header banner
Default

Phishing via Apple Pay kan være svært kostbart


Mit einer aktuellen Betrugsmasche stehlen Kriminelle Kreditkartendaten und hinterlegen diese bei Apple Pay. In der Folge können die Betrüger die Kreditkarten ihrer Opfer beliebig nutzen. Die Betroffenen bekommen von den Angriffen in der Regel nichts mit und bemerken den Diebstahl erst, wenn es zu spät ist. Nämlich dann, wenn die nächste Kreditkartenabrechnung ins Haus steht.

14. Jänner 2023, 8.00 Uhr

Sendungshinweis

VIDEO: Phishing-Fallen – so nutzen Betrüger Daten und Apple-Pay | Marktcheck SWR
SWR Marktcheck

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.

Ein Konsument aus der Steiermark musste beruflich in die Türkei fliegen und wollte Gepäck online nachbuchen. Direkt bei der Airline ging das nicht, der Kunde musste bei verschiedenen Anbietern nach einer Möglichkeit suchen. Bald waren zahlreiche Fenster am Display geöffnet.

Irgendwann dürfte eine Apple-Pay-Mitteilung aufgepoppt sein, so der Konsument gegenüber help.ORF.at. Er sei aufgefordert worden, einen Authentifizierungscode einzugeben. Zwar könne er sich nicht mehr explizit an den Vorgang erinnern, er dürfte der Aufforderung aber wohl nachgekommen sein, so der Steirer.

Kriminelle setzen auf Ablenkung der Opfer

VIDEO: Bargeld abheben mit Apple Pay - Keine Karte mehr nötig! #iphonetricks #howto
Kay der App Guy

Der Onlinenutzer ist Ziel einer aktuellen Phishing-Attacke geworden. Ohne es zu merken, hat er wichtige Zahlungsinformationen an Kriminelle weitergegeben. Bedingt durch die Situation habe sich der Konsument ablenken lassen, sagt Thorsten Behrens, er leitet die auf Internetbetrug spezialisierte Watchlist Internet.

Genau auf diesen Moment der Ablenkung setzen die Kriminellen, sagt Behrens: „Wenn man gerade mit etwas anderem beschäftigt ist und dann diese Nachricht sieht, steht man unter Druck und führt die Anweisungen der Hacker ganz nebenbei aus, ohne das genau zu hinterfragen.“

Hacker tarnen sich als Netflix und Co.

VIDEO: Apple Pay & Wallet (Tutorial): So kannst du einfach kontaktlos & online bezahlen
Simon

Betrugsfälle dieser Art tauchen in letzter Zeit wieder häufiger auf, die Attacken erfolgen in der Regel per E-Mail oder SMS. Ein Angriff über ein Pop-up-Fenster sei bei der Watchlist Internet zwar noch nicht aufgeschienen, ein solcher Vorgang sei theoretisch aber durchaus denkbar, so Behrens. Die Täter treten zunächst meist im Namen bekannter Unternehmen wie Netflix, Disney plus oder Spotify auf.

THEMENBILD – Illustration zum Thema Kriminalität im Internet. Ein Mann am Laptop versucht auf illegale Weise Passwörter und Seiten im Internet zu hacken.
Mit gestohlenen Kreditkartendaten legen Cyberkriminelle einen Apple-Account an und räumen Konten ihrer Opfer leer

Man werde darauf hingewiesen, dass eine Zahlung ausständig sei und man die Kontodaten aktualisieren müsse. Wenn man wie im konkreten Fall gerade im Begriff ist, eine Onlinezahlung vorzunehmen, kann es passieren, dass man unachtsam wird und in die Falle geht. Vor allem deswegen, weil die Mitteilung über eine ausstehende Zahlung in so einem Moment zunächst nicht verdächtig erscheint.

