80'000 Franken gestohlen

Betrüger kapern Postfinance-Konto - ohne Passwort

Uhr
von Sara Meier und msc

Hacker haben sich per Phishing-Website einige Anmeldedaten einer Postfinance-Kundin geholt, jedoch nicht das Passwort. Trotzdem konnten sie sich ins Konto einloggen und 80’000 Franken entwenden. Wie die Betrüger an das Passwort kamen, bleibt ein Rätsel.

(Source: Elisa Ventur / unsplash.com)
(Source: Elisa Ventur / unsplash.com)

Eine Postfinance-Kundin ist Opfer einer Phishing-Kampagne geworden. Die Frau bat zunächst online ein Bett zum Verkauf an, wie "Kassensturz" berichtet. Eine Interessentin habe sich gemeldet sich und gefragt, ob sie das Bett per Post abholen lassen könne - die Post biete nämlich einen solchen Service an. Was die Verkäuferin zu diesem Zeitpunkt nicht wusste, war, dass die Post eben keinen solchen Service anbietet und sie gerade auf einen Phishing-Versuch hereinfiel. Auf einer gefälschten Post-Website habe die Frau nichtsahnend ihre Adresse, IBAN und einen - tatsächlich von der Postfinance stammenden - SMS-Verifizierungscode eingegeben. Kurz darauf übernahmen die Täter das Konto und stahlen 80'000 Franken, wie es heisst. 

Gegenüber "Kassensturz" sagte die Frau jedoch, sie habe nie ihr Passwort angegeben. "Das ist auf meinem Handy gespeichert und so komplex, dass ich es gar nicht auswendig weiss", erklärte die 36-Jährige. Daraufhin fragte "Kassensturz" bei Postfinance nach, wie es denn möglich sei, ohne ein Passwort in ein Postfinance-Konto zu gelangen. Die Antwort: "Ohne die E-Finance-Nummer, Passwort und ein drittes Sicherheitselement ist es nicht möglich, sich im E-Finance anzumelde", zitiert "Kassensturz". "Im vorliegenden Fall haben sich die Betrüger Zugang zu diesen streng vertraulichen Daten verschafft, indem sie das Vertrauen der Kundin missbrauchten." Die Kundin habe die Sorgfaltspflicht verletzt und sei somit für den Schaden verantwortlich, so die Bank. Einen Beweis, dass die Hacker das Passwort erlangen konnten, legte Postfinance gegenüber "Kassensturz" nicht vor. 

Merkwürdig ist laut der Betroffenen ebenfalls, dass das Sicherheitssystem der Postfinance die ersten Zahlungsversuche der Betrüger als missbräuchlich erkannt habe, die darauffolgenden jedoch nicht. Diese Frage habe "Kassensturz" an Postfinance weitergeleitet. Die Bank beantwortete die Frage jedoch nicht und gab an, dass sie aus sicherheitstechnischen Gründen keine Antwort geben könne. 

Oft verwenden Phishing-Betrüger gefälschte Post-Websites für ihre Aktionen. Von den 10'000 vom BACS erkannten Phishing-Websites im Jahr 2023 waren mehr als 40 Prozent davon Fake-Post-Websites. Mehr dazu lesen Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
f7kjnjD8