Digitale Debit- oder Kreditkarten sind digitale Abbilder ihrer physischen Karten und können in der Regel in aktuelle Smartphones oder eine Smartwatch eingebunden werden. Ärgerlich wird dies, wenn das die Täter machen und somit fremde Karten verwenden können.
Unsere Ermittlerinnen und Ermittler der Polizeidirektion Hannover machten uns auf ein aktuelles Phänomen aufmerksam, welches in den vergangenen Wochen zu einigen Anzeigen geführt hat.
Zunächst aber eine kleine Erklärung, wie der Vorgang mit der digitalen Karte offiziell abläuft:
In der Regel richtet eine Bankkundin/ein Bankkunde, wenn die Bank diese Möglichkeit zur Verfügung stellt, die digitale Karte von einer Debit oder Kreditkarte im eigenen Smartphone und/oder auf der Smartwatch ein. Das entsprechende Gerät muss dafür NFC als Funktion haben und sollte über das aktuelle Betriebssystem verfügen. Einige Banken bieten dafür spezielle Pay Apps an. Für Android nennt sich dann die Nutzung „Google Pay“ und für iOS „Apple Pay“. Je nach Bank/Kreditinstitut und Gerät wird die digitale Karte direkt und/oder ggf. über das Onlinebanking oder die Onlinebanking App hinzugefügt. Eine allg. Anleitung für Apple finden Sie hier. Eine allg. Anleitung für Google Pay finden Sie hier. Zudem sollten Sie die Vorgaben Ihrer Bank beachten.
In der Regel wird dann noch die offizielle Bestätigung der Einrichtung z.B. durch eine TAN-Eingabe im Onlinebanking oder der TAN-App Ihrer Bank benötigt.
In iPhones (als Beispiel) wird dann die digitale Karte im sogenannten „Wallet“ hinterlegt. Mit einem Doppelklick auf eine Taste am Gerät (z.B. Seitentaste) wird das Wallet ausgelöst und die hinterlegte Karte eingeblendet. Nun erfolgt beim Bezahlen an der Kasse noch die Freigabe mittels Smartphone-PIN (nicht der PIN der physischen Debitkarte!), Face-ID oder Fingerabdruck. Danach bekommt man eine kurze Rückmeldung über die Zahlung auf dem entsprechenden Gerät. Erst im eigentlichen Kontoauszug sieht man später auch die Zahlung. Die physische Karte und die zugehörige PIN werden beim Bezahlen nicht benötigt. Ebenfalls entfällt die Eingabe der Karten-PIN beim Lesegerät an der Kasse.
Wie schaffen es nun die Täter, die fremde Karte für sich einzurichten?
Mittels einer Phishingseite kommen die Täter zunächst an die Daten der Debit-Karte der potentiellen Opfer. Am Folgetag rufen die Täter die potentiellen Opfer an und geben sich als Bankmitarbeiter aus. Im Gespräch wird der Angerufene aufgefordert, eine Push-TAN zu bestätigen, die dieser während des Gespräches erhält. Wird dieses durchgeführt, wird die jeweilige Karte sofort auf dem Täterhandy freigeschaltet. Nun können die Täter das eigene Smartphone mit der fremden digitalen Karte beim Bezahlen einsetzen ohne selber die physische Debitkarte mit PIN zu besitzen.
Wie kann ich dieses verhindern?
Zunächst sollten Sie beim Onlinebanking vorsichtig sein. Rufen Sie Ihre Webseite für das Onlinebanking nur über die Ihnen bekannte offizielle Webadresse auf. Nutzen Sie nicht den Umweg über die Suchmaschinen! Hierbei besteht u.a. die Gefahr, dass Täter es schaffen, gesponserte gefälschte Webseiten so zu platzieren, dass diese noch vor den offiziellen Webseiten der echten Banken im Suchergebnis auftauchen.
Ebenfalls sollten Sie vorsichtig sein, wenn Sie Mails im Aussehen Ihrer Bank erhalten. Hier behaupten die Täter eine plötzliche Sperrung, Verifizierung, Aktualisierung, Änderung der Rechtslage usw. aufgrund derer Sie schnell tätig werden müssen. Ein Link in der Mail führt dann jedoch zu einer Phishingseite.
Sollten Sie einen Anruf eines angeblichen Bankmitarbeiters bekommen, dann lassen Sie sich nicht dazu verleiten, sensible Daten am Telefon im Gespräch zu nennen/bestätigen. Ebenfalls sollten Sie nicht eine TAN eingeben/nennen/bestätigen.
Banken und Kreditinstitute fordern Sie niemals per Telefon oder Mail/Chat/Webseite zu solchen Maßnahmen auf!
Klären Sie im Zweifel solche Aufforderungen mittels Kontakt zum echten Kundensupport.
Prüfen Sie in Ihrem Onlinebanking, welche Karten/Geräte offiziell für Ihr Konto hinterlegt sind.
Was kann ich tun, wenn ich den Betrug bemerke?
Sollten Sie das Phishing oder den Anruf eines falschen Mitarbeiters erkannt haben, sollten Sie sich unverzüglich bei Ihrer Bank melden. Ggf. müssen Sie noch weitere Maßnahmen (je nach übermittelten Daten beim Phishing) durchführen.
Sollten Sie die unberechtigten Abbuchungen auf Ihrem Kontoauszug feststellten, melden Sie sich ebenfalls bei Ihrer Bank. Prüfen Sie die im Onlinebanking hinterlegten Geräte/Karten.
Erstatten Sie im Anschluss Anzeige bei Ihrer örtlichen Polizeidienststelle.