Vorsicht, neuer TAN-Trick beim Online-Banking
Bankgeschäfte werden heute überwiegend via Online-Banking erledigt. Das ist praktisch, geht von jedem Endgerät aus und ist auch sicher. Am Anfang beziehungsweise früher vielleicht weniger, da für den Zugang zum Bankkonto oft nur ein PIN oder ein Passwort eingegeben werden musste. Das machte es für Kriminelle „einfach“, doch die Europäische Union hat 2019 nachgebessert. Und zwar mit einem Beschluss, dass für jede Anmeldung und für jede Überweisung eine TAN notwendig ist. Diese wird entweder über einen TAN-Generator generiert oder auf das Smartphone gesendet. Betrügern reicht es demnach nicht mehr aus, wenn sie irgendein Passwort kennen, ohne den Empfang einer einmaligen TAN geht nichts mehr. Daran lässt sich auch nichts manipulieren, allerdings zielt dieser Trick auf Vertrauen und auf direkten Kontakt ab. Erfolg haben die Kriminellen natürlich nicht immer, doch am Ende scheint es sich noch immer zu lohnen.
So funktioniert der TAN-Trick
Grundsätzlich besteht dieser Trick aus zwei Schritten. Los geht es mit der traditionellen Phishing-Mail, die bei solchen Aktionen sehr beliebt ist. Verständlich, denn man kann die Fake-Nachrichten erstaunlich echt nachbauen und ein Versand in großer Zahl ist ebenfalls möglich. Viele werden den Schwindel erkennen und die Mail löschen, manche allerdings fallen darauf rein und denken, dass die Nachricht tatsächlich von ihrer Bank kommt. Ein Klick auf den Link führt zur Eingabe einiger Daten, in der Regel sind es die Login-Daten fürs Online-Banking und persönliche Daten. Die erste Hürde ist damit überwunden.
Nun geht es um die TAN, die in doppelter Ausführung benötigt wird. Einmal zum Einloggen und einmal für die Überweisung. Dafür wird zum Telefon gegriffen und das Opfer angerufen. Die Nummer ist aber nicht irgendeine, sondern durch eine Manipulation wird augenscheinlich die der Hausbank angezeigt. Das schafft großes Vertrauen und verbessert die Chance auf Erfolg maßgeblich. Die Geschichte ist dann die, dass man ein Mitarbeiter der Bank ist, auf dem Konto ein Fremdzugriff registriert wurde und nun gemeinsam die Entsperrung durchgeführt werden soll. Das ist natürlich Blödsinn, denn für diesen Schritt wäre in echt die Hilfe des Kunden nicht notwendig. Des Weiteren wird ein Mitarbeiter niemals die Aussage tätigen, dass irgendwo persönliche Daten eingegeben werden müssen. Im Rahmen dieser Geschichte wird nun geschickt nach den TANs gefragt und in der Aufregung merkt man vielleicht auch gar nicht, dass mit der zweiten Nummer eine ausgehende Überweisung bestätigt wird. Das war es dann auch schon, die Betrüger haben die Login-Daten und die TAN-Nummern.
Was muss im Ernstfall getan werden?
Ist man einem Phishing-Angriff zum Opfer gefallen, dann muss zunächst sofort das Bankkonto gesperrt werden. Dafür hat jede Bank ihren eigenen und kostenlosen Kartensperrservice. Im nächsten Schritt ist die Meldung des Vorfalls an die Bank zu tätigen, wobei auch das unverzüglich passieren sollte. Die Kontaktaufnahme per Telefon (empfehlenswert) oder E-Mail ist unbedingt selbst zu recherchieren, denn die Daten in der Phishing-Mail stimmen natürlich auch nicht. Im Idealfall hat man die Rufnummer bereits eingespeichert. Im Anschluss werden von der Bank neue Zugangsdaten ausgestellt, die den Zugang zum Online-Banking wieder ermöglichen.
Tipp: Unbedingt über eine mögliche Schadensregulierung sprechen, denn in vielen Fällen haftet eine Versicherung dafür. Außerdem sollte eine Anzeige bei der Polizei gemacht werden.