Der Betrug mit digitalen Wallets gewinnt spürbar an Bedeutung. Banken und Zahlungsdienstleister berichten über eine wachsende Zahl von Fällen, in denen Zahlungskarten in Verbindung mit Apple Pay oder Google Pay missbräuchlich eingesetzt werden. Auffällig ist dabei, dass die betroffenen Karten weiterhin beim eigentlichen Karteninhaber verbleiben.
Der Angriffspunkt liegt beim Menschen, nicht bei der Technik
Die Vorgehensweise folgt einem bekannten Muster: Persönliche Daten werden im Vorfeld über Phishing abgegriffen. Der eigentliche Schaden entsteht jedoch erst deutlich später, wenn die Täter telefonisch Kontakt aufnehmen und sich als Bankmitarbeiter ausgeben. Entscheidend ist dabei nicht technische Raffinesse, sondern soziale Manipulation. Die Anrufer verfügen über genügend korrekte Informationen, um glaubwürdig zu wirken. In der Folge konstruieren sie eine angebliche Sicherheitslage, etwa nicht erkannte Kartenumsätze, und leiten daraus weitere Maßnahmen ab. An diesem Punkt setzen sie auf Zeitdruck und Verunsicherung.
Die kritische Freigabe ist technisch legitim
Was den Betrug besonders problematisch macht: Die entscheidende Freigabe ist aus technischer Sicht korrekt. Banken versenden tatsächlich Push-Benachrichtigungen oder Einmalcodes, wenn eine Karte zu einer Wallet hinzugefügt wird. Genau diese Abfrage wird von den Tätern ausgelöst, nachdem sie die Kartendaten bereits in ihrem Besitz haben. Bestätigt der Kunde diese Anfrage, wird die Karte auf einem fremden Gerät aktiviert – vollständig regelkonform. Für die nachgelagerten Zahlungssysteme ist der Vorgang damit zunächst nicht auffällig.
Wallet-Zahlungen sind für Händler schwer zu unterscheiden
Nach erfolgreicher Hinterlegung handeln die Täter schnell. Bezahlt wird bevorzugt bei Händlern, bei denen hochpreisige Waren mit geringem Wiederverkaufsverlust erhältlich sind. Elektronik, Smartphones oder Markenbekleidung lassen sich rasch weiterveräußern, bevor Sperrmechanismen greifen. Für Händler ist eine Wallet-Zahlung in der Regel nicht von einer regulären Transaktion zu unterscheiden. Auch aus Bankensicht ist der Missbrauch schwer frühzeitig zu erkennen, da die Zahlung formal korrekt autorisiert wurde.
Warum diese Masche zunimmt
Auffällig ist, dass dieser Betrugstyp gerade deshalb zunimmt, weil klassische Sicherheitsmechanismen besser greifen. Wo direkte Überweisungsbetrügereien häufiger scheitern, weichen Täter auf indirekte Angriffswege aus. Wallets bieten sich an, weil sie Komfort und Geschwindigkeit mit vergleichsweise wenigen Nutzerinteraktionen verbinden. Hinzu kommt ein Gewöhnungseffekt. Sicherheitswarnungen werden häufig bestätigt, ohne den genauen Kontext zu prüfen. Genau darauf setzen die Täter.
Verantwortung und Grenzen der Systeme
Weder Apple noch Google entscheiden letztlich über die Freigabe einer Karte. Diese Verantwortung liegt bei den Banken. Die Wallet-Anbieter stellen die Infrastruktur bereit, während Institute über zusätzliche Prüfungen, Verzögerungen oder Limits entscheiden können. Viele Banken haben ihre Verfahren bereits angepasst, etwa durch zusätzliche Prüfungen bei Wallet-Aktivierungen oder durch verzögerte Freischaltungen. Dennoch bleibt der entscheidende Faktor der Nutzer selbst.
Irgendwie bin ich gerade froh das meine Bankkarte weder von Google noch von Samsung Wallet (Pay) akzeptiert wird.
das Problem ist hier einfach die Intransparenz und die Ahnungslosigkeit der Benutzer. die Leute verstehen doch gar nicht was da passiert.
Es wird aber auch den Betrügern wirklich leicht gemacht.
gepostet mit der Deskmodder.de-App für iOS
Und was hat das damit zu tun das ich diese Apps gar nicht verwenden kann selbst wenn ich es wollte? Die einzigen 2 Bezahlapps die bei mir laufen sind Paypal und die von meiner Bank.
Wie immer bei allem was mit IT zu tun hat:
bequem und sicher schließen sich in gewisser Weise gegenseitig aus.
„Banken versenden tatsächlich Push-Benachrichtigungen oder Einmalcodes, wenn eine Karte zu einer Wallet hinzugefügt wird. Genau diese Abfrage wird von den Tätern ausgelöst, nachdem sie die Kartendaten bereits in ihrem Besitz haben. Bestätigt der Kunde diese Anfrage, wird die Karte auf einem fremden Gerät aktiviert – vollständig regelkonform.“
Wenn ein Kunde eine solche Anfrage bestätigt, ist er am Ende halt auch selbst Schuld. Wieso sollte ich sowas bestätigen wenn mich jemand anruft?
Der Scam stinkt doch 20 KM gegen den Wind, man muss schon sehr wenig Ahnung haben um darauf reinzufallen
BARGELD und fertig – Faulheit beenden – Grüße aus dem Stromausfallgebiet !!!!
Schon etwas widersprüchlich in der digitalen Welt das analoge Leben zu preisen als wäre es der heilige Gral.
Gibt auch genug Dumme die sich Falschgeld andrehen lassen… Dumme sind nunmall Opfer egal ob im, analogen Leben oder im digitalen Leben. Dagegen hilft Bildung… ist halt nicht immer gewünscht!
Hmm also ich habe ja die sparkasse da nichts per SMS irgent was sondern per sk Sicherheits app mit 2 mal Daumen auflegen 😁
Email öffnen ist immer noch das Grösste tor, und im sms irgent was anklicken weil seht wurde gerade Ware für 3000 Euro bestellt und so da klicken den viele an.
Öm Bildung
Naja wenn ich so lese Informatiker verliert 20000 Fr durch Fonds Betrüger und das ist Hochschule der Informatiker.