Das Wichtigste auf einen Blick
Aktuelle Sicherheitswarnungen des Computer-Notfallteams der Sparkassen-Finanzgruppe
| Hier finden Sie weitere aktuelle Sicherheitswarnungen sowie das Archiv. | Alle Warnungen anzeigen |
Sollten Sie eine verdächtige Nachricht erhalten haben, leiten Sie diese bitte an warnung@sparkasse.de weiter. Allgemeine Informationen zum Thema Phishing finden Sie auf der Webseite https://www.sparkasse.de/service/sicherheit-im-internet/was-ist-phishing.html.
Seien Sie auf der sicheren Seite
Handeln Sie schnell, wenn Ihre Karte abhandengekommen ist. Denken Sie auch an Ihre Kreditkarten und das Online-Banking – lassen Sie alles mit nur einem Anruf bei Ihrer Sparkasse oder unter der allgemeinen Sperr-Rufnummer sperren. Der Sperr-Notruf ist deutschlandweit kostenfrei.
Aus dem Ausland wählen Sie bitte die Landesvorwahl für Deutschland, ergänzt um den Sperr-Notruf (zum Beispiel +49 116 116)*. Danach können Sie beruhigt weitere Schritte einleiten.
Weitere Informationen finden Sie unter www.sperr-notruf.de.
Wichtig: Bei Diebstahl oder Raub sollten Sie sofort Anzeige bei der Polizei erstatten.
* Anrufe aus dem Ausland sind kostenpflichtig. Die Höhe der Gebühren richtet sich nach den Preisen des jeweiligen ausländischen Anbieters/ Netzbetreibers.
Hinweise zu Phishing
Was ist Phishing? Wie läuft ein Angriff ab?
NoPhish Videos zum Thema Phishing und betrügerische Nachrichten
Erfahren Sie in 3 kurzen und informativen Videos der SECUSO Research Group, wie Sie Absender in E-Mails prüfen, gefährliche Anhänge und Links erkennen und warum Sie trotz Stress und Zeitdruck manchmal genauer hinschauen sollten:
- NoPhish Video I: Absender prüfen & gefährliche Anhänge erkennen
- NoPhish Video II: Gefährliche Links erkennen
- NoPhish Video III: Trotz Stress, Zeitdruck oder Euphorie genau hinschauen
Auszug aus der Wikipedia:
[Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passwörter ernten) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht. Die Schreibweise mit Ph- entstammt ferner dem Hacker-Jargon (vgl. Phreaking).
Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.
Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.]
Dieser Text basiert auf dem Artikel Phishing aus der freien Enzyklopädie Wikipedia und steht unter der Lizenz Creative Commons CC-BY-SA 3.0 Unported (Kurzfassung). In der Wikipedia ist eine Liste der Autoren verfügbar. Stand: 16.02.2022
Die häufigsten Varianten:
Dieser Angriff besteht in der Regel aus 2 Schritten.
Schritt 1:
Zunächst müssen die Betrüger Ihre Zugangsdaten zum Online-Banking ergaunern. In der Regel erfolgt dies durch den millionenfachen Versand von Spam-E-Mails. Sie erhalten eine E-Mail - vermeintlich von Ihrer Sparkasse - in der Sie aufgefordert werden, Daten zu aktualisieren, zu bestätigen etc. Sollten Sie nicht darauf reagieren, drohen angeblich negative Auswirkungen, z. B. die Sperrung Ihres Kontos oder eine Gebührenbelastung.
Klicken Sie aufgrund der vorgetäuschten Dringlichkeit auf den Link, öffnet sich eine Seite, die der tatsächlichen Internet-Filiale der Sparkasse nachempfunden ist. Es werden nun sensible Daten von Ihnen abgefragt: Vor- und Nachname, Adresse, Telefonnummer, Kartennummern, Zugangsdaten (Anmeldename und PIN), Personalausweisdaten. Eventuell wird Ihnen nach dem Absenden der Daten ein Anruf der Sparkasse angekündigt.
Die Betrüger sind nun im Besitz Ihrer sensiblen Daten!
Schritt 2:
Nachdem Ihre Zugangsdaten und weitere Daten ergaunert wurden, passiert Folgendes: Die Betrüger nutzen Ihre preisgegebenen Online-Banking-Zugangsdaten, um sich im Online-Banking anzumelden und weitere Daten von Ihnen auszuspionieren: Kontostände, Umsätze, Adressdaten, die Daten Ihres Sparkassenberaters, …
Da die Betrüger ohne Freigabe durch Sie keine Aufträge (Überweisungen, Limitänderung, Adressänderung) auslösen können, werden Sie im nächsten Schritt angerufen. Ziel des Anrufs ist es, Sie zur telefonischen Freigabe einer betrügerischen Überweisung zu verleiten.
