Kreditkartenphishing - Maßnahmen?

[Mimir]

Hi zusammen,

ein Bekannter wurde kürzlich Opfer eines Kreditkartenbetruges. (die Karte wurde bereits gesperrt)

Scheinbar wurde von einem Betrüger eine digitale Kreditkarte erstellt und dann in einigen Geschäften zum kontaktlosen Bezahlen verwendet.

Ich versuche gerade zu unterstützen/beraten, welche Angriffsvektoren es gegeben haben könnte und wie er sich davor schützen kann und vor allem welche Maßnahmen man jetzt ergreifen sollte.


Zum einen wäre da die Möglichkeit eines gezielten Hacks/Angriffs auf die Person. Halte ich ehrlich gesagt für unwahrscheinlich, aber wissen kann man es nie… Die einzig wirksame Vorsichtsmaßnahme wäre dann aber sämtliche Geräte zu formatieren und neu einzurichten sowie sämtliche Passwörter zu ändern, angefangen bei der Mailadresse.

Scheint mir etwas radikal aber zumindest passwörter auf einem anderen PC ändern kann ja nicht schaden?


Die zweite Möglichkeit wäre ein Phishing Angriff. Er meinte zwar, dass er auf keinen Link in einer Email geklickt hat, aber ich würde ungern auf solche Aussagen vertrauen.
Mir erscheint es daher sinnvoll wenn möglich alle Mails der letzten Wochen mal durchzusehen und auf potenziellen Phishingverdacht zu prüfen. Praktisch sämtliche Mails finden, die den Leser zu irgend einer Interaktion auffordern. Ggf auch nochmal sämtliche Kontakte auf Social Media und Verkaufsplattformen/Marktplätzen prüfen.


Mehr fällt mir ehrlich gesagt nicht ein.

Habt ihr noch Ideen oder tipps welche Maßnahmen man jetzt ergreifen sollte und welche Angriffsvektoren man noch prüfen könnte?

Wie gesagt, die Karte ist bereits gesperrt, aber letztendlich hat er die Befürchtung, dass es wieder passiert.

Ich denke mehr, als mit etwas glück die Ursache finden (phishing Mail oder ähnliches) und dann zur Vorsicht raten kann ich kaum machen?
Oder habt ihr weitere Ratschläge und Tipps?


Ich fühle mich eben in der Angelegenheit aktuell leider etwas überfragt und weiß nicht so recht, wie ich helfen soll.

 

[Dr. McCoy]

Ich halte es für müßig, wochenlang in den Mails zurück zu gehen. Möglicherweise hat er die Mail längst gelöscht.

Scheinbar wurde von einem Betrüger eine digitale Kreditkarte erstellt und dann in einigen Geschäften zum kontaktlosen Bezahlen verwendet.

Wo wurde die digitale erstellt? Im bestehenden KK-Acount, online, hinter einem Login, ergänzend zur physischen KK?

 

[User007]

Hi...

Ihr/Du habt ja anscheinend schon mit Einigem richtig reagiert - Kennwörter wechseln, mögl. überall 2FA/MFA aktivieren, etc. sind da zumind. nicht verkehrt.
Den "Auslöser" zu finden mag zwar zur Beruhigung des eigenen Gewissens und zum Präventionszweck ganz gut sein, aber ich halte das im Privatbereich auch für zu aufwändig - dazu wäre mittlerweile wahrscheinlich auch professionelle Forensik nötig.​

[...] aber letztendlich hat er die Befürchtung, dass es wieder passiert.

Ja, und zurecht - sorry, aber wenn jetzt so viel Befürchtung für einen Wiederholungsfall besteht, dann gibt's nur eins: absolut keine Kreditkarte(n) mehr nutzen!
Allerdings mag das natürlich in heutiger Zeit recht unpraktikabel, zumind. jedoch sehr unkomfortabel, sein - aber genau diese Komfortabilitäten, die wir uns alle so gern gönnen, bieten eben genau solchen Angriffen, die zukünftig auch garantiert nicht weniger sondern eher noch vermehrt auftreten werden, die Sicherheitslücken, wobei natürlich auch der Mensch selbst nach wie vor als Fehlerquelle den größten Angriffsvektor bietet.
Also vllt. zukünftig mit weniger Komfort leben...?! 🤷‍♂️

Btw.:
Es ist ein utopisches Ansinnen nach "absoluter" Sicherheit zu streben - die gibt's einfach nicht und wird's nie geben!
(Was ich darüber denke, kann man in meiner Signatur erfahren. 😉)​

 

[Andy4]

Ich verstehe die Problematik gerade nicht. Die Karte wurde gesperrt und es wurde eine neue Karte beantragt oder nicht? Folglich ist auch die gefäsche Karte, wenn sie denn existiert nicht mehr gültig, weil es keine aktive Nummer mehr damit gibt.

