• Ein Paar wurde mithilfe einer dritten Girocard um mehrere Tausend Euro betrogen.
• Das kontaktlose Bezahlen über Apple Pay könnte den Betrügern in die Karten gespielt haben.
• Das Sperren der Giro-Card reicht nicht. Wir erklären, was getan werden muss.

Kreis Euskirchen/Weilerswist – Der Schock sitzt bei Sandra und Günther Hoffmann (Namen geändert) auch nach einer Woche noch tief. Die Weilerswister wurden offenbar Opfer von Betrügern, die mit Hilfe des kontaktfreien Bezahlens gleich mehrere Einkäufe über eine Girocard auf Kosten der Eheleute abrechneten.

Was ist den Hoffmanns konkret passiert?

So ganz genau wissen die Eheleute das nicht – noch nicht. Fest steht nach Angaben von Sandra Hoffmann, dass 3000 Euro von ihrem Konto bei der Kreissparkasse Euskirchen (KSK) abgebucht worden sind. Alle Abbuchungen seien in Köln erfolgt, alle am Donnerstag, 18. August.

Der größte Betrag wurde der Weilerswisterin zufolge in einem Mediamarkt in Deutz abgebucht – 2049 Euro. Zudem wurde im McDonalds am Deutzer Bahnhof mit den Kontodaten der Hoffmanns bezahlt. Weitere Buchungen zwischen 128 und 160 Euro kamen in einem Kiosk zustande. Die letzte Bezahlung in Höhe von 250 Euro stammt aus einer Swarovski-Filiale.

Wie ist der Betrug aufgefallen?

Durch eine private Überweisung, die Sandra Hoffmann am Sonntag, 21. August, erledigen wollte. Das gelang zunächst nicht. Zumindest beim ersten Mal. Beim zweiten Versuch ging der Auftrag laut der Weilerswisterin durch. Dann folgte der Blick auf die Umsätze der vergangenen Tage. Dabei fielen den Hoffmanns die bis dato unbekannten und nicht autorisierten Abbuchungen auf. Zudem befand sich das Girokonto plötzlich im Minus.

Wie sind die Betrüger an die Daten gekommen?

„Wahrscheinlich übers Telefon“, sagt Sandra Hoffmann: „Wir stehen wegen einer geplanten privaten Investition im telefonischen Austausch mit der Kreissparkasse. Als dann mein Mann die Nummer der KSK im Display gesehen hat, ist er natürlich drangegangen.“

Die Frau am anderen Ende der Leitung sei sehr freundlich gewesen. Als Grund für den Anruf gab sie laut Hoffmann an, dass die Eheleute einen Brief unbeantwortet gelassen hätten.

Das daraus resultierende Problem ließe sich beheben, indem er am Telefon eine Push-Tan durchgeben solle. „Das war wahrscheinlich der Fehler“, so Hoffmann. Beim späteren Rückruf bei der KSK meldete sich tatsächlich eine Mitarbeiterin der Kreissparkasse Euskirchen, sodass das Ehepaar noch keinen Verdacht schöpfte.

Wie ging es für die Hoffmanns weiter?

„Als wir herausgefunden haben, dass wir Opfer von Betrügern geworden sind, haben wir sofort die Girokarten sperren lassen“, erklärt die Weilerswisterin. Zudem habe man Anzeige bei der Polizei gegen unbekannt erstattet. Im Gespräch mit einer KSK-Mitarbeiterin sei herausgekommen, dass es nicht nur eine Girocard für Sandra und Günther Hoffmann gebe, sondern eine dritte Karte im System der KSK vermerkt sei.

„Die Karte von meinem Mann läuft im Dezember ab“, so Sandra Hoffmann: „Wir haben die Karte nicht erhalten, und die KSK beteuert, dass sie nicht verschickt worden ist. Es gibt die Karte also praktisch nicht. Interessanterweise sind die Abbuchungen aber über die dritte, die unbekannte Karte gelaufen“, so die Weilerswisterin: „Es waren ausschließlich Apple-Pay-Abbuchungen. Also kontaktloses Bezahlen.“

Apple-Pay der Grund?

Die Hoffmanns vermuten, dass sich mithilfe der Tan und den Daten der Karte jemand ein Apple-Pay-Konto angelegt hat, um dann via iPhone oder Smartwatch zu zahlen.

Infolge der Geschehnisse wurden die Hoffmanns mit dem Begriff Kuno konfrontiert. „Davon hatten wir vorher noch nie etwas gehört“, sagen sie beide.

Für was steht die Abkürzung Kuno?

Kuno ist die Abkürzung für „Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nicht polizeilicher Organisationsstrukturen“.

Das Sperrsystem wurde von Polizei und Wirtschaft im Zusammenspiel entwickelt, um Zahlungen per Girocard (auch EC-Karte) im elektronischen Lastschriftverfahren – also mit Unterschrift – sicherer zu gestalten.

Warum wurde Kuno entwickelt?

Da Banken und Sparkassen dem Einzelhandel Informationen über gesperrte Karten seit Ende 2006 nur noch im Rahmen des Girocard-Verfahrens (Zahlung mit Karte und PIN; ehemals EC-Cash) melden, ist eine Sicherheitslücke entstanden: Im Lastschriftverfahren können die gemeldeten Karten weiterhin zur Zahlung verwendet werden.