Link führt zu gefälschter Apple-Pay-Webseite

VIDEO: Bezahlen mit Apple Pay | So einfach funktioniert es | Sicher und schnell bezahlen
UniCredit Bank Austria AG

Die Betroffenen werden dann über einen Link auf eine gefälschte Apple-Pay-Seite geführt, die täuschend echt nachgemacht ist. In der Folge wird man aufgefordert, die persönlichen Zahlungsinformationen bekanntzugeben. Mit diesen Daten legen die Kriminellen im Hintergrund und in Echtzeit ein Apple-Konto an und aktivieren die Bezahlfunktion Apple Pay, sagt Behrens.

Wenn abschließend ein Authentifizierungscode eingegeben wird, haben die Täter unbegrenzten Zugang zur Kreditkarte der Opfer und können diese beliebig häufig und ohne weitere Authentifizierung nutzen. Die Betroffenen merken den Betrug oft erst, wenn die nächste Abrechnung ins Haus steht, im konkreten Fall wurde der gesamte Kreditrahmen des Konsumenten ausgeschöpft. Etwa 40 Transaktionen seien ohne sein Wissen vorgenommen worden, der Schaden betrage knapp 4.000 Euro, so der Steirer.

Haftungsfrage nicht eindeutig

VIDEO: Phishing: 90.000 Euro Betrug durch gefälschte SMS
ZDF WISO

Betroffenen rät Thorsten Behrens, umgehend das Kreditkartenunternehmen zu informieren und das Geld zurückzufordern. Die Haftungsfrage sei in solchen Fällen aber nicht eindeutig. Finanzinstitute argumentieren in der Regel damit, dass Kundinnen und Kunden grob fahrlässig gehandelt hätten. Ob ein solches Verhalten vorliegt, könne nur im Einzelfall geklärt werden und werde in der Praxis sehr unterschiedlich eingeschätzt, so Behrens: „Das sieht man auch daran, dass es in manchen Fällen zu Rückzahlungen kommt, in anderen wieder nicht.“

PayLife bietet Kulanzlösung an

VIDEO: Wie schnell dein Geld mit Phishing weg ist | Dürfen Die Das? | NDR
NDR Ratgeber

PayLife ist eine Tochterfirma der BAWAG-PSK, wir haben das Unternehmen mit dem Fall konfrontiert. In einer Stellungnahme gegenüber help.ORF.at heißt es: „Wir haben uns den Fall angesehen und möchten betonen, dass nur das aktive Zutun des Kunden zum Schaden geführt hat und wir auch regelmäßig vor Phishing-Attacken warnen. In diesem konkreten Fall gehen wir grundsätzlich von grober Fahrlässigkeit des Kunden aus. Trotzdem haben wir uns dafür entschieden, in diesem Fall dem Kunden unpräjudiziell eine Kulanzlösung anzubieten und werden in den kommenden Tagen den entstandenen Schaden zur Gänze ersetzen."

Der Fall zeigt aber deutlich: Phishing-Attacken werden immer professioneller. Die Watchlist Internet rät, sich ausschließlich über den Browser bei Internetdiensten anzumelden. Besonders dann, wenn Onlineshops oder Zahlungsdienstleister im Spiel sind. Grundsätzlich müsse die Regel gelten: „Links in E-Mails werden nicht angeklickt, außer man ist sich zu absolut sicher, dass die E-Mail von einem seriösen Absender stammt“, so Watchlist-Internet-Chef Behrens.

Sources


Article information

Author: Kayla Leach

Last Updated: 1703961602

Views: 1118

Rating: 3.7 / 5 (43 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Kayla Leach

Birthday: 1913-04-06

Address: 31974 Holder Club Apt. 038, West Jennifer, AZ 16944

Phone: +4848852589916001

Job: Accountant

Hobby: Fishing, Card Collecting, Animation, Playing Piano, Reading, Bird Watching, Cross-Stitching

Introduction: My name is Kayla Leach, I am a frank, Determined, apt, candid, risk-taking, strong-willed, daring person who loves writing and wants to share my knowledge and understanding with you.