Solche Aktionen machen Sorgen – auch BA-CA-Sprecher Tiemon Kiesenhofer: Wir warnen davor, dort etwas einzugeben.
Laut Kiesenhofer sei am Nachmittag um etwa 13.30 Uhr eine sehr große Zahl der Phishing-Mails verschickt worden. Ich glaube, ganz Österreich hat das bekommen, meinte Wolfgang Trexler, Produktmanager für Online Banking bei der BA-CA. Wie viele Kunden betroffen seien, müsse allerdings erst in den kommenden Tagen eruiert werden. Die Nachrichten scheinen wie Spam-Mails von mehreren Computer im Ausland verschickt worden zu sein, erklärte Trexler.
Dennoch macht man sich bei der BA-CA keine Sorgen: Wir erwarten keine oder nur eine sehr geringe Schadenssumme, sagte Kiesenhofer. Die Kunden seien inzwischen sehr sensibel für Phishing-Attacken. Aus diesem Gründen würden wahrscheinlich nur sehr wenige auf die E-Mails reagieren und ihre Daten verraten. Bei einem ähnlichen Fall im Februar sei nur ein Kunde betroffen gewesen, der sich kurz nach dem Vorfall selbst bei der Bank gemeldet hätte.
Erkennbar werden die betrügerischen Absichten laut Trexler schon beim Aufrufen der Seite. Der im E-Mail angegebene Link führe zu keiner verschlüsselten Seite, so der Experte. Das BA-CA Online-Banking werde allerdings nur in diesen geschützen Bereichen durchgeführt. Kunden, die auf der vermeintlichen BA-CA Homepage ihre Daten bekannt gegeben haben, sollen sich unter der Telefonnummer 050505-26100 melden. Die Hotline ist täglich 24 Stunden erreichbar und kann den Online-Zugang innerhalb weniger Minuten sperren.
Selbst wenn es den Betrügern gelingt, TANs abzufangen, können sie damit möglicherweise gar nichts anfangen, erklärte Trexler. Denn die BA-CA habe schon im März auf iTANS (Indizierte Transaktionsnummern) umgestellt. Die Nummern können dabei nicht mehr in beliebiger Reihenfolge verwendet werden, da die Bank für jeden Auftrag eine bestimmte TAN verlange.
Mit der gestohlenen Nummer könnten die Diebe also nur dann etwas anfangen, wenn für die betrügerische Transaktion genau die gestohlene TAN benötigt werde, berichtete Trexler. Bei vier falschen Eingaben wird der Online-Banking-Zugang automatisch gesperrt. Die Kunden selbst verfügen über 100 Transaktionsnummern, die von der Bank zum Unterschreiben verlangt werden. Selbst wenn die Betrüger zehn davon habe, sei es statistisch unwahrscheinlich, dass damit ein Auftrag durchgeführt werden könne, so Trexler.
