Mit einer aktuellen Betrugsmasche stehlen Kriminelle Kreditkartendaten und hinterlegen diese bei Apple Pay. In der Folge können die Betrüger die Kreditkarten ihrer Opfer beliebig nutzen. Die Betroffenen bekommen von den Angriffen in der Regel nichts mit und bemerken den Diebstahl erst, wenn es zu spät ist. Nämlich dann, wenn die nächste Kreditkartenabrechnung ins Haus steht.

Ein Konsument aus der Steiermark musste beruflich in die Türkei fliegen und wollte Gepäck online nachbuchen. Direkt bei der Airline ging das nicht, der Kunde musste bei verschiedenen Anbietern nach einer Möglichkeit suchen. Bald waren zahlreiche Fenster am Display geöffnet.

Irgendwann dürfte eine Apple-Pay-Mitteilung aufgepoppt sein, so der Konsument gegenüber help.ORF.at. Er sei aufgefordert worden, einen Authentifizierungscode einzugeben. Zwar könne er sich nicht mehr explizit an den Vorgang erinnern, er dürfte der Aufforderung aber wohl nachgekommen sein, so der Steirer.

Kriminelle setzen auf Ablenkung der Opfer

Der Onlinenutzer ist Ziel einer aktuellen Phishing-Attacke geworden. Ohne es zu merken, hat er wichtige Zahlungsinformationen an Kriminelle weitergegeben. Bedingt durch die Situation habe sich der Konsument ablenken lassen, sagt Thorsten Behrens, er leitet die auf Internetbetrug spezialisierte Watchlist Internet.

Genau auf diesen Moment der Ablenkung setzen die Kriminellen, sagt Behrens: „Wenn man gerade mit etwas anderem beschäftigt ist und dann diese Nachricht sieht, steht man unter Druck und führt die Anweisungen der Hacker ganz nebenbei aus, ohne das genau zu hinterfragen.“

Hacker tarnen sich als Netflix und Co.

Betrugsfälle dieser Art tauchen in letzter Zeit wieder häufiger auf, die Attacken erfolgen in der Regel per E-Mail oder SMS. Ein Angriff über ein Pop-up-Fenster sei bei der Watchlist Internet zwar noch nicht aufgeschienen, ein solcher Vorgang sei theoretisch aber durchaus denkbar, so Behrens. Die Täter treten zunächst meist im Namen bekannter Unternehmen wie Netflix, Disney plus oder Spotify auf.

Man werde darauf hingewiesen, dass eine Zahlung ausständig sei und man die Kontodaten aktualisieren müsse. Wenn man wie im konkreten Fall gerade im Begriff ist, eine Onlinezahlung vorzunehmen, kann es passieren, dass man unachtsam wird und in die Falle geht. Vor allem deswegen, weil die Mitteilung über eine ausstehende Zahlung in so einem Moment zunächst nicht verdächtig erscheint.

Link führt zu gefälschter Apple-Pay-Webseite

Die Betroffenen werden dann über einen Link auf eine gefälschte Apple-Pay-Seite geführt, die täuschend echt nachgemacht ist. In der Folge wird man aufgefordert, die persönlichen Zahlungsinformationen bekanntzugeben. Mit diesen Daten legen die Kriminellen im Hintergrund und in Echtzeit ein Apple-Konto an und aktivieren die Bezahlfunktion Apple Pay, sagt Behrens.

Wenn abschließend ein Authentifizierungscode eingegeben wird, haben die Täter unbegrenzten Zugang zur Kreditkarte der Opfer und können diese beliebig häufig und ohne weitere Authentifizierung nutzen. Die Betroffenen merken den Betrug oft erst, wenn die nächste Abrechnung ins Haus steht, im konkreten Fall wurde der gesamte Kreditrahmen des Konsumenten ausgeschöpft. Etwa 40 Transaktionen seien ohne sein Wissen vorgenommen worden, der Schaden betrage knapp 4.000 Euro, so der Steirer.

Haftungsfrage nicht eindeutig

Betroffenen rät Thorsten Behrens, umgehend das Kreditkartenunternehmen zu informieren und das Geld zurückzufordern. Die Haftungsfrage sei in solchen Fällen aber nicht eindeutig. Finanzinstitute argumentieren in der Regel damit, dass Kundinnen und Kunden grob fahrlässig gehandelt hätten. Ob ein solches Verhalten vorliegt, könne nur im Einzelfall geklärt werden und werde in der Praxis sehr unterschiedlich eingeschätzt, so Behrens: „Das sieht man auch daran, dass es in manchen Fällen zu Rückzahlungen kommt, in anderen wieder nicht.“

PayLife bietet Kulanzlösung an

PayLife ist eine Tochterfirma der BAWAG-PSK, wir haben das Unternehmen mit dem Fall konfrontiert. In einer Stellungnahme gegenüber help.ORF.at heißt es: „Wir haben uns den Fall angesehen und möchten betonen, dass nur das aktive Zutun des Kunden zum Schaden geführt hat und wir auch regelmäßig vor Phishing-Attacken warnen. In diesem konkreten Fall gehen wir grundsätzlich von grober Fahrlässigkeit des Kunden aus. Trotzdem haben wir uns dafür entschieden, in diesem Fall dem Kunden unpräjudiziell eine Kulanzlösung anzubieten und werden in den kommenden Tagen den entstandenen Schaden zur Gänze ersetzen."

Der Fall zeigt aber deutlich: Phishing-Attacken werden immer professioneller. Die Watchlist Internet rät, sich ausschließlich über den Browser bei Internetdiensten anzumelden. Besonders dann, wenn Onlineshops oder Zahlungsdienstleister im Spiel sind. Grundsätzlich müsse die Regel gelten: „Links in E-Mails werden nicht angeklickt, außer man ist sich zu absolut sicher, dass die E-Mail von einem seriösen Absender stammt“, so Watchlist-Internet-Chef Behrens.