„Grüße aus San Lugano“
Erfahrungsbericht eines Kunden zu einem Nexi-Betrugsversuch
Informatik beschäftigt mich sowohl in meinem beruflichen als auch in meinem privaten Leben. Auch meine Familie mahne ich immer zur Vorsicht, vor allem, wenn es um die Weitergabe persönlicher Daten und um Geldgeschäfte geht. Trotzdem ist mir neulich etwas passiert, das mir vor Augen geführt hat, wie ausgetüftelt Betrüger im Netz vorgehen. So, dass eine Irreführung leicht passiert. Hier ist meine Geschichte.
Diese Telefonnummer war eine normale Handynummer, die keine Nexinummer war. Da habe ich zuerst kurz nachgedacht. Aber dann dachte ich, was kann schon passieren, wenn ich anrufe? Im Zweifelsfall unterbreche ich das Gespräch. Zudem wollte ich sichergehen, dass mir kein Betrag abgebucht wird. Es ist klar, persönliche Daten werde ich nicht weitergeben, also kann ein Anruf nicht schaden, „ich rufe ja nur an“.
Neulich erhielt ich eine SMS von Nexi, die von der offiziellen Nexi-Telefonnummer kam, von der ich alle bisherigen SMS von Nexi, z.B. die Mitteilung von mir selbst angefragten Passwörtern, erhalten habe. Sie war in meiner Liste aller Neximitteilungen sichtbar. Daher glaubte ich, dass es eine Mitteilung von Nexi sei.
In der SMS stand, dass von meiner Kreditkarte ein Betrag abgebucht wird. Falls ich das sei, wäre das kein Problem. Falls nicht, sollte ich eine Telefonnummer anrufen, die in der SMS angegeben war. Die SMS war einwandfrei formuliert und klang glaubwürdig.
„Nein, wie mein Benutzername weitergeht, sage ich Ihnen nicht. Jedes Kind weiß, dass man keine Benutzerdaten weitergibt.“
Ich habe die Nummer angerufen. Es antwortete niemand. Aber als ich auflegte, rief mich sofort jemand zurück. Eine männliche Stimme sagte in italienischer Sprache zu mir: „Hallo, hier ist Ihr Nexi-Support. Ich bin von Ihnen angerufen worden. Wir haben hier einen Abbuchungsauftrag für Ihre Kreditkarte. Der Auftrag kommt von einem gewissen Alessandro aus San Lugano. Haben Sie diesen Auftrag gegeben und soll dieser abgebucht werden?“
Ich antwortete, dass ich diesen Auftrag nicht gegeben hatte und ich in Bozen und nicht in San Lugano sei.
Der Mann fragte mich, ob ich die Abbuchung verweigern möchte, was ich bejahte.
Darauf sagte er: „Das ist in Ordnung, wir blockieren den Abbuchungsauftrag. Bei welcher Bank sind Sie Kunde?“
Hier klingelten bei mir bereits die Alarmglocken, denn Nexi müsste ja schon wissen, bei welcher Bank ich mein Konto habe. Trotzdem antwortete ich: „Bei der Raiffeisenkasse xy“.
Darauf kam die Frage: „Fängt der Benutzername Ihres Kontos mit 5 an?“
Ich bejahte. Später erfuhr ich, dass alle Benutzernamen der Konten mit 5 beginnen und der Anrufer nur vorgaukeln wollte, dass er meine Daten bereits kenne.
Der Mann fragte “Und wie geht der Benutzername weiter?
Da antwortete ich ihm: „Nein, wie mein Benutzername weitergeht, sage ich Ihnen nicht. Jedes Kind weiß, dass man keine Benutzerdaten weitergibt.“
Er meinte: „Ja das stimmt. Aber dieses Telefonat wird aufgenommen und ich bin dafür da, Ihnen zu helfen, dass nicht etwas abgebucht wird, das Sie nicht in Auftrag gegeben haben.“ Im Hintergrund hörte ich ein Callcenter-Stimmengewirr.
