Zum Inhalt springen

Hacking Postfinance-Konto geleert – Bank gibt Kundin Schuld

Betrüger kapern per Phishing ein Konto und erbeuten 80'000 Franken. Postfinance lässt die Kundin im Regen stehen.

Diesen Tag vergisst E.F. nicht so bald. Die 36-Jährige will nur kurz eine Zahlung in der Postfinance-App erledigen. Doch sie kann sich nicht einloggen. «Falsches Passwort» meldet die App.

Über 80'000 Franken waren weg. Mein ganzes Erspartes!
Autor: E. F. Phishing-Opfer

Böses ahnend eilt sie zum nächsten Postomaten und stellt fest: Ihr Konto ist leer. «Über 80'000 Franken waren weg. Mein ganzes Erspartes!»

Kriminelle geben sich als Käufer aus

Angefangen hat alles mit einem Inserat auf Anibis und Facebook Marketplace. Dort bietet E. F. Möbel an. Kurz darauf meldet sich eine Frau per Whatsapp und zeigt Interesse am inserierten Bett.

Sie fragt, ob sie das Bett abholen lassen könne, die Post biete einen solchen Transport-Service an.

Eine Website der Post, die jedoch gefälscht ist.
Legende: Mit einer angeblichen Post-Website locken Betrüger ihre Opfer in die Falle. zVg

Sie schickt ein Foto der angeblichen Post-Website mit dem Angebot. Die URL und das Logo scheinen der Verkäuferin in Ordnung. Nur: Es gibt gar keinen solchen Post-Service. Nichts ahnend, steigt die 36-Jährige auf den Vorschlag ein.

Geschickt manipulierte Fake-Website

Danach schickt ihr die Käuferin einen Link zu einer (angeblichen) Post-Website, um Transport und Bezahlung zu regeln. «Ich habe ein Postfinance-Konto und dachte: Eine Zahlung von Post zu Post ist normal. Mir kam das nicht verdächtig vor.»

Sie gibt auf der Site Name, Adresse und IBAN an. Kurz darauf erhält sie per SMS einen Verifizierungscode, der – tatsächlich – von Postfinance stammt. Den Code tippt sie auf der Fake-Website ein – im Glauben, es sei die offizielle Post-Website.

«Kassensturz» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

Jetzt passiert es: Die Hacker übernehmen das Konto und bestellen für über 80'000 Franken Elektronik bei grossen Onlineshops. Wie die Täter es geschafft haben, ihr Konto zu kapern, ist für E. F. ein Rätsel.

Sie sieht ein, dass sie auf einen Phishing-Trick hereingefallen ist. Doch: «Ich habe nie mein Login-Passwort angegeben. Das ist auf meinem Handy gespeichert und so komplex, dass ich es gar nicht auswendig weiss.»

Wie gelangten die Kriminellen an das Login-Passwort? Ein Rätsel

«Kassensturz» fragt bei Postfinance nach: Wie konnten sich die Täter ohne Passwort in das E-Finance der Kundin hacken? Die Bank widerspricht: «Ohne die E-Finance-Nummer, Passwort und ein drittes Sicherheitselement ist es nicht möglich, sich im E-Finance anzumelden. Im vorliegenden Fall haben sich die Betrüger Zugang zu diesen streng vertraulichen Daten verschafft, indem sie das Vertrauen der Kundin missbrauchten.»

So schützen Sie sich vor Phishing

Box aufklappen Box zuklappen

Mit den folgenden vorbeugenden Massnahmen können Sie sich laut Bundesamt für Cybersecurity vor Phishing-Versuchen schützen:

  • Wenn immer möglich, sollte eine Zwei-Faktor-Authentifizierung installiert werden.
  • Banken und Kreditkarteninstituten, die Sie per Mail auffordern, ihr Passwort zu ändern oder ihre Kreditkarte zu verifizieren, ist nicht zu trauen.
  • Keine Passwörter oder Kreditkarten auf einer Website eingeben, die über einen Link in einer E-Mail oder SMS angeklickt wurde.
  • Skeptisch sein, wenn E-Mails eine Aktion von Ihnen verlangen und bei Nichtausführung mit Konsequenzen drohen (Geldverlust, Anzeige etc.).

Mit der Weitergabe des Sicherheits-Codes hätte die Kundin Ihre Sorgfaltspflicht verletzt und trage somit die Verantwortung für den Schaden. Einen Beleg, dass die Täter das Passwort erhalten haben, legt Postfinance nicht vor.

Sicherheits-System von Postfinance schlägt an – und dann wieder nicht

E. F. kritisiert ausserdem das Sicherheits-System von Postfinance. Denn: Die ersten vier Zahlungsversuche der Kriminellen über 34'000 Franken hatte dieses gestoppt. Doch die weiteren nicht. «Wie kann es sein, dass das System die ersten Überweisungen als missbräuchlich erkennt, die restlichen aber nicht?» Postfinance will diese Frage nicht beantworten. «Aus sicherheitstechnischen Gründen können wir dazu keine Antwort geben.»

Wie auch immer die Täter vorgegangen sind: Der Fall zeigt einmal mehr, dass man bei Online-Geschäften auf keinen Fall auf ungewöhnliche Vorschläge und Zahlungsmodalitäten eingehen sollte. Hätte E. F. auf Barzahlung oder eine Twint-Überweisung beharrt, wären die Täter chancenlos geblieben.

Weiterführende Links

Kassensturz, 6.2.2024, 21:05 Uhr

Meistgelesene Artikel