Aktuelle Sicherheitshinweise

Betrüger stellen Phishingseiten ins Internet, die Bankenseiten imitieren und auf denen dann Konto- und Zugangsdaten und andere für das Online-Banking relevante Daten von Bankkunden abgefragt werden.

Überprüfen Sie die URL

• Stellen Sie sicher, dass die URL korrekt ist und keine Rechtschreibfehler oder ungewöhnliche Symbole enthält, die auf eine gefälschte Website hinweisen könnten.
• Achten Sie darauf, dass die Domain (z.B. https://mlp.de/banking/) korrekt geschrieben ist und keine zusätzlichen Wörter oder Zahlen enthält.

Überprüfen Sie das SSL-Zertifikat

• Suchen Sie nach einem geschlossenen Vorhängeschlosssymbol in der Adressleiste des Browsers, das anzeigt, dass die Verbindung sicher ist.
• Klicken Sie auf das Vorhängeschlosssymbol, um zu überprüfen, ob das SSL-Zertifikat gültig und von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Achten Sie auf die Website-Authentifizierung

• Überprüfen Sie, ob die Website ein offizielles Logo oder andere Identifikationsmerkmale Ihrer Bank enthält.
• Vergleichen Sie das Erscheinungsbild der Website mit der offiziellen Website Ihrer Bank, um Unstimmigkeiten festzustellen.

Geben Sie keine sensiblen Informationen ein

• Geben Sie niemals persönliche oder finanzielle Informationen auf einer Website ein, die nicht vertrauenswürdig erscheint und oben genannte Kriterien nicht erfüllt.
• Seien Sie misstrauisch, wenn die Website unangemessen viele persönliche Daten anfordert.

Prüfen Sie immer exakt die Anzeige im Sicherheitsverfahren SecureGo plus oder Smart TAN plus. Geben Sie keine Aufträge frei, die Sie nicht selbst erfasst haben.

Betrüger versuchen mittels der SMS-Phishing-Methode, Bankkunden über SMS-Nachrichten auf Phishingseiten zu leiten oder sie zu animieren, Kontakt mit den Betrügern aufzunehmen.

Darüber hinaus kann auch zur Installation eines Trojaners aufgefordert werden.

Zur Vermeidung eines Phishing-Erfolgs empfehlen wir folgende Maßnahmen:

• Folgen sie keinen Links aus SMS-Nachrichten
• Rufen Sie das Onlinebanking direkt per Banking App oder über den Login auf unserer Homepage auf
• Prüfen Sie Ihnen per SMS zugespielte Informationen auf Echtheit
• Sensible Daten, wie PIN oder TAN, werden durch die Bank bzw. Bankmitarbeiter nicht per Mail, SMS, telefonisch oder ähnlich abgefragt

Ziel des sogenannten "Quishings" (QR-Code-Phishing) ist es, u. a. Bankkunden mit vertrauenserweckenden Briefen dazu zu bringen, einen QR-Code zu scannen.

In den bekannten Fällen leitet der QR-Code auf Phishing-Seiten oder Seiten mit Schad-Code weiter. Dadurch werden Zugangsdaten abgegriffen, die im weiteren Verlauf in betrügerischer Absicht verwendet werden.

In Deutschland sind neben klassischem Brief-Phishing auch unadressierte Postwurfsendungen und Briefe mit Einschreiben bekannt geworden. In einzelnen Kampagnen sind dabei mehrere zehntausend Briefe versendet worden sein

Anstatt aufwändig Internetseiten zu bauen, die denjenigen einer Bank möglichst stark ähneln, versuchen Betrüger auf viel einfachere Art und Weise an persönliche Daten zu gelangen. Sie schicken Phishing-Mails, in denen sie die unterschiedlichsten Vorwände angeben, damit die Empfänger persönliche Daten preisgeben. Die Vorwände sind so gewählt, dass sie die Empfänger auf zwischenmenschlicher, persönlicher Ebene ansprechen. So versuchen die Betrüger, das Vertrauen der Empfänger zu gewinnen und sie zu beeinflussen.