In diesem Moment klingelte es wieder bei mir innerlich. Ich sagte: „Dass das Telefonat aufgezeichnet wird, hat null Wert. Das ist kein Sicherheitsbeweis.“ Er: „Also wollen Sie den Abbuchungsauftrag nicht stornieren?“ Ich: „Ja, den Abbuchungsauftrag will ich auf jeden Fall stornieren, den habe nicht ich gegeben.“
Langsam merkte ich, dass da etwas nicht stimmt. Ich war in der Zwickmühle. Einerseits wollte ich keinen Betrug auf meiner Kreditkarte zulassen, andererseits auch keine Benutzerdaten weitergeben.
Er sagte: “Ja, wenn Sie wollen, dass der Abbuchungsauftrag, den Sie nicht gegeben haben, storniert wird, müssen Sie mir den kompletten Benutzernamen angeben. Nur so kann ich den Auftrag sofort stoppen.“
In diesem Moment sagte ich ihm die ersten Teile meines Benutzernamens. Die letzten drei Zahlen lies ich weg. „Das wäre mein Benutzername“.
Er sagte: „Da fehlt noch etwas“.
Ich: „Stimmt. Man soll nie den Benutzernamen mitteilen. Nexi verlangt keine Daten, weder per Telefon noch per E-Mail oder SMS “.
Er sagte: „Ich bin vom Nexi-Support und dazu da, die Stornierung des Abbuchungsauftrags, den Sie nicht gegeben haben, durchzuführen. Nur mit dem Benutzernamen ist diese Stornierung möglich. Ich bin da, um Ihnen zu helfen“.
Er sprach immer sehr ruhig, sicher und gelassen.
Ich: „Nein, das möchte ich zuerst mit meiner Bank abklären und prüfen, ob diese Abbuchung wirklich da ist.“
Er: „Das ist kein Problem. Nur, wenn dieses Telefonat abgebrochen wird, bin ich gezwungen, diese Abbuchung zu autorisieren. Damit wird der Betrag von Ihrer Kreditkarte abgebucht. Ich kann Sie nicht nochmal anrufen. Mit dem Ende dieses Telefonats ist diese Anfrage erledigt.“
Ich kam unter Druck, das war also meine letzte Chance, eine betrügerische Abbuchung von meiner Kreditkarte zu verhindern. Auf keinen Fall wollte ich, dass der Betrag von meinem Konto abgebucht wurde. „Wenn ich jetzt auflege, dann ist das Geld weg“, dachte ich.
Daher gab ich ihm die letzten Nummern meines Benutzernamens. In diesem Moment tauchte eine Push-Nachricht auf meinem Handy auf, anhand der ich mich einloggen sollte, also auch mein Passwort bekanntgeben.
Er sagte: „Diese Anfrage mittels Push-Nachricht müssen Sie autorisieren, damit ich den Auftrag stornieren kann“.
„Wie komme ich jetzt schnell aus diesem Telefonat raus und unterbreche ‚unfreiwillig‘ das Gespräch?“
In diesem Moment läuteten bei mir alle Alarmglocken und der Sachverhalt war klar: Betrüger. „Wie komme ich jetzt schnell aus diesem Telefonat raus und unterbreche ‚unfreiwillig‘ das Gespräch?“. Also tat ich so, als würde ich ihn nicht mehr hören „Hallo, hallo, hören Sie mich? Ich höre Sie nicht mehr“ sagte ich und legte auf.
Daraufhin klingelte das Handy gleich nochmal. Er rief mich nochmal an. Das war für mich der Beweis, dass er ein Betrüger war. Denn zuerst hatte er ja behauptet, dass er mich nicht nochmal anrufen könne und dass, sobald ich den Hörer auflege, der Auftrag durchgeht. Und jetzt ruft er doch nochmal an?
Über die Nexi-App am Handy prüfte ich sofort, ob mir etwas von meiner Kreditkarte abgebucht worden war und blockierte die Karte. Da es um die Mittagszeit war, konnte ich den Kundenservice der Raiffeisenkasse nicht gleich anrufen. Als ich meine Beraterin erreichte, wusste sie sofort, dass es sich um einen Betrugsversuch handelte „San Lugano“.
