Abgefischt

Veröffentlicht am von

Mein aktuelles Sachbuch das ich gerade lese und demnächst wohl durch haben werde ist „Ein falscher Klick“ von Eva Wolfangel. Darin geht es ums Hacken von IT-Systemen und wie Cyberkriminelle uns austricksen wollen. Und da ich ja „vom Fach“ bin ist mir klar, dass mir so was ja nie passieren wird. Also bis gerade vorhin…

Der Angriff

Es ist 10:40 Uhr. Ich sitze am PC und plötzlich macht der Messenger „ping“, denn die Frau hat einen Link gefunden wo man ein Barilla-Probierpaket bekommen kann wenn man an einer Umfrage teilnimmt. Also schauen wir doch mal.

Hier hätte ich schon nachdenklich werden müssen, denn dass die Umfrage, die in der URL „2012/02/21“ stehen hat ausgerechnet heute endet und dann noch dieses „Starten Sie jetzt – die Boxen sind schnell vergriffen!“ ist genau dieses Erzeugen von Dringlichkeit, um das Gehirn abzuschalten. Vielleicht lag es auch daran, dass der Messenger weiter fröhliche „pings“ schickte weil die Tochter sich mal wieder über die schlechte Netzanbindung auf dem Dorf beschwerte oder auch weil mein Sohn quengelnd hinter mir stand weil in einer Woche hier ein Volksfest anfängt zu dem er unbedingt mit mir hingehen will, egal, ich habe versucht diese Umfrage so „nebenbei zu machen“. War auch nicht schwierig, ein paar einfache Fragen die man mit Buttons beantworten kann.

Und dann heiß dass man nun sein Probier-Paket anfordern kann auch hier ein eingeblendeter Zähler der anzeigt wie die Zahl der verfügbaren Pakete abnimmt, also weiter Dringlichkeit suggerieren. Und statt über 60 Euro gibt es das dann für nur 1,95 €. Man müsse nur seine Kreditkartendaten eingeben.

Tja, und das mache ich, immerhin ruft er ja brav den S-ID-Check auf und außerdem gibt es auf der Seite ja jede Menge Logos die „sichere Bezahlung“ und „Trusted service“ suggerieren. Ohne Stress hätte ich vielleicht daran gedacht, dass man solche Icons ja problemlos kopieren und in jedwede Webseite einbauen kann. Nun denn, nach Abschicken der Daten will er eine Lieferadresse und danach nochmals die Kreditkartendaten. Spätestens hier hätte ich die Notbremse ziehen müssen, aber da immer noch im Stress einfach durchgeklickt, denn ich will ja eines der begehrten Probier-Pakete ergattern.

Als das Ding mich aber dann zum dritten Mal nach meinen Kreditkartendaten fragt, da dämmert es mir, dass wir einem Phishing-Angriff aufgesessen sind. Vor allem wiel unter der Eingabemaske dann auch noch sehr klein gedruckt zu lesen ist:

„Ich stimme zu und akzeptiere die Bedingungen der Mitgliedschaft und möchte eine zusätzliche Mitgliedschaft. 2 wiederkehrende Zahlungen alle 14 Tage, zum aktuellen Tarif (69.15 €). Jederzeit kündbar.“

Ok, ab hier ist klar, dass das alles Lug und Trug ist. Also Abbruch, aber mindestens zwei Angreifer haben nun meine Kreditkarteninformationen.

Schadensbegrenzung 1

Also gleich mal zum Telefon greifen und die 116 116 anrufen, die Hotline für Kartensperrungen die rund um die Uhr erreichbar ist. Natürlich geht ein Sprachcomputer ran und man hangelt sich wieder durch ein Menüsystem. Als ich dann aber zur Eingabe der 20-stelligen IBAN über die Telefontastatur aufgefordert werde mach ich das nicht und sage drei mal laut „WRSTLBRMF“. Das ist der magische Zauberspruch um mit einem Menschen verbunden zu werden.

Kurz darauf habe ich eine nette Dame dran, die auch meint man solle die Karte sperren und das macht sie gerne, aber anfänglich hatte sie Probleme die Karte im System zu finden. Am Ende kam raus, dass es ja eine von der Sparkasse ausgegebene Karte ist die Sperrung daher vom Provider erfolgen muss. Also werde ich zur Sparkasse weiter verbunden und gebe dort nochmal alle meine Daten zur Identifizierung an. Dann wird die Karte gesperrt und das Zusenden einer weiteren Karte eingeleitet, die mich in den nächsten Tagen auf dem Postweg erreichen soll.

Schadensbegrenzung 2

Das ist jetzt allerdings etwas suboptimal, denn ab 21. August stehen Abo-Verlängerungen für Apps aus dem Play-Store bei Google an und die würden von dieser nun gesperrten Karte abbuchen. Aber hey, die normale Giro-Card der Sparkasse hat doch jetzt auch eine Kreditkartenfunktion, dann nehme ich eben die, die ist ja im Google-Account schon hinterlegt.

