Die Handtasche der Luxus-Marke zum unglaublichen Schnäppchenpreis, die Marken-Sneaker fast geschenkt, die traumhafte Ferienvilla beinahe umsonst, der Langstreckenflug x-fach günstiger als überall sonst, unglaublich hohe Renditen bei Geldanlagen, ein berauschender Lotteriegewinn aus dem Nichts, die grosse Liebe einer schillernden Internetbekanntschaft oder die überwältigende Erbschaft eines unbekannten Verwandten. Fast zu schön, um wahr zu sein. Und fast immer ist es dann auch nicht wahr – sondern Betrug! Solche «Angebote» zielen meist darauf ab, die Opfer entweder direkt zu einer betrügerischen Zahlung zu veranlassen oder von ihnen möglichst viele persönliche Informationen wie Name, Geburtsdatum, Kreditkartennummer, Ablaufdatum der Karte oder Card Verification Code (CVC) zu erlangen. Mit den erschlichenen Kreditkartendaten kaufen die Täter dann missbräuchlich im Online-Handel ein.
Nebst der verlockenden Aussicht auf das Jahrhundert-Schnäppchen oder das schnelle Geld wenden Betrüger oft auch sogenanntes Social Engineering für ihre kriminellen Vorhaben an. Dabei geht es darum, menschliche Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit, Unsicherheit, Scham, Angst oder Respekt vor Autoritäten geschickt auszunutzen. Die Opfer werden manipuliert und dazu bewogen, Zahlungen zu tätigen, sensible Informationen (z.B. Kreditkartendaten) preiszugeben, Sicherheitsfunktionen zu umgehen oder Schadsoftware auf einem Gerät zu installieren.
Die Angreifer entwickeln ständig neue Methoden und mit Hilfe von künstlicher Intelligenz werden ihre Angriffe immer professioneller und persönlicher. Damit wird es zunehmend anspruchsvoller, sie zu erkennen. Die allermeisten Betrugsversuche lassen sich jedoch mit gesundem Menschenverstand, einer guten Portion Misstrauen und angemessener Vorsicht abwehren. Aktuelle Informationen dazu finden sich auch auf der Webseite von Card Security.
Phishing
Beim Phishing versuchen die Täter ihre Opfer zur Preisgabe persönlicher Angaben bzw. sensibler Kreditkartendaten zu veranlassen, indem sie die Karteninhabenden z.B. auf gefälschte Webseiten locken. Zu diesem Zweck versenden die Täter gefälschte E-Mails, SMS oder Chatnachrichten mit integrierten Links. Die Opfer werden aufgefordert, auf den Link zu klicken und auf der sich öffnenden betrügerischen Webseite ihre Kreditkartendaten in ein Online-Formular einzugeben. Dabei fälschen die Betrüger oft auf professionelle Art ganze Websites oder E-Mail-Absender von bekannten Unternehmen oder von Kartenherausgeberinnen. Mit den erlangten Daten tätigen die Täter missbräuchliche Online-Einkäufe.
Vishing
Ähnlich wie beim Phising gehen die Täter beim Vishing – auch Voice Phishing genannt – vor. Mit Hilfe automatisierter Anrufe versuchen sie, von den potenziellen Opfern sensible Kartendaten zu erhalten Eine Anwendungsform davon ist der Tech-Support-Betrug, bei dem vermeintliche Vertreter eines Technologieunternehmens anrufen und sich anerbieten, angebliche gefährliche Hardware- oder Softwareprobleme umgehend zu beheben. Im «besten Fall» bringen sie ihre Opfer «nur» dazu, für die Beseitigung eines gar nicht vorhandenen Problems zu bezahlen. Im schlimmsten Fall erreichen die Betrüger, dass sie einen Remote-Zugriff auf das Gerät des Opfers erhalten und dort Schadsoftware installieren können. Darüber können sie nicht nur Daten beschädigen oder verschlüsseln und Webseitenanfragen auf betrügerische Seiten umleiten, sondern insbesondere auch vertrauliche Informationen wie Passwörter sowie sensible Daten zu Zahlungen bzw. Zahlungsinstrumenten stehlen.
