Ist die SMS „Bank-Betrugswarnung" ein Betrug?

So sieht sie aus

Echte Beispiele, anonymisiert.

      Sparkasse Warnung: Haben Sie einen Kauf von 493,27 € bei MediaMarkt in Berlin autorisiert? Antworten Sie JA zur Bestätigung oder NEIN zur Sperrung. Für Rückfragen rufen Sie an: 0800-XXX-XXXX.
    

      Deutsche Bank: Ihr Konto wurde wegen verdächtiger Aktivität vorübergehend eingeschränkt. Bestätigen Sie Ihre Identität, um den Zugang wiederherzustellen: db-sicherheit-id[.]com
    

Dieselbe Vorlage läuft gegen Sparkasse, Volksbank, Deutsche Bank, Commerzbank, ING, DKB, N26, Revolut, UBS, Credit Suisse, Raiffeisen und jede andere große Bank. Der Betrug funktioniert in jedem Land gleich.

So läuft der Betrug ab

Es ist eine zweistufige Falle.

Das ist der Teil, der selbst vorsichtige Menschen erwischt. Die SMS selbst stiehlt nichts. Der eigentliche Angriff ist der Anruf, der folgt.

Sie erhalten die SMS: „Haben Sie diese 499 €-Abbuchung autorisiert? Antworten Sie NEIN."
Sie antworten NEIN, weil Sie diesen Kauf nicht getätigt haben.
Innerhalb weniger Minuten ruft eine seriös klingende Person an. Die Rufnummeranzeige zeigt die echte Nummer Ihrer Bank (gefälscht). Sie sagt: „Wir haben Ihre NEIN-Antwort gesehen, lassen Sie mich Ihnen helfen, das Konto zu sichern."
Sie werden gebeten, einen Einmalcode laut vorzulesen, der Ihnen gerade per SMS geschickt wurde, „um Ihre Identität zu bestätigen". Der Code stammt von Ihrer echten Bank und wurde vom Betrüger ausgelöst, der sich in Ihr Konto einloggt.
Sie lesen ihn vor. Die Betrüger räumen das Konto leer, oft indem sie einen neuen Empfänger einrichten oder auf ein „sicheres Konto" überweisen, das angeblich Ihres sei.

Warnzeichen

So erkennen Sie es.

Sie sollen einen Code laut vorlesen. Keine echte Bank wird Sie jemals bitten, einen Einmalcode per Telefon, SMS oder E-Mail zu teilen. Der Code ist dafür da, dass Sie ihn selbst in die App der Bank eintippen, niemals einer Person vorzulesen.
Sie sollen Ihr Geld auf ein „sicheres Konto" überweisen. Keine echte Bank macht das. Wenn Ihr Konto gefährdet ist, sperrt es die Bank und bittet Sie, in eine Filiale zu kommen oder die App zu nutzen, nicht Geld auf ein neues Konto zu überweisen.
Der Link ist nicht die echte Domain Ihrer Bank. Echte Sparkasse ist sparkasse.de. Echte Deutsche Bank ist deutsche-bank.de. Betrugslinks sehen aus wie sparkasse-sicher-login.com, db-id.help oder verwenden eine Weiterleitung.
Dringlichkeit und Drohungen. „Ihr Konto wird dauerhaft geschlossen", „Die Polizei ist involviert", „Handeln Sie in den nächsten 30 Minuten". Echte Banken geben Ihnen Tage oder Wochen Zeit.
Sie wissen gerade genug, um echt zu wirken. Ihren Namen, die letzten vier Ziffern Ihrer Karte, vielleicht einen kürzlichen Händler. Diese Daten stammen aus Datenlecks. Es bedeutet nicht, dass sie schon Kontozugriff haben.
Sie raten davon ab aufzulegen. „Bleiben Sie aus Sicherheitsgründen am Apparat." Eine echte Bank will, dass Sie auflegen und auf der Nummer auf der Rückseite Ihrer Karte zurückrufen. Ein Betrüger überlebt keinen Rückruf.

Was tun

Tun Sie dies stattdessen.