Was muss ich tun, wenn die Girocard weg ist?

Über den Sperr-Notruf 116 116 kann die Girocard rund um die Uhr gesperrt werden. Die Anrufe aus dem Inland sind gebührenfrei. Bei Girocards, Maestro-, V PAY-, Bankkunden-, Spar- und Geldkarten muss man zur Sperrung die IBAN oder alternativ die Kontonummer und Bankleitzahl parat haben.

Bei Kreditkarten muss der Name des Kartenherausgebers oder die Bankleitzahl genannt werden. Anhand dieser Daten wird man dann an den Herausgeber der Karte weitergeleitet. Dieser nimmt dann die Sperrung vor.

Damit wird die Karte aber nur für den Geldtransfer per PIN gesperrt. Verbrecher können die Karte trotzdem nutzen, indem sie mit ihr in Läden zahlen und bei Zahlung lediglich unterschreiben müssen. Bei kleineren Beträgen muss man selbst das meist nicht mehr, dank kontaktlosem Zahlen geht das oft sogar bis 50 Euro.

Daher ist die Kuno-Sperre wichtig. Sie kann nur bei der Polizei beantragt werden. Online sollte dann auf dem Kuno-Portal die Kartenfolgenummer nachgemeldet werden.

110 ist immer ein Betrugsanruf

Falsche richtige Nummer im Display

Als das Weilerswister Ehepaar den wohl entscheidenden Anruf beim EC-Karten-Betrug annahm, war im Handy-Display die Nummer der Kreissparkasse Euskirchen zu sehen. Um eine Rufnummer zu manipulieren und bei Anrufen eine falsche Rufnummer zu übermitteln und anzeigen zu lassen, ist es nicht erforderlich, sich diese Rufnummer auf irgendeine Weise zu verschaffen, heißt es seitens der Bundesnetzagentur.

Bei Rückruf den richtigen Ansprechpartner am Telefon

Werden real existierende Rufnummern bei Anrufen aufgesetzt, kommt es vor, dass der wahre Nummerninhaber vermeintliche Rückrufe auf seinen Anschluss erhält. Wird der Anruf nicht angenommen, taucht die Rufnummer in der Liste der entgangenen Anrufe auf.

Rufen die Betroffenen zurück, erreichen sie der Bundesnetzagentur zufolge den tatsächlichen Rufnummerninhaber, auch wenn dieser mit den Anrufen nichts zu tun hat. Wird bei dem ursprünglichen Anruf eine real existierende Rufnummer um eine oder mehrere Ziffern verlängert, werden bei einem Rückruf auf die verlängerte Rufnummer systemseitig die überflüssigen Ziffern schlicht weggekürzt. Das hat die Folge, dass der Anruf trotzdem den tatsächlichen Anschlussinhaber erreicht. Bei Nutzung der Rückruffunktion erreicht der Anrufer daher auch dann den tatsächlichen Rufnummerninhaber, wenn die aufgesetzte Rufnummer verlängert war.

110 ist immer fake

Erscheint die Notrufnummer 110 als Absenderrufnummer bei einem Anruf, ist diese Anzeige in jedem Fall manipuliert. Die Notrufnummer 110 dient der Polizei allein als Einwahlnummer. Das bedeutet, dass nach Angaben der Bundesnetzagentur über diese Notrufnummer die Polizei für  Bürger erreichbar ist. Notrufabfragestellen der Polizei rufen jedoch nie selbst unter Anzeige dieser Rufnummer an. Hierzu werden immer die Ortsnetzrufnummern der einzelnen Polizeidienststellen verwendet. (tom)

Die Kartenfolgenummer befindet sich nicht auf der Karte selbst. Sie ist eine einstellige Zahl, und sie ist etwa auf Zahlungsbelegen zu finden. Dort steht dann: Kartenfolgenummer oder Karte und eine einstellige Zahl. Im Online-Portal von Kuno werden auch Kontodaten und die Sperrbestätigungsnummer eingetragen.

Was sagt die KSK zum Fall der Hoffmanns?

„Leider kann ich zu einem konkreten Fall keine Auskunft geben“, so Marius Linden, Pressesprecher der KSK. Allerdings seien dem Geldinstitut solche Betrugsversuche bekannt. „Daher sensibilisieren wir unsere Kunden auf verschiedenen Kanälen regelmäßig zu aktuellen Betrugsszenarien rund um das Online-Banking“, sagt Linden. Generell gelte: Keine Weitergabe von Online-Banking-Anmeldedaten oder Tans an Dritte.

„Ein Sparkassenmitarbeiter wird niemals nach diesen Daten fragen. Nicht persönlich, nicht am Telefon, nicht per E-Mail und auch nicht über Whatsapp“, so Linden. Zudem solle man keine nicht selbst erteilten Aufträge freigeben.

Bleiben die Hoffmanns auf dem Schaden sitzen?

Das steht noch nicht fest. „Wir werden einen Antrag bei der KSK stellen und hoffen, dass die Sparkasse den Schaden reguliert“, so Hoffmann.