Die Anrufer geben sich oftmals als Mitarbeiter:in der Sparkasse oder anderer Firmen (z. B. Microsoft) aus. Selbst eine Manipulation der angezeigten Rufnummer ist möglich, sodass der Eindruck erweckt wird, der Anruf stamme von einem Anschluss der Sparkasse.
Parallel zum Anruf nutzen die Betrüger Ihre Zugangsdaten, um über das Online-Banking Überweisungen zu initiieren. Unter einem Vorwand werden Sie nun aufgefordert, eine TAN zu nennen (chipTAN) oder den Auftrag über die S-pushTAN-App (pushTAN) freizugeben.
Kommen Sie der Aufforderung nach, überweisen Sie Geld an Betrüger!
Auch dieser Angriff besteht in der Regel aus 2 Schritten.
Schritt 1:
Zunächst müssen die Betrüger Sie dazu bringen, unbemerkt einen Virus oder Trojaner auf Ihrem Rechner zu installieren. In der Regel erfolgt dies ebenfalls durch den Versand von Spam-E-Mails oder SMS. In diesen betrügerischen Nachrichten werden Sie beispielsweise darüber informiert, dass eine Rechnung fällig ist oder ein Paket nicht zugestellt werden konnte. Weitere Informationen erhalten Sie aber nur, wenn Sie den Anhang der Nachricht öffnen. Da Sie neugierig sind und weitere Informationen benötigen, öffnen Sie den Anhang. Hierdurch installieren Sie aber eine Schadsoftware auf Ihrem Rechner.
Seien Sie deshalb vorsichtig beim Öffnen von Anhängen, selbst wenn Ihnen der Absender eigentlich bekannt ist, z. B. eBay, Amazon, Netflix etc.
Schritt 2:
Der eigentliche Angriff beginnt und die Schadsoftware wird aktiv, sobald Sie sich im Online-Banking anmelden. Ihnen wird beispielsweise eine fehlerhafte Gutschrift auf Ihrem Konto angezeigt, die vom Auftraggeber der Zahlung zurückgefordert wird. Das Perfide: Die Schadsoftware ist in der Lage, sowohl Ihren angezeigten Kontostand als auch die Umsatzanzeige zu manipulieren. Hierdurch entsteht für Sie der Eindruck, dass die Gutschrift tatsächlich stattgefunden hat. Sollten Sie die Rückbuchung dieser Überweisung nicht veranlassen, droht angeblich eine Sperrung Ihres Kontos.
Kommen Sie der Aufforderung nach, überweisen Sie Geld an Betrüger!
Es gibt auch Schadsoftware, die Ihre Überweisungsdaten im Hintergrund austauscht. Beispiel: Sie möchten 500 Euro auf Ihr Sparkonto überweisen. Beim Absenden der Überweisung ändert der Bankingtrojaner Ihre Eingaben unbemerkt ab. Ihre Sparkasse erhält also die betrügerischen Überweisungsdaten statt Ihren Auftrag. Im TAN-Generator und der S-pushTAN-App werden Ihnen nun die unbekannte IBAN und möglicherweise ein anderer Betrag zur Überprüfung angezeigt. Wenn Sie die Daten nicht kontrollieren und den Auftrag freigeben, überweisen Sie also nicht 500 Euro auf Ihr Sparkonto, sondern an eine fremde Bankverbindung.
Denkbar ist aber auch, dass Sie von der Schadsoftware lediglich zur Freigabe einer Test- oder Demoüberweisung aufgefordert werden.
Es ist wichtig, dass Sie die Daten, die Ihnen im TAN-Generator oder der S-pushTAN-App angezeigt werden, gründlich prüfen. Sowohl die Empfänger-IBAN als auch der Überweisungsbetrag werden Ihnen zur Kontrolle angezeigt. Sollten die Daten von Ihrem Auftrag abweichen, brechen Sie die Überweisung ab, geben Sie den Auftrag nicht frei und melden Sie sich bei Ihrer Sparkasse!
Ziel ist es auch hier immer, Sie zur Freigabe des Auftrag zu verleiten.
Es gibt weder Rückbuchungen noch Demo- oder Testüberweisungen im Online-Banking!
Sicherlich gibt es noch weitere Betrugsvarianten, die hier nicht genannt sind. Betrüger entwickeln immer neue Methoden, um Menschen hinters Licht zu führen und Geld zu ergaunern.
