Gibt der Benutzer auch hier seine Daten ein, wird er im Anschluss - wie schon seit 2013 - an www.vr.de weitergeleitet.
Soweit die Fakten.
Da wir seit November vermehrt auf Betrugsversuche in Zusammenhang mit Telefonbanking hingewiesen wurden, bei denen die Betrüger im Besitz der benötigten Informationen waren, gehen wir aktuell von folgender Annahme aus:
Die Betrüger nutzen die abgephishten Daten, um via Telefonbanking folgende Aktionen durchzuführen:
- Änderung der Limits
- Hinterlegen einer eigenen Telefonnummer für das mobileTAN-Verfahren (sowohl Zugangsdaten als auch Telefonnummer für TAN unter Kontrolle der Betrüger)
- Betrügerische Überweisungen
Offenbar werden hier auch gezielt Konten ausgewählt, bei denen ein hohes Guthaben verfügbar ist.
Bereits im September wurde ein Fall bekannt, in dem Betrüger mittels Brief mit gefälschter Unterschrift versucht hatten, einen Wechsel des TAN-Verfahrens umsetzen zu lassen. Ob hier ein Zusammenhang besteht ist nicht klar.
Die hier getroffenen Annahmen würden bedeuten, dass für den beschriebenen Modus Operandi eine Trojanerinfektion eines oder mehrerer Kanäle hinfällig ist, da alleine das Abphishen der Daten zum Erfolg führt. Somit entfallen auch einige Möglichkeiten eines gezielten Abstellens der Masche, da keine C&C-Server-Architektur (Steuerserver für Trojaner) notwendig ist, um die infizierten Geräte zu kontrollieren.
Über das Einsammeln und Zwischenspeichern der abgephishten Daten liegen uns derzeit noch keine Erkenntnisse vor.