Hier einige Beispiel für Vorwände, mit denen Betrüger versuchen, das Vertrauen der Empfänger zu gewinnen:

• Erbe, meist mit attraktiven Summen als Nachlass
• Absender gibt sich als Dienstleister aus
• Absender gibt sich als Bankmitarbeiter aus
• Absender gibt sich als Mitarbeiter einer Meldebehörde aus
• Absender gibt sich als Mitarbeiter der Bundesregierung aus

Anders als viele andere Phishing-Mails enthalten diese in betrügerischer Absicht versendeten Mails meistens keine Links oder Schadsoftware.

E-Mails unverzüglich löschen

Empfänger der beschriebenen E-Mails sollten diese unverzüglich löschen und keinesfalls angegebene Daten oder ihre Identität auf andere Weise bestätigen. Sollten Sie die Daten jedoch bereits bestätigt haben, sperren Sie bitte unverzüglich Ihre Debitkarte, Kreditkarte beziehungsweise das Online-Banking und nehmen Sie Kontakt mit Ihrer Bank auf.

Erneut in Betrugsabsicht versendete Aufforderung, die eigenen Daten beziehungsweise die Mobilfunknummer aufgrund der Datenschutzgrundverordnung zu bestätigen

Wir warnen aktuell vor E-Mails, die in betrügerischer Absicht auf die Datenschutzgrundverordnung (DSGVO) Bezug nehmen. Sie enthalten die Aufforderung, die eigenen Daten beziehungsweise die Mobilfunknummer aufgrund der DSGVO zu bestätigen. Damit versuchen die Versender der Phishing-Mails, an Zugangsdaten und personenbezogene Informationen zu gelangen.

Betrüger machen sich in E-Mails weiterhin die DSGVO zunutze

Wegen der Datenschutzgrundverordnung haben viele Unternehmen, Vereine und weitere Organisationen E-Mails mit der Bitte um Einverständniserklärung zur Datennutzung oder mit Hinweisen zum Umgang mit den vorhandenen Daten versendet. Betrüger imitieren diese E-Mails und nutzen die Fälschungen zum Phishing.

Klicken Sie nicht auf die angezeigten Links

Empfänger der beschriebenen E-Mails sollten diese unverzüglich löschen und keinesfalls auf angezeigte Links klicken oder ihre Daten auf andere Weise bestätigen. Sollten Sie auf einen Link geklickt haben oder unsicher sein, ob sich bereits ein Trojaner auf Ihrem Heim-Computer oder Mobilgerät befindet, lassen Sie sich bitte von einem IT-Spezialisten beraten. Desktop-Rechner, Laptop, Smartphone oder Tablet sollten genau untersucht und bis zur Beseitigung der Schadsoftware auf keinen Fall mehr für das Online-Banking genutzt werden.

Aktuell kommt es bei Bankkunden vermehrt zu Anrufen von Betrügern, die sich als Mitarbeiter der jeweiligen Bank ausgeben – die Vorgehensweise der Betrüger:

• Bei ihren Anrufen nutzen die Betrüger gefälschte (echte) Telefonnummern, z.B. die der MLP Banking AG und geben sich als Bankmitarbeiter aus. Vor einem solchen Anruf haben die Betrüger in den bisherigen Fällen durch andere Phishing-Methoden die Zugangsdaten für das Onlinebanking ausgespäht und sind bereits eingeloggt. Dadurch sind den Betrügern auch viele Details zum Bankkunden und den bestehenden Konten bekannt.
• Der Angerufene wird nun darauf hingewiesen, es gäbe z. B. Auffälligkeiten im Konto oder es wären betrügerische Überweisungen, meist Sofortüberweisungen, ausgeführt worden. Für eine Rücküberweisung müssten TANs generiert werden, die dem Bankmitarbeiter durchgegeben werden sollen. Folgt der Bankkunde diesen Aufforderungen, erhalten die Betrüger TANs, mit denen dann tatsächlich betrügerische Überweisungen ausgeführt werden.
• Gehen Sie nicht auf die Forderungen ein und geben Sie keine Daten oder TANs am Telefon weiter:
  
  • Empfänger solcher Telefonanrufe sollten nicht auf die Forderungen eingehen, sondern einfach auflegen. Die MLP Banking AG bzw. deren Mitarbeiter werden Sie niemals telefonisch nach TANs fragen oder zur Ausführung einer oder mehrerer Überweisungen oder Rücküberweisungen auffordern. Haben Sie solch einen Anruf erhalten und eine TAN-Freigabe erteilt, wenden Sie sich bitte unverzüglich an Ihre MLP Banking AG. Sperren Sie außerdem Ihren Zugang zum Online-Banking.
  • Sind Sie unsicher, ob es sich bei dem Anrufenden um einen Mitarbeiter oder eine Mitarbeiterin der MLP Banking AG handelt, so notieren Sie sich gerne den Namen und rufen dann unter den bekannten Kontaktdaten selbst bei der Bank an.

Aus aktuellem Anlass weisen wir auf eine momentan gängige Betrugsmasche hin, und raten diesbezüglich zu entsprechender Vorsicht.

Das Wichtigste zu Anrufen angeblich im Namen von Interpol/Europol

• Vorsicht bei Anrufen, bei denen sich der Anrufende als Mitarbeiter einer (internationalen) Polizeibehörde ausgibt. Zu Beginn des Telefonates läuft in den bekannten Fällen zunächst eine Bandansage, bei welcher aufgefordert wird, eine Tastenauswahl zu treffen (z. B. „Eins“). Nach Drücken der Taste erfolgt eine Weiterleitung zu einer Person, die – teils in englischer Sprache – zur Herausgabe persönlicher Daten oder zur Überweisung von Geld auffordert.
• Werden Sie von einem vermeintlichen Behördenmitarbeiter angerufen, beenden Sie das Telefonat sofort und geben keine persönlichen Daten an. Veranlassen Sie unter keinen Umständen die geforderten Überweisungen!
• Sind Sie Opfer der genannten Betrugsmasche geworden, finden Sie unter Notfälle eine Übersicht der nächsten Schritte.

Das Wichtigste zu Anrufen angeblich im Namen von Microsoft

• Vorsicht bei gefälschten Warnhinweisen am PC oder Anrufen von vermeintlichen Microsoft-Mitarbeitern, die versuchen Sie zu überzeugen, dass Ihr Computer von Viren befallen sei.
• Microsoft führt nach eigenen Angaben keine unaufgeforderten Telefonanrufe durch, um schadhafte Geräte zu reparieren - selbst auf offizielle Support-Anfragen erfolgen Hilfestellungen fast ausschließlich per E-Mail.
• Werden Sie von einem angeblichen Microsoft-Mitarbeiter angerufen, beenden Sie das Gespräch sofort.
• Haben Sie bereits mit einem angeblichen Microsoft-Mitarbeiter gesprochen, trennen Sie Ihren PC vom Netz und ändern Sie Ihre Passwörter.

Die Täter gehen erfahrungsgemäß mit zwei unterschiedlichen Methoden vor:

Zum Einen erhalten die Opfer einen Anruf einer vor der Übertragung gefälschten deutschen Nummer eines angeblichen Microsoft-Support-Mitarbeiters. Dieser behauptet in Englisch oder (gebrochenem) Deutsch, der PC des Opfers weise ein schwerwiegendes Problem auf und rät dem Betroffenen, ein Fernwartungstool auf seinem PC zu installieren, damit der Fehler durch Microsoft behoben werden kann. Für diesen Dienst verlangt der Anrufer eine entsprechende Servicegebühr, welche noch während des Telefonates überwiesen werden soll. Der Anrufer ist unter Umständen bei der Erfassung sogar „behilflich“.

Bei der zweiten Methode erscheint eine angebliche „Warnung“ auf dem PC, welche darauf hinweist, dass auf dem Rechner ein schwerwiegender Fehler aufgetreten sei. Hierbei soll der Nutzer eine entsprechende Rufnummer diesbezüglich kontaktieren. Auch hierbei wird ein „Fernwartungstool“ auf dem Rechner installiert, sowie eine Überweisung des Entgeltes verlangt.

Bei beiden Varianten werden im Hintergrund ggfs. auch weitere Daten abgegriffen, bzw. es werden weitere Kosten erhoben, z. B. für einen angeblichen Wartungsvertrag.

Auch auf der Homepage von Microsoft selbst wird über den nachfolgenden Link vor den oben beschriebenen oder ähnlichen Vorgehensweise gewarnt. https://news.microsoft.com/de-de/microsoft-anrufe-scam/