Grundsätzlich gilt aber:
Die aktuellen Freigabeverfahren Ihrer Sparkasse – chipTAN und pushTAN – sind sicher und können nicht geknackt oder umgangen werden. Deshalb erfolgen Angriffe immer gegen das schwächste Glied in der Kette: den Menschen. Sie werden manipuliert und zur Freigabe eines Auftrags (pushTAN) oder Eingabe einer TAN (chipTAN) verleitet, um unbewusst betrügerische Überweisungen zu autorisieren. Sie haben aber immer die Möglichkeit, durch aufmerksame Prüfung der Daten, die in der S-pushTAN-App oder im TAN-Generator angezeigt werden, einen Betrugsversuch zu erkennen und zu verhindern.
Sicherheitstipps
Beachten Sie ein paar einfache Regeln bei der Nutzung Ihres Online-Bankings. So schützen Sie Ihr Konto vor unberechtigten Zugriffen.
PIN und TAN
Nach dem ersten Anmelden im Online-Banking müssen Sie die vorgegebene Start-PIN ändern. Die neue PIN sollte besonders sicher sein:
- Verzichten Sie auf einfache Kombinationen, wie Vorname und Geburtsdatum.
- Versuchen Sie es mit Eselsbrücken oder mit leicht zu merkenden Sätzen und deren Wortanfängen: So wird aus „Ich esse 5 saure Drops“ das Passwort: „Ie5sD“.
- Entscheiden Sie sich hier für eine Kombination, die Sie sonst nirgendwo benutzen.
Wenn Sie sich im Online-Banking angemeldet haben, achten Sie darauf, dass die richtige Adresse Ihrer Sparkasse in der Adressleiste des Browsers angezeigt wird – in grün und in Verbindung mit einem Schloss-Symbol.
Speichern Sie Ihre Zugangsdaten zum Online-Banking (Anmeldename und PIN) nicht ab, auch nicht, wenn Sie dazu aufgefordert werden.
Teilen Sie niemandem Ihre PIN und TAN mit, weder per E-Mail noch telefonisch – Ihre Sparkasse wird Sie niemals nach diesen Daten fragen.
Nach dem Generieren einer TAN werden Ihnen auf dem Display Ihres chipTAN-Generators oder Ihres Mobiltelefons neben der gültigen TAN die wichtigsten Auftragsdaten angezeigt. Falls die Daten nicht mit Ihren Eingaben übereinstimmen, brechen Sie die Aktion ab und setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung.
Weitere Leistungen
Die nachfolgenden Leistungen werden zudem von Ihrer Sparkasse angeboten, damit Sie das Online-Banking Ihrer Sparkasse unbesorgt nutzen können und bei Zahlungen im Internet auf die gewohnte Sicherheit nicht verzichten müssen.
Sichere E-Mail
Möchten Sie vertrauliche Informationen oder Daten an uns senden, verwenden Sie das Secure Webmail Portal. Ihr Berater informiert Sie gerne über die Details.
giropay
Mit giropay können Sie sicher online bezahlen, in Echtzeit Geld senden1 und anfordern sowie Ihre Volljährigkeit nachweisen. Bezahlen Sie ohne Freischaltung mit den Zugangsdaten Ihres Online-Bankings, mit Ihrer digitalen Sparkassen-Card (girocard)2 in der App „Mobiles Bezahlen“ oder Sie nutzen dafür Ihren giropay-Benutzernamen plus Passwort. So oder so genießen Sie unseren Käuferschutz mit Geld-zurück-Garantie.
Apple Pay
Mit Apple Pay bezahlen Sie in Apps und im Web schnell, sicher und vertraulich – ohne lange Formulare ausfüllen zu müssen. Dafür fügen Sie zuvor Ihre digitale Sparkassen-Card2, Sparkassen-Kreditkarte oder Visa Basis2 zu Apple Pay hinzu.
S-ID-Check
Mastercard® Identity Check™ und Visa Secure bieten Ihnen mit dem 3-D Secure-Sicherheitsverfahren bei allen teilnehmenden Händlern höchste Sicherheit für Ihre Zahlungen mit der Sparkassen-Card (Debitkarte) und der Sparkassen-Kreditkarte im Internet. Sie bestätigen Ihren Online-Einkauf komfortabel per App. Mit 3-D Secure sind Ihre Zahlungen im Internet sicher.
1Entspricht einer Überweisung nach standardisierter Zahlungskontenterminologie.
2 Sofern im Text von Sparkassen-Card und/oder girocard die Rede ist, handelt es sich um eine Debitkarte.