Auflegen. Rufen Sie die Nummer auf der Rückseite Ihrer physischen Karte an. Oder öffnen Sie die offizielle App der Bank und nutzen Sie den In-App-Chat. Diese eine Regel besiegt diesen gesamten Betrug.
Prüfen Sie Ihr Konto in der offiziellen App selbst. Wenn es tatsächlich eine betrügerische Abbuchung gibt, sehen Sie sie. Wenn nicht, war die Warnung gefälscht.
Leiten Sie die SMS weiter. Senden Sie sie an Ihren Mobilfunkanbieter zur Spam-Meldung. Löschen Sie die SMS danach.
Wenn Sie bereits geantwortet oder angerufen haben, aber keinen Code oder Passwort geteilt haben, sind Sie wahrscheinlich sicher. Rufen Sie trotzdem die echte Bank an, um den Versuch zu melden.
Wenn Sie einen Code geteilt oder Geld überwiesen haben, rufen Sie sofort die Betrugshotline Ihrer Bank an. Zeit zählt. In den ersten 24 Stunden kann das Geld manchmal zurückgeholt werden. Erstatten Sie dann Anzeige bei der Polizei und dem BSI-Cybercrime-Hilfe-Portal.

Was nicht tun

Niemals dies tun.

Lesen Sie niemals einen Einmalcode laut vor. Nicht einem „Bankmitarbeiter", nicht der Polizei, niemandem. Der Code ist dazu da, dass Sie ihn selbst in die App Ihrer Bank eintippen.
Rufen Sie niemals die Telefonnummer aus der SMS an. Auch wenn sie legitim aussieht. Nutzen Sie die Nummer auf der Rückseite Ihrer Karte.
Überweisen Sie niemals Geld auf ein „sicheres Konto". Keine echte Bank fordert das jemals. Wenn das gesagt wird, ist es Betrug, mit 100 % Sicherheit.
Klicken Sie niemals auf den Link. Auch nicht „nur um zu sehen, was es ist". Die gefälschte Login-Seite ist der ganze Zweck.

Kurze Fragen

FAQ.

Was wenn der Anrufer meinen Namen und die letzten 4 meiner Karte kannte?

Diese Daten sind nach jahrelangen Lecks überall. Wenn jemand Ihren Namen, Adresse, letzte 4 der Karte und sogar die Bank kennt, bedeutet das nicht, dass ein echter Bankmitarbeiter anruft. Betrüger kaufen diese Listen billig. Der Test ist nicht, was sie wissen, sondern was sie von Ihnen verlangen. Eine echte Bank fragt nie nach einem Passcode, Passwort, der vollständigen Kartennummer oder einer Überweisung.

Die Rufnummeranzeige zeigte die echte Nummer meiner Bank. Wie?

Rufnummeranzeigen sind trivial zu fälschen. Jeder billige VoIP-Dienst kann jede Nummer auf Ihrem Bildschirm anzeigen. Die Nummer, die Sie sehen, wenn jemand anruft, ist als Beweis wertlos. Die einzige Nummer, der Sie vertrauen können, ist eine, die Sie selbst gewählt haben, von der Rückseite Ihrer Karte oder aus der offiziellen App der Bank.

Ich habe ihnen schon einen Code gegeben. Was tun?

Rufen Sie sofort die Betrugshotline Ihrer Bank an, mit der Nummer auf der Rückseite Ihrer Karte. Lassen Sie das Konto sperren und ausstehende Überweisungen rückgängig machen. Ändern Sie Ihr Online-Banking-Passwort und aktivieren Sie einen App-basierten Authenticator (nicht SMS), wenn Ihre Bank das unterstützt. Erstatten Sie Anzeige bei der Betrugsbehörde Ihres Landes.

Andere Nachricht erhalten?

Prüfen Sie Ihren genauen Text. Dauert 5 Sekunden.

Kostenlos, ohne Anmeldung, nichts gespeichert. Funktioniert für SMS, E-Mail, WhatsApp, Links und Screenshots in 10 Sprachen.

Meine Nachricht prüfen →

Weitere Betrugsmaschen

Ist die SMS zur Bank-Betrugswarnung ein Betrug?