Tja, hinterlegt schon, aber noch nicht „freigeschaltet“. Na, kein Problem, nehmen wir sie halt in die S-ID-App mit auf und… denkste. Die S-ID-App erzählt mir, dass diese Karte nicht in dieser App freigeschaltet werden kann, dazu bräuchte ich 3D-Secure.

Also mal gucken was das wieder ist, und die Karte bei der Bank für 3D-Secure freischalten. Ja, das klappt, aber jetzt brauche ich noch eine S-Push-TAN-App auf dem Smartphone und um die für die Karte einzurichten brauche ich einen QR-Code der mir wieder per Briefpost zugesendet wird.

Also kann ich mal sehen, was wohl zuerst ankommt, die neue Kreditkarte oder der QR-Code für die andere Karte und wie ich dann die Zahlungen bei Google umstellen kann. Das ist übrigens maximal nervig, denn bei jedem Abo ist das Zahlungsmittel hinterlegt und ich kann nicht global sagen Kreditkarte 1234 ist ab sofort ungültig, nimm lieber Kreditkarte 5678, sondern muss das bei jedem Abo manuell ändern.

Und natürlich muss ich nächste Woche auch andere Abos wie z.b. „Lage der Nation Plus“ mit den neuen Zahlungsinformationen versorgen, aber da ist kein zeitlicher Druck, denn die haben gerade erst diese Woche abgebucht.

Folgen der Kartensperrung

Durch die Sperrung der Karte sehe ich zudem ein paar sichtbare Folgen. Die Sparkassen-App zum mobilen Bezahlen mit dem Smartphone bietet die gesperrte Kreditkarte nicht mehr an.

Im Online-Banking hätte ich gerne gesehen, ob der Phisher noch versucht hat die Karte zu belasten, aber im Online-Banking sehe ich meine Kreditkarten-Umsätze für diese Karte nicht mehr. Ich werde also bis nächsten Monat auf die Abrechnung warten müssen um zu sehen, ob da was passiert ist.

Was lerne ich nun daraus?

  1. Der Glaube, dass einem so was ja nie passieren wird weil man immer aufpasst… das vergessen wir gleich mal wieder.
  2. Wenn etwas versucht Dich unter Zeitdruck zu setzen, dann erst mal zurücklehnen und noch mal darüber nachdenken, was da gerade passiert.
  3. Finanztransaktionen nicht in einer Situation tätigen in der man eh gerade gestresst und abgelenkt ist.
  4. Bei „Gewinnspielen“ vorsichtig sein, einfach an das ukrainische Sprichwort denken, das gerade durch meinen Mastodon-Feed geistert: „The only free cheese is the one in the mouse trap.“
  5. Die „trusted shop“ etc. Logos mögen nett sein, aber sie vermitteln ein falsches Gefühl der Sicherheit. Oder gibt es eine Möglichkeit herauszufinden, dass die Seite welches mir das Logo anzeigt wirklich vom Logo-Anbieter geprüft und für sicher befunden wurde?

Nun denn, es ist passiert, ich habe mein möglichstes getan um den Schaden zu begrenzen und ich werde nächste Woche ein wenig Aufwand haben wenn die neue Karte da ist. Und ich werde mich hoffentlich zukünftig an die obigen Punkte erinnern.

Am Ende aber noch eine Buchempfehlung: Besorgt Euch das Buch von Eva, es ist sehr interessant und lesenswert und wenn ihr es über obigen Link von der Bundeszentrale für politische Bildung bestellt bekommt ihr eine Auflage die preiswerter ist als die Version die es im regulären Buchhandel zu kaufen gibt.

Dieser Eintrag wurde von Rainer unter Vermischtes veröffentlicht und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Über Rainer

Diplom-Informatiker, Baujahr 1961, Vater von 2 Kindern, Hundehalter, Sportschütze und Vereinsvorstand, Hobbymusiker (mit zweifelhaftem Erfolg), politisch interessiert, Leseratte, Freizeit-Philosoph und letztlich Blogger.

3 Gedanken zu „Abgefischt

  2. @rainer Ach du liebe Zeit! So ein Schlamassel.

    Da war ich mit „neues Handy, vergessen, das Onlinebanking zu übertragen, und jetzt versuch mal, bei drei verschiedenen Banken die drei verschiedenen Wege rauszufinden, um diesen f*cking Freischaltcode zu bestellen“ ja noch easy dran.

  3. Ich empfehle für solche Sachen Revolut als Zusatzbank. Konto ist kostenlos, und es gibt dort einmalige virtuelle Wegwerf-Kreditkarten, die man für komische Onlineshops oder Zahlungen, die man nur einmal tätigen will, nutzen kann.

Die Kommentare sind geschlossen.