Die Täter sind bereits im Besitz von VR-NetKey und passenden PIN (z. B. aus Phishing).
Der Betrüger registriert sein eigenes Mobiltelefon für das VR-SecureGo-Verfahren. Der erzeugte Freischaltcode wird daraufhin per Post an den VR-NetKey Inhaber verschickt.
Der Kunde wird parallel per E-Mail unter dem Vorwand einen Fehler korrigieren zu müssen aufgefordert, den von der Bank versendeten Freischaltcode für die VR-SecureGo-App (per Foto oder als Buchstaben-/Zahlenkombination) über das Onlinebanking-Postfach an den vermeintlichen Bankberater zurück zu senden. Diese Mail wird im Namen des real existierenden Bankberaters verschickt (Spoofing).
Der Kunde glaubt, dass nur er selbst den Zugang zum gesicherten Bereich hat und schenkt dadurch der gefälschten Banknachricht Glauben. Die dazu benötigten Informationen sind für den Betrüger zum Teil im OnlineBanking einsehbar.
Der gesamte Prozess wurde dann augenscheinlich zum Urlaubsbeginn der Beraterin/des Beraters gestartet. Es wird evtl. auch vorab angekündigt, dass ein Mitarbeiter (Betrüger) eines Serviceteams behilflich sein kann.
Betrugsmasche über Online-Postfach/VR-SecureGo
Kunde stellt Freischaltcode für den Bankberater in das Onlinepostfach ein
Beispiel für den Ablauf der Betrugsmasche
Bitte beachten:
Freischaltcodes dürfen nie weitergegeben werden (auch nicht an die Bank) und somit auch nicht in das Online-Postfach eingestellt werden.