#10TageGegenPhishing: Treuepunkte einlösen? Kriminelle haben es auf Kreditkartendaten abgesehen!

Mobilfunkanbieter bedanken sich bei ihren Kund:innen für deren langjährige Treue mit Bonusprogrammen. Verdiente Punkte können gegen Geschenke eingetauscht werden. Kriminelle versenden SMS-Nachrichten, in denen sie vor dem nahenden Verfall dieser Punkte warnen, tatsächlich sind aber die Kreditkarteninformationen ihrer Opfer das Ziel.

Mobilfunkanbieter sind aus unserem Alltag schon längst nicht mehr wegzudenken, die allgemeine Netzabdeckung liegt nahe der 100 %. Kein Wunder also, dass die großen Unternehmen häufig als Deckmantel für Betrugsversuche herhalten müssen. In einer der am breitesten ausgerollten Phishing-Wellen der jüngeren Vergangenheit versuchen Kriminelle, über die Einlösung vermeintlicher Treuepunkte an die Kreditkartendaten ihrer Opfer zu kommen.

Treuepunkte-Phishing: Die Kontaktaufnahme 

Kriminelle versenden SMS-Nachrichten, in denen sie vor einem ungenutzten Verfall angesammelter Bonuspunkte warnen. Der Text enthält zudem ein Ultimatum – ein typischer Kniff, um für mehr Stress und nachlassende Vorsicht zu sorgen. Eine klassische Nachricht im Wortlaut:

A1: Ihr Kontostand (8.038 Punkte) wird morgen ablaufen. Bitten klickken Sie auf die Website, um Ihr Geschenk einzulosen: at.a1punktes.com/at

Da die Betrüger:innen ihre Opfer per SMS kontaktieren, spricht man in diesem Fall auch von „Smishing“ – einem Kofferwort aus „SMS“ und „Phishing“.

Treuepunkte: So läuft der Smishing-Versuch ab 

Der Erhalt der Nachricht selbst ist noch nicht gefährlich. Wer eine derartige SMS bekommt, kann sie einfach ignorieren und löschen. Schaden entsteht dadurch keiner. Gefährlich wird es erst, wenn der integrierte Link angeklickt wird. Wer das tut, gelangt auf eine Seite, die den Eindruck erweckt, zu A1 zu gehören. Der weitere Ablauf:

  • Um die zur Verfügung stehenden Punkte zu prüfen, müsse die Telefonnummer eingegeben werden. Tatsächlich ist es völlig egal, welche Nummer man hier eingibt. Die Zahlenfolge hat keinen Einfluss auf den weiteren Ablauf.
  • Nun ist der große Moment gekommen, man darf sich endlich seine Treueprämie aussuchen. Es warten High-Tech-Geräte wie etwa VR-Brillen oder Smartwatches, Bluetooth-Kopfhörer oder Tabletts. Dazu viele andere praktische Goodies wie ein Akku-Bohrschrauber, eine Powerbank oder ein Kinderwagen. Es ist alles für jeden bzw. jede etwas dabei.
  • Nach der Auswahl des Geschenks folgt die Abfrage der Adressdaten. Immerhin muss „A1“ ja auch wissen, wohin das Geschenk geliefert werden soll.
  • Der gefährlichste Schritt wartet am Ende. „Für die Zustellung Ihrer Prämie erheben wir eine geringe Versandgebühr. Ihre Prämie wird nach erfolgreicher Zahlung versandt.“ Die Kriminellen fragen gezielt die Kreditkartendaten ihrer Opfer ab. Wer abschließend auf den „Zahlung“-Button klickt, übermittelt genau diese sensiblen Informationen

Nicht nur A1 als Deckmantel. Die Betrugsmasche wird nicht nur im Namen von A1 durchgeführt. Auch alle anderen großen Mobilfunkanbieter des Landes dienen immer wieder als Deckmantel.

Smishing: Woran Sie den Betrugsversuch erkennen 

Zwar geben sich die Kriminellen beim Nachbau der A1-Website durchaus Mühe, die Betrugsabsicht ist aber relativ einfach zu entdecken. Die wichtigsten Anhaltspunkte:

  • Zeitdruck: Phishing-/Smishing-Maschen enthalten immer ein Element, welches für Stress sorgen soll. Meistens ist es eine Deadline. Entdecken Sie eine derartige in einer Nachricht, deutet das klar auf eine betrügerische Absicht hin!
  • Links: Die Links auf den Fake-Webseiten sind auf den ersten Blick zwar vorhanden, allerdings funktionieren sie entweder gar nicht, oder sie führen auf die Fake-Seite zurück.
  • Wording: A1 bietet keine simplen „Punkte“ als Belohnung für langjährige Treue an, sondern „Mobilpoints“. Achten Sie also darauf, ob die verwendeten Begriffe mit dem offiziellen Wording des Anbieters zusammenpassen.
  • Webadresse: Die Adresse des angeblichen A1-Onlineshops sieht jener des echten Shops auf den ersten Blick ähnlich. Wer genauer hinsieht, erkennt aber schnell Unterschiede. Lautet die URL nicht a1.net, sollten Sie schnell das Weite suchen, dann befinden Sie sich nämlich auf einer Fake-Seite.

In die Phishing-Falle getappt: Das können Sie tun! 

Wer bemerkt, Betrüger:innen auf den Leim gegangen zu sein, sollte rasch handeln. Folge Optionen gibt es:

  • Kontaktieren Sie Ihr Kreditkartenunternehmen und schildern Sie die Situation! Eventuell ist die Sperre der Karte nötig.
  • Erstatten Sie Anzeige bei der Polizei!
  • Bleiben Sie wachsam! Da die Kriminellen nun über Ihre Kontakt- und Kreditkartendaten verfügen, werden sie sich sehr wahrscheinlich mit einer andere Betrugsmasche bei Ihnen melden.
Impressum | Geschäftsbedingungen | Barrierefreiheit | Datenschutz | Nutzungsbedingungen | Cookie-Einstellungen
© easybank