine Kontaktaufnahme ausschließlich die offizielle Internetseite beziehungsweise Telefonnummer des als Absender benannten Unternehmens verwenden.“

Falls man den Betrügern auf den Leim geht

Trotz aller Vorsicht passiert es immer wieder, dass Bankkunden doch auf eine Phishing-Mail oder Smishing-Nachricht hereinfallen. „Dann muss man schnell reagieren“, so Parthey. Hat man auf einen angehängten Link geklickt, dann empfiehlt das Bundesamt für Sicherheit in der Informationstechnik wie folgt vorzugehen: Umgehend den Flugmodus einschalten, um das Handy vom Mobilfunknetz zu nehmen. Anschließend, falls möglich, den eigenen Mobilfunkanbieter informieren. Wenn Bankdaten eingegeben wurden, dann ist es sinnvoll, die Karten und das Konto beziehungsweise vorsichtshalber das Online-Banking (den VR-Netkey) sperren zu lassen. Dies kann entweder über den zentralen Sperrnotruf 116116, über den Kreditkarten-Anbieter oder die herausgebende Bank erfolgen. Eine Information der eigenen Bank ‐ der Beraterin oder des Beraters vor Ort wird empfohlen.

„In der Folge sollte der Kunde sein Bankkonto und andere Accounts auf verdächtige Aktivitäten prüfen“, sagt die Volksbank-Sprecherin. Auch eine Anzeige bei der örtlichen Polizei wird gegebenenfalls empfohlen. „Schließlich können die Täter mit den gestohlenen Daten weitere Straftaten begehen. Eine Anzeige kann auch die Voraussetzung sein, dass die Kreditkartengesellschaft oder Versicherung einen eventuell entstandenen Schaden ersetzt. Zur Anzeige sollte man das Handy als Beweismittel mitnehmen.“

Für Peter D. ging das Ganze glimpflich aus. Weil ihm rechtzeitig Zweifel kamen und er keine Daten eingegeben hat, blieb sein Bankkonto vor den Betrügern verschont. „Künftig schaue ich mir solche Nachrichten ganz genau an, bevor ich auf irgendwelche Links klicke“, sagt er.