Datenklau beim Online-Banking 30.10.2023, 13:32 Uhr

Neue Skimming-Masche trifft meist junge Leute

Und plötzlich war das Konto leer: Ein anscheinend harmlose SMS kann unerwartete und ernste Konsequenzen haben, wie Ermittler kürzlich feststellten. Insbesondere junge, digital affine Leute wurden Opfer einer neuen Betrugsmasche, die als „Skimming 2.0“ bezeichnet wird.

Bankautomat

Das einfache Auslesen von Bankkarten am Automaten war früher, heute gehen die Betrüger subtiler vor.

Foto: Panthermedia.net/prykhodov

Skimming, das Auslesen von Daten von Kredit- und Girokarten an Geldautomaten, ist seit längerem bekannt. Jetzt jedoch sehen sich Ermittler mit einer modernisierten Form dieser Betrugsmethode konfrontiert, die gezielt die jüngere Generation ins Visier nimmt – eine Generation, die nahezu sämtliche Angelegenheiten über ihr Smartphone abwickelt. Die Kriminellen versenden manipulierte SMS, um an sensible Daten für das Online-Banking zu gelangen. Ein besonders brisantes Beispiel für diese Praktiken wird gegenwärtig vor Gericht verhandelt. In Frankfurt hat die Generalstaatsanwaltschaft Anklage in einem Fall erhoben, der von den Ermittlern als „Skimming 2.0“ klassifiziert wird. Der Prozessbeginn ist für diesen Dienstag, den 31.10. am Amtsgericht Frankfurt anberaumt.

Das ist Skimming 1.0

Bevor wir uns mit Skimming 2.0 beschäftigen, erst einmal einige Infos zu Skimming 1.0: Dieses bezeichnet die illegale Praxis, Kredit- oder Girokarten (Debitkarten) an Geldautomaten oder Zahlungsterminals unbefugt auszulesen. Die Betrüger fokussieren sich dabei auf den Magnetstreifen der Karten, auf dem alle wesentlichen Bankinformationen gespeichert sind, um eine Duplikat-Karte zu erstellen. Sobald sie zusätzlich die persönliche Identifikationsnummer (PIN) ausspähen, sind sie in der Lage, Bargeld abzuheben oder Einkäufe zu tätigen – alles auf Kosten des Kartenbesitzers.

Die erfreuliche Nachricht für Verbraucher in Deutschland ist, dass der Magnetstreifen inzwischen obsolet geworden ist, da Transaktionen und Geldabhebungen hierzulande über den Chip auf der Karte abgewickelt werden. Jedoch ist es wichtig zu wissen, dass im nicht-europäischen Ausland Banken den Magnetstreifen nach wie vor nutzen.

Um an die sensiblen Bankdaten zu gelangen, manipulieren Kriminelle Geldautomaten oder Kartenlesegeräte in Einzelhandelsgeschäften. An Geldautomaten befestigen sie hierfür ein zusätzliches Lesegerät vor dem Kartensteckplatz, welches die Informationen des Magnetstreifens speichert. Neben den Daten von der Karte benötigen die Betrüger noch deren PIN. Um diese abzufangen, kleben sie eine kleine Kameraleiste über die Tastatur und filmen die PIN-Eingabe. Schon haben sie alles, um das Konto leerzuräumen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur Vermessung (m/w/d) Die Autobahn GmbH des Bundes
Montabaur Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Lösungsentwickler (w/m/d) im Digitallabor Geoinformatik Die Autobahn GmbH des Bundes
Niedersachsen.next GmbH-Firmenlogo
Themenmanager Mobilität und Digitalisierung | Mobilitätskonzepte (m/w/d) Niedersachsen.next GmbH
Hannover Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Vernetzte Eingebettete Systeme" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Energie und Wasser Potsdam GmbH-Firmenlogo
Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH
Potsdam Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Software Engineering - Moderne Verfahren" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
BIM-Manager (m/w/d) für Bauprojekte Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
NORDEX GROUP-Firmenlogo
SCADA Projektingenieur (m/w/d) NORDEX GROUP
Hamburg, Rostock Zum Job 
FlowChief GmbH-Firmenlogo
Techniker:in Automatisierung (SCADA) (m/w/d) FlowChief GmbH
Wendelstein Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Ingenieur (m/w/d) Elektrotechnik im Bereich Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Tandem-Professur Robotik, Data Science and AI, Digitalisierte Wertschöpfungsprozesse Hochschule Osnabrück
Osnabrück, Lingen Zum Job 
Tagueri AG-Firmenlogo
Consultant OTA - Connected Cars (m/w/d)* Tagueri AG
Stuttgart Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
B. Braun Melsungen AG-Firmenlogo
Global Lead (w/m/d) Operational Technology (OT) B. Braun Melsungen AG
Melsungen Zum Job 
WIRTGEN GmbH-Firmenlogo
Duales Studium Software Engineering - Bachelor of Engineering (m/w/d) WIRTGEN GmbH
Windhagen, Remagen Zum Job 
VIAVI-Firmenlogo
Senior / Software Engineer (C++, Python & Cloud) (m/w/d) VIAVI
Eningen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Teamleitung (w/m/d) BIM-Management Die Autobahn GmbH des Bundes
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 