Pharming
Beim Pharming geben Karteninhabende eine korrekte Internet-Adresse ein, werden in der Folge aber – ohne dass sie es bemerken – auf eine (oft sehr gut) gefälschte Webseite umgeleitet. Dies geschieht mit Hilfe eines Virus bzw. eines Trojaners, den sich der Karteninhabende vorgängig unwissentlich eingefangen hat. Ein Trojaner ist eine Schadsoftware, die sich oftmals als legitime Software oder als ein harmloses PDF oder ähnliches ausgibt. Opfer werden – meist über Social-Engineering – dazu bewegt, den nicht erkannten Trojaner auf ihr System herunterzuladen und auszuführen. Wie beim Phishing werden die Opfer beim Pharming aufgefordert, persönliche Daten und sensible Karteninformationen auf der gefälschten Webseite einzugeben. Mit diesen Informationen bestehlen die Betrüger die Karteninhabenden. Diese Betrugsart wird «Pharming» (zusammengesetzt aus den Begriffen Phishing und Farming) genannt, weil die Betrüger im Hintergrund oft ganze Server-Farmen mit gefälschten Websites betreiben.
Scamming
Bei Scamming versuchen Betrüger ihre Opfer mit besonders verlockenden Angeboten zu ködern: die grosse Liebe, das schnelle Geld, die neue Wohnung oder der Traumjob. Mit Vorwänden und leeren Versprechungen versuchen die Scammer ihre Opfer dazu zu bringen, Vorauszahlungen zu leisten oder sensible Daten (z.B. Hochladen von ID oder Pass) preiszugeben und so zum vermeintlichen Glück zu gelangen. Scamming wird in verschiedenen Formen verübt. Betrogen wird zum Beispiel mit erfundenen Lottogewinnen (Lottery Scam), mit nicht gegebenen Rendite-Aussichten (Investment Scam), mit nicht bestehenden Wohnungs- oder Ferienangeboten (Flatmate oder Holiday Scam), mit nicht existierenden Traumjobs (Employment Scam) oder mit vorgegaukelter grosser Liebe (Romance Scam).
Manipulation von Geldautomaten und Zahlterminals
Hierbei verschaffen sich die Täter sensible Informationen zu Debit- oder Kreditkarten, indem sie Geldautomaten oder Zahlterminals manipulieren. Insbesondere geht es darum, die PIN zu erlangen. Dazu werden zum Beispiel die PIN erfassende Tastaturattrappen oder Minikameras möglichst unauffällig an den Eingabegeräten angebracht. In der Folge wird die Karte gestohlen und missbräuchlich – zum Beispiel zum Bezug von Bargeld – eingesetzt.
Gesunder Menschenverstand und eine gesunde Portion Misstrauen hebeln die betrügerischen Angriffe aus.
Kreditkartenzahlungen sind dank modernsten, hochkomplexen Technologien (inkl. Anwendung künstlicher Intelligenz), jahrzehntelangen Erfahrungen der Kreditkartenindustrie und konstanter Weiterentwicklung der Betrugsabwehr technisch sicher. Wie in zahlreichen anderen Lebensbereichen auch, bildet jedoch der Mensch eine gewisse Schwachstelle. Werden einige grundlegende Punkte beachtet, lässt sich dieses Risiko aber handhaben:
- E-Mail-/SMS-/Chat-Nachrichten oder Anrufen von Unbekannten grundsätzlich misstrauen.
- Bei Mails mit unbekanntem oder verdächtigem Absender nie auf Links klicken und nie Anhänge öffnen. Nur direkt über offizielle Webseiten-Adressen einloggen.
- Absender von E-Mails sowie URL von Webseiten kritisch prüfen. Betrügerische Adressen unterscheiden sich oft nur in einem Detail (z.B. einem zusätzlichen Buchstaben) von Originaladressen:
- Auf untypische oder konstruierte Absenderadressen achten. Im Unterschied zu offiziellen Geschäftsadressen verwenden Betrüger oft kostenlose E-Mail-Dienste wie @gmail.com, @hotmail.com oder @yahoo.com etc.