Sag jetzt bitte nicht, dass es ein telefonischer Anruf war und der Mann auf der anderen Seite Bachmann heißt?

 

[xexex]

Ja, und zurecht - sorry, aber wenn jetzt so viel Befürchtung für einen Wiederholungsfall besteht, dann gibt's nur eins: absolut keine Kreditkarte(n) mehr nutzen!

Wenn jemand auf einen Phishing Angriff reinfällt, dann ist eine Kreditkarte noch mit das sicherste Zahlungsmittel. Wenn man hier zusätzliche Sicherheit haben will, nimmt man halt eine Prepaid KK.

Wobei so wie ich den TE verstehe, liegt hier das Problem nicht an der Kreditkarte selbst, sondern das jemand im Namen seines Bekannten eine KK bestellt hat und damit bezahlt hat. Identitätsdiebstahl ist komplett unabhängig vom Zahlungsmittel.

 

[Andy4]

Ich denke leider wirklich, dass der liebe Bekannte ein älterer Herr ist, der angerufen wurde

Und wenn dann jetzt das Argument mit der Kreditkarte kommt. Die wird bei uns allen zur Pflicht. Und wenn es nur eine Debit-Karte ist. Die normalen Maestro-Karten sind Geschichte. Die Banken wollen es ja auch so.

 

[User007]

Identitätsdiebstahl ist komplett unabhängig vom Zahlungsmittel.

Damit hast Du sicherlich 'nen Punkt - indes absolut verhindern lässt er sich eben leider auch nicht. 🤷‍♂️

 

[unlock]

Und wenn dann jetzt das Argument mit der Kreditkarte kommt. Die wird bei uns allen zur Pflicht. Und wenn es nur eine Debit-Karte ist. Die normalen Maestro-Karten sind Geschichte. Die Banken wollen es ja auch so.

Nö, die Kreditkartengesellschaften haben die etablierte Zusammenarbeit aufgekündigt und neue Verträge mit für sie besseren Konditionen vorgelegt. Daher bieten künftig nicht mehr alle Banken Girocards mit Kreditkarten Co-Branding an.

 

[purzelbär]

Ich weiß nicht ob es hier rein passt oder nicht, aber vielleicht sollte sich der Betroffene Schutzhüllen für Kreditkarten, Bankkarten usw zulegen, die davor schützen das die Chips der Karten von Betrügern in Geschäften zum Beispiel ausgelesen werden können. Da war mal vor ein paar Monaten im Fernsehen ein Bericht dran, wie einfach das ginge wenn die Kreditkarten nicht in einer Schutzhülle mit Abschirmfunktion steckten. Ich meine solche Schutzhüllen zum Beispiel: https://www.amazon.de/valonic-Kredi...reditkarten+schutzhülle&qid=1680870029&sr=8-7

 

[User007]

Hmm... also, mal abgesehen davon, dass (zumind. von mir), grad bei diesem Produkt, eine vollumfängliche Abschirmfunktionalität allein wegen der transparenten Seite bezweifelt werden könnte, schlägt dann ja auch wieder die menschlich verhaftete Bequemlichkeit zu, weil für jeden Bezahlvorgang erst wieder (mehr oder weniger) "mühsam" die entsprechende Karte aus der Hülle "gefummelt" werden müßte - praktisch ist wohl doch anders und eben mit einem absoluten Sicherheitsansinnen wenig vereinbar.​

Soweit mir bekannt, taugt diese Art "Hüllen" nur mehr gegen Verschmutzung sowie Abnutzung. 🤷‍♂️

 

[purzelbär]

Solche Schutzhüllen können eine zusätzliche Schutzfunktion sein eben gerade in Geschäften und wenn da viel Leute unterwegs sind, fällt da ein Betrüger in dem Getümmel nicht auf der darauf aus ist NFC Chips auszulesen mit entsprechenden Tools oder Gerätschaften. Siehe auch hier: https://www.google.com/search?client=firefox-b-d&q=NFC+Chips+illegal+auslesen und wer hat heutzutage kein Smartphone?

 

[xexex]

Solche Schutzhüllen können eine zusätzliche Schutzfunktion sein eben gerade in Geschäften und wenn da viel Leute unterwegs sind

Solche Schutzhüllen können auch eine Aluhutfunktion haben..... Ich empfehle dir die Beiträge unter dem "Link" den du gepostet hast auch zu lesen.

Hartnäckig hält sich die Mär, dass es möglich wäre, unbemerkte Abbuchungen vorzunehmen. Was ist daran? Um von einer kontaktlosen Karte etwas abzubuchen, benötigt man ein zertifiziertes Zahlungsterminal mit Verbindung zu einem Zahlungsdienstleister. Damit ist man bekannt und nicht mehr in der Anonymität. Alle Transaktionen sind nachvollziehbar, betrügerische Versuche werden umgehend zurück abgewickelt. Der Aufwand aus Sicht des Betrügers steht auch in keinem Verhältnis zum möglichen Ertrag!
https://www.it-finanzmagazin.de/nfc-risiko-technisches-halbwissen-63303/

 

[purzelbär]

Ich empfehle dir die Beiträge unter dem "Link" den du gepostet hast auch zu lesen.

Habe ich wenn auch nur teilweise. Ein Auszug aus einem:

Kaufen Sie sich eine Schutzhülle​

Wenn Sie dennoch Angst vor Betrug haben, sollten Sie sich eine Schutzhülle zulegen. Zahlreiche Online-Händler bieten mittlerweile Schutzhüllen, die jegliche Funksignale ablocken. So ist es unmöglich, dass Ihr NFC-Chip aktiviert wird, wenn die Karte in der Hülle ist. Dadurch können Sie sicherstellen, dass Betrüger auch auf kürzeste Distanz keine Chance haben, eine unautorisierte Zahlung von Ihrer Karte durchzuführen.

Quelle: https://www.bezahlen.de/schutz-vor-nfc-betrug.php

 

[xexex]

Habe ich wenn auch nur teilweise. Ein Auszug aus einem:

Wunderbar ausgedrückt....

Wenn Sie dennoch Angst vor Betrug haben, sollten Sie sich eine Schutzhülle zulegen

Man sollte dann auch den gesamten Text lesen...

Dafür ist aber natürlich auch das Risiko höher. Das liegt zum einen daran, dass bei jeder Transaktion bis zu 25 Euro und nicht nur 20 Euro ohne Eingabe einer PIN ausgegeben werden können.

Also potentiell existiert die Gefahr, dass jemand mit einem manipulierten Lesegerät und einer gefälschten Identität dir 25€ klaut... Was kostet nochmal so eine Hülle? Aluhut eben... Wenn ein Dieb dir Geld klauen will, betreibt er keinen solchen Aufwand für ein paar Münzen.

Es ist und bleibt eine Mär, an der sich nur Firmen eine goldene Nase verdienen, die unwissenden solche "Schutzvorrichtungen" verkaufen.

Insgesamt lässt sich festhalten, dass Sie gegen Betrug sehr leicht vorsorgen können. Zum einen gibt es bislang kaum Betrugsfälle. Zum anderen ist der Tatbestand auf Grund der geringen möglichen Schäden für Betrüger wenig interessant.

 

[Mimir]

Erstmal vielen Dank für eure Antworten.

Schonmal gut zu Wissen, dass es euch auch nicht anders geht, als mir und es wenig gibt, was man in der Situation konkret tun könnte.


Letztendlich hat sich der Grund mittlerweile auch aufgelöst. Es war tatsächlich Phishing.
Heißt, ein "Bankangestellter" hat angerufen und gebeten, das TAN Verfahren zu prüfen, weil verdächtige Kontovorgänge registriert wurden. (Es war letztendlich auch ne digitale EC Karte die damit erstellt wurde und keine Kreditkarte, mein Fehler) Nur mit Überprüfung des TAN Verfahrens kann angeblich sichergestellt werden, dass das Konto nicht augeblicklich gesperrt wird, um größeren Schaden zu vermeiden.

Keine Ahnung um was es genau ging, wie es formuliert wurde usw, aber scheint wohl ziemlich überzeugend gewesen zu sein. Was ich natürlich nachvollziehen kann. Man versucht Verunsicherung beim Opfer auszulösen, um dann eine "Lösung" anzubieten bzw. das Opfer zu verpflichten, die Daten rauszugeben, in dem Glauben in dem Moment das einzig richtige zu tun.

Leider ist er drauf reingefallen und wollte es zuerst nicht zugeben oder hat es wahrscheinlich nicht realisiert oder glauben können, dass dieser Anruf der Grund war. Tja, so kanns laufen...


Ist natürlich alles zur Anzeige gebracht worden, aber ich gehe stark davon aus, dass dabei nichts herauskommen wird... Zum Glück war die Summe jetzt nicht sehr hoch (weniger als ein Monatslohn). Das tut zwar weh ist aber nicht existenzbedrohend. Der schock sitzt trotzdem.

Ach ja, bekannter ist mitte 30. Kein "älterer Herr". Mir und auch ihm absolut unbegreiflich wie man darauf hereinfallen kann.

Wobei ich auch sagen muss, dass ich schonmal den ein oder anderen Anruf bekam und zwar irgendwann gemerkt hatte, dass es ein Phishing versuch war ich aber im nachhinein viel zu lange gebraucht habe, um es wirklich zu realisieren. Hab dort natürlich auch nichts preisgegeben, aber ich kann schon zu nem Teil verstehen, warum das klappt, auch bei jüngeren Leuten.
Wenn du da nicht ne gehörige Portion skepsis und Gleichgültigkeit an den Tag legst bist du schon so gut wie verloren. Die meisten versuchen halt am Telefon höflich zu sein und neigen dazu, zu machen worum sie gebeten werden. Vor allem wenn sie verunsichert sind. Und das wird eben in dem Moment schamlos ausgenutzt.

 

[Dr. McCoy]

Also Social Engineering.

Dagegen kann man nichts anderes machen, als sich weiterzubilden, sich dringend aus der Haltung: "Ich bin ja nur ein Anwender, ich brauche nichts zu wissen!" zu verabschieden, und sich die Grundregeln zu einem sicheren Betrieb von PC und Finanzdienstleistungen anzueignen.

Das hat auch nichts mit dem Alter zu tun, sondern einzig und allein mit der Bereitschaft, sich weiterzubilden oder nicht.

Wenn du da nicht ne gehörige Portion skepsis und Gleichgültigkeit an den Tag legst bist du schon so gut wie verloren.

Nein, das sind auch hier zwei ganz einfache Mechanismen, so etwas zu verhindern.

Erstens, grundsätzlich solche Themen am Telefon nicht zu besprechen, sondern stattdessen vom Anrufer sofort immer eine postalische Info einzufordern, auf die hinterlegte Kundenanschrift, natürlich ohne diese dem Anrufer zu nennen. Denn die muss er ja kennen, wenn er wirklich derjenige wäre, für den er sich ausgibt.

Der zweite Punkt ist Konsequenz. Konsequent das Telefonat beenden.

Mit diesen zwei einfachen Prinzipien gibt es dann auch keinerlei solcher Probleme, wie von dir geschildert.

 

[xexex]

Ach ja, bekannter ist mitte 30. Kein "älterer Herr". Mir und auch ihm absolut unbegreiflich wie man darauf hereinfallen kann.

Trickbetrüger werden ja nun mal immer besser, dagegen hilft einfach keine Anrufe von unbekannten Nummern anzunehmen. Nicht umsonst bieten alle Handys heutzutage auch eine Spamanruf Funktion an, das kann schon viele davon entlarven.

Es steht aber auch nicht umsonst auf fast jeder Webseite bei allen Anbietern ein Satz im ähnlichen Wortlaut: "Unsere Mitarbeiter fragen nie nach einem Kennwort oder einer PIN", man muss es nur lesen und verstehen.

 

[Mimir]

Der zweite Punkt ist Konsequenz. Konsequent das Telefonat beenden.

Meine Eltern habe ich zum Glück so weit gebracht.
Da wird direkt aufgelegt und die Nummer im Router gesperrt. Die Liste ist mittlerweile sehr lang

Aber ja, das hatte ich auch nochmal gepredigt. Alles was wichtig ist, kommt immer per Brief. Telefongespräche mit Fremden sind eigentlich immer völlig sinnfrei. Genauso E-Mails. Hast du keine Mail erwartet, nimmst du sie bestenfalls zur Kenntnis, aber interagierst niemals damit.

Es reichen eigentlich schon wenige konsequente Grundsätze, um sich zu schützen.