So funktioniert Skimming 2.0

Dass die neue Betrugsmasche überhaupt aufgefallen ist, können wir „Kommissar Zufall“ verdanken. Eigentlich dachte die Polizeistreife, dass der Beschuldigte den Geldautomaten in Königstein ausspioniert, um ihn in die Luft zu sprengen. Bei der Kontrolle merkten die Beamten jedoch, dass es sich dabei um mehr handeln musste, denn es fiel auf, dass der Mann ungewöhnlich viele Smartphones mit den Zugangsdaten fremder Bankkonten bei sich hatte.

„Im Ausgangspunkt geht es darum, mit Hilfe einer angeblichen SMS der Bank an die Online-Banking Zugangsdaten zu gelangen“, erläuterte Kathrin Rudelt, Staatsanwältin von der Eingreifreserve der Generalstaatsanwaltschaft. Sobald der Kunde auf diese Nachricht reagiert, wird ganz automatisch eine Debitcard erstellt. Für den Geschädigten ist es dann fast schon zu spät, es sei denn, er schaut sich zeitnah die Einstellungen seines Online-Bankings ganz genau an. Dort  ist dann eine neue Zahlungsdienst-App hinterlegt. Dann besteht noch die Chance, diese sofort wieder zu entfernen. In den meisten Fällen merken es die Geschädigten jedoch nicht so schnell.

Abholer sind mit unzähligen Handys ausgestattet

Die Drahtzieher des Betrugsschemas rüsten die sogenannten „Abholer“ später mit einer Serie von Mobiltelefonen aus, die mit digitalen Debitkarten verknüpft sind. Diese werden dann dazu genutzt, an Geldautomaten Bargeld abzuheben. Aber warum reicht nicht ein Smartphone dafür aus?  „Hintergrund ist, dass die Geldautomaten erkennen, dass mit einem Telefon bereits eine bestimmte Summe abgehoben worden ist“, so die Staatsanwältin.

Durch den Einsatz einer Vielzahl von Handys, die jeweils mit unterschiedlichen digitalen Debitkarten verbunden sind, können die Täter an Geldautomaten, die in der Regel an abgelegenen Orten stehen, sowohl vor als auch nach Mitternacht das jeweilige Tageslimit abheben. Im speziellen Fall des in Königstein festgenommenen Mannes hat sich herausgestellt, dass er vermutlich Teil einer bundesweit operierenden Gruppierung ist. Der Festgenommene muss mindestens einen Komplizen gehabt haben, denn obwohl nachweislich „fortlaufend“ Geld abgehoben wurde, konnte bei seiner Festnahme kein Bargeld sichergestellt werden.

Insbesondere junge Leute unter den Opfern

Bei der Betrugsmasche „Skimming 2.0“ ist den ermittelnden Behörden eine charakteristische Besonderheit aufgefallen: Die Mehrzahl der Geschädigten sind junge Menschen, meist Anfang 20. Dies könnte darauf zurückzuführen sein, dass in dieser Altersgruppe das Smartphone als zentrales digitales Instrument dient, obwohl „digital natives“, also Personen, die mit digitalen Technologien aufgewachsen sind, eigentlich ein erhöhtes Bewusstsein für illegale Datenabfragen haben sollten.

„Wenn man auf so eine betrügerische SMS reingefallen ist und seine Kontodaten preisgegeben hat, passiert danach häufig erstmal nichts. Dann denkt selbst der vorsichtige jüngere Nutzer wahrscheinlich eher, dass damit alles seine Richtigkeit hat und dass es tatsächlich auch eine Aufforderung der Bank war“, so die Vermutung.

Ein Beitrag von:

  • Dominik Hochwarth

    Redakteur beim VDI Verlag. Nach dem Studium absolvierte er eine Ausbildung zum Online-Redakteur, es folgten ein Volontariat und jeweils 10 Jahre als Webtexter für eine Internetagentur und einen Onlineshop. Seit September 2022 schreibt er für ingenieur.de.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.