Sie stellt auch die richtigen Fragen an mich und gemeinsam überlegten wir, was wir am besten tun konnten. Die Beraterin machte den Vorschlag mein E-Banking-Konto auf „Ansicht“ zu stellen, so dass niemand mehr online davon abbuchen konnte.
Am Tag darauf ging ich in die Raiffeisenkasse und ließ mir einen neuen Benutzernamen ausstellen. Schließlich hatte ich diesen preisgegeben. Sicher ist sicher. Denn es könnte ja sein, dass der Betrüger nochmal versucht, mir eine Push-Nachricht zu senden und in der Geschwindigkeit, die wir gewohnt sind, alles gleich zu erledigen, könnte ich eventuell doch einen Kontozugriff autorisieren.
Im Nachhinein wurde mir klar, dass der Betrüger es nicht auf meine Kreditkarte, sondern es auf den Zugriff meines E-Banking-Konto abgesehen hatte. Zwei Tage nach diesem Vorfall erhielt ich nochmal eine SMS aus „San Lugano“, diesmal mit Rechtschreibfehler und einer anderen Telefonnummer zum Zurückrufen.
Mein Rat: Das Gleiche, was für Web-Links in SMS oder E-Mails gilt, trifft auch auf Telefonnummern zu: Rufen Sie Ihre Bank selbst an und klicken Sie nicht auf vorgegebene Links. Tippen Sie die offizielle Adresse des Raiffeisen- oder Nexi-Onlineportals selbst ein, um auch außerhalb der Geschäftszeiten zu überprüfen, ob da wirklich ein Abbuchungsauftrag vorliegt.
Patrick V. aus Kaltern
Patricks Bericht beschreibt die klassische Dynamik der in den letzten Monaten in Südtirol durchgeführten Betrügereien. Die wichtigste Technik ist das so genannte Social Engineering: Menschen so zu manipulieren, um vertrauliche Informationen zu stehlen. Der Übeltäter nutzt die menschliche Psychologie aus und vermittelt dem Opfer ein Gefühl der Not und der Eile. Dann um beweget er das Opfer zur Herausgabe vertraulicher Daten wie Passwörter oder Kontodaten, um Geld zu erpressen oder seine Identität zu stehlen.
In diesem speziellen Fall kommen zwei Techniken zum Einsatz: Smishing, eine Form des Phishings, bei der Textnachrichten als Angriffsplattform genutzt werden, und Vishing, bei dem stattdessen ein Telefonanruf verwendet wird. Einige Beispiele aus Patricks Bericht zeigen, dass es sich um Social Engineering handelt:
- Die Betrüger weisen darauf hin, dass der Benutzercode mit der Zahl 5 beginnt, um den Anschein zu erwecken, sie seien im Besitz vertraulicher Informationen. In Wirklichkeit beginnen alle Konten mit 5. Dies ist ein Beispiel für Benutzermanipulation.
- Betrüger am Telefon sind darauf „trainiert“, die benötigten Informationen zu erhalten. Sie sind daher sehr überzeugend und selbstbewusst.
- Ein weiteres grundlegendes Element dieser Techniken wird in der Geschichte ebenfalls hervorgehoben: das Gefühl der Dringlichkeit: „Wenn Sie den Hörer auflegen, bin ich gezwungen, die Transaktion zu genehmigen, und ich kann Sie nicht mehr zurückrufen“.
Wie kannst du dich schützen?
- Die Bank bittet dich niemals, Handlungen per SMS durchzuführen (Links anklicken, Anrufe tätigen).
- Wende dich niemals an eine Nummer, die du nicht kennst und die dir per SMS mitgeteilt wurde. Verwende immer die offiziellen Nummern deiner Bank oder von Nexi.
- Gib niemals deine persönlichen Daten (in diesem Fall den Zugangscode für das Online Banking) am Telefon weiter: Deine Bank wird dich niemals danach fragen.
- Genehmige niemals Vorgänge (d.h. Zugang oder Transaktionen), die du nicht kennst. Wende dich in einem solchen Fall an deine Bank, die das überprüfen kann.
Alle diese Informationen findest du auch unter https://www.raiffeisen.it/de/cybersecurity.html
