Prävention
und Sicherheit

Vishing (Phishing per Telefon) zielt darauf ab, durch Telefonanruf personenbezogene Daten zu stehlen.

• Sie erhalten einen Anruf von einem angeblichen BIL-Mitarbeiter, der Ihnen mitteilt, dass ein Betrug aufgedeckt wurde.

• Diese Person bittet Sie um Ihre Unterstützung, um eine Anwendung zu installieren, mit der er Ihren Computer fernsteuern kann, um das (angebliche) Problem zu lösen