- Nur vertrauenswürdige Websites besuchen, die mit https:// beginnen oder mit einem kleinen Schloss gekennzeichnet sind (den Mauszeiger auf den Link richten, um so die ganze URL sichtbar zu machen).
- Sich von einer fehlerfreien Formulierung, einem einwandfreien Logo oder einer perfekten Webseite nicht täuschen lassen. All dies lässt sich heutzutage gut nachahmen. Dagegen sollte auf Tonalität und Aufmachung einer Nachricht oder einer Webseite geachtet werden: Entsprechen diese dem, was von einer legitimen Nachricht oder Webseite erwartet wird? Zudem: Eine korrekte Webseite verfügt in der Regel über Angaben zur Kontaktaufnahme («Kontakt» / «Impressum») und eine Infoseite (z.B. «Über uns»). Bei Unsicherheiten ist ein Anruf angezeigt. Ist keine Telefonnummer oder nur eine Mobiltelefonnummer angegeben oder wird der Anruf nicht angenommen, ist besondere Vorsicht am Platz.
- Aufforderungen nach Herausgabe von Kreditkarten- oder von Login-Daten nie nachkommen. Ausweisdokumenten (ID, Pass) nur sehr zurückhaltend bzw. überlegt hochladen – nur bei selbst initiierten Verfahren und nur bei sicheren Webseiten (beginnend mit https:// oder gekennzeichnet mit einem kleinen Schloss).
- Mails von Karteherausgeberinnen oder anderen Finanzinstituten, welche angeblich ungewöhnliche Kontobewegungen, geschlossene Konten oder das unmittelbar bevorstehende Blockieren von Zahlungsmitteln zum Inhalt haben, ignorieren. Finanzdienstleister informieren nie via E-Mail über Unregelmässigkeiten und fordern so nie zur Eingabe oder Anpassung von sensiblen Konto- bzw. Zahlungsmittel-Daten auf. Im Zweifelsfall ist der eigene Finanzdienstleister über dessen offizielle Kommunikationskanäle zu kontaktieren (nicht über Links oder Kontaktangaben aus der Nachricht).
- Bei Kontaktierung durch unbekannte Personen oder Institutionen nie Geld an diese überweisen und ihnen nie Kreditkartendaten mitteilen.
- Bei der Zwei-Faktor-Authentifizierung erhaltene Einmalpasswörter/Codes nie an Dritte weitergeben.
- Den Zugang zu Banking-Apps oder zu Apps von Kartenherausgeberinnen geheim halten.
- Besonders misstrauisch sein bei Handlungsaufforderungen mit kurzen Fristen: Wenn zeitlicher Druck aufgebaut wird, ist das verdächtig. Ebenso verdächtig ist es, wenn mit Nachteilen gedroht und Angst geschürt wird.
- Kein Geld beziehen bzw. keine Transaktionen vornehmen, wenn Automaten/Zahlterminals mit ungewöhnlichen/zusätzlichen Bauteilen versehen sind.
- Benachrichtigungsdienste aktivieren, um bei jeder Kreditkartenzahlung eine Nachricht zu erhalten.
- Sofern vom Kartenherausgeber angeboten, allenfalls die Einsatzmöglichkeiten der Kreditkarte auf die eigenen Lebensumstände bzw. das eigene Verhalten ausrichten (z.B. Einsatz auf Europa beschränken oder Online-Zahlungen deaktivieren).
- PIN geheim halten und an Automaten/Zahlterminals verdeckt eingeben.
- Die monatliche Kreditkartenabrechnung zeitnah kontrollieren, um Unregelmässigkeiten rechtzeitig zu erkennen (Unregelmässigkeiten müssen innert 30 Tagen beanstandet werden).
- Webbrowser und Betriebssysteme der elektronischen Geräte aktuell halten (Antiviren-Software und Firewall).
- Starke Passwörter und Zwei-Faktor-Authentifizierung nutzen.
