Die neuen Cyberfallen für Twint-User

Es ist keineswegs das erste Mal, dass das Bundesamt für Cybersicherheit (BACS) Nutzerinnen und Nutzer des Zahlungsdienstes Twint vor Betrügereien warnt. Im Sommer 2023 etwa, als die Behörde noch nationales Zentrum für Cybersicherheit (NCSC) hiess, erklärte sie schon einmal, mit welchen Tricks Cybergauner arbeiten, um Twint-Usern Geld abzuluchsen.

Oftmals missbrauchten sie damals für ihre Maschen bekannte Kleinanzeigenportale. Dies ist auch heute noch der Fall, wie das BACS in seinem aktuellen Wochenrückblick schreibt. Allerdings denken sich die Ganoven regelmässig neue Tricksereien aus.

Warten auf den unachtsamen Klick

In zwei vom BACS geschilderten Beispielen nehmen die Betrüger Käufer von Artikeln ins Visier. Nicht neu ist, dass sie sich zunächst für Waren bezahlen lassen, die sie nie verschicken werden. Allerdings haben sie sich mittlerweile eine Fortsetzung zu dieser Gaunerei ausgedacht. Im beim BACS gemeldeten Fall meldete sich der Betrüger nach der Bezahlung des Artikels erneut und berichtete von einem Missgeschick beim Postversand. Beim Versuch, das Paket zu verschicken, sei das Paket kaputt gegangen. Er werde für den Schaden aber natürlich aufkommen und das Geld via Twint zurücksenden.

Beim Opfer erschien dann tatsächlich eine Twint-Benachrichtigung. Allerdings war es keine Empfangsbestätigung, sondern eine Geldanforderung. Wer hier nicht aufpasst und auf "OK" klickt, wird gleich doppelt betrogen, wie das BACS schreibt.

Die Behörde merkt dazu an: "Der Empfang von Geld muss in der Twint-App niemals aktiv bestätigt werden."

Auch bei einer Variante mit einem QR-Code setzen die Kriminellen auf die Unachtsamkeit des Users. Als Aufhänger stellen sie beim Opfer etwa eine Rückerstattung in Aussicht und behaupten, man müsse lediglich den mitgeschickten QR-Code scannen, um das Geld zu empfangen. In Wahrheit löst das Opfer nach dem Scannen des QR-Codes und dem Bestätigen des Vorgangs eine Zahlung aus. In der Regel versuchten Betrüger auf diese Weise meistens, an Gutscheine zu kommen, erklärt das BACS.

Der falsche Kundendienst

Im dritten vom BACS geschilderten Beispiel betreiben die Betrüger einen grösseren Aufwand. Bei der Masche haben sie es auf Verkäufer von Waren abgesehen und ihr Ziel ist nichts geringeres als die Übernahme des Twint-Kontos ihres Opfers.

Der Betrug startet mit einer SMS der Kriminellen an den Verkäufer. Darin behaupten sie im Namen von Twint, es sei Geld eingegangen und fordern den Empfänger auf, die Transaktion mit Klick auf einen Link zu bestätigen. Dieser Link führt "auf eine angebliche Seite des Kleinanzeigenportals mit einem vermeintlichen Twint-Chat", schreibt das Bundesamt weiter. Im Chat geben sich die Betrüger als Twint-Kundendienst aus, bitten um die Beantwortung einiger Sicherheitsfragen und fragen nach einem zusätzlichen SMS-Bestätigungscode – alles, um angeblichen Betrugsversuchen vorzubeugen. In Wahrheit aber fragen sie dabei alle Sicherheitsmerkmale und Logindaten ab, die sie benötigen, um Twint mit dem Konto ihres Opfers auf einem eigenen Handy einzurichten. Sind sie damit erfolgreich, können sie nach Belieben Beträge abbuchen.

Um nicht solchen und ähnlichen Maschen zum Opfer zu fallen (und andere davor zu bewahren), hält das BACS folgende Ratschläge bereit.

• Leiten Sie auf keinen Fall Codes weiter, welche Sie per SMS, E-Mail oder Telefon erhalten haben;

• Geben Sie keine persönlichen Daten auf Formularen an, die Sie über einen Link in einer E-Mail oder einer Textnachricht geöffnet haben;

• Seien Sie vorsichtig in der Interaktion mit unbekannten Personen auf Online-Plattformen;

• Seien Sie bei jeder Zahlung aufmerksam und überprüfen Sie die Angaben, bevor Sie die Zahlung auslösen;

• Setzen Sie Limits auf allen Zahlungsmöglichkeiten entsprechend Ihrem Budget und der Sicherheit des Zahlungsmittels. Dies gilt insbesondere auf den Zahlungsmitteln, welche Sie online (über das Internet) oder kontaktlos verwenden;

• Nutzen Sie nie QR-Codes, die Ihnen jemand aus nicht vertrauenswürdigen Quellen zuschickt;

• Beim Verdacht auf betrügerische Absichten des Verkäufers oder der Verkäuferin stoppen Sie sofort die Kommunikation und ignorieren Sie zukünftige E-Mails;

• Informieren Sie die Kleinanzeigenplattform sowie den Kundensupport Ihrer Bank über den Vorfall. Diese kann entsprechende Angebote, Käufer und Verkäufer sperren.

Twint-Betrügereien gibt’s übrigens auch per E-Mail. Davor warnte unlängst die Kantonspolizei Zürich. Mehr zu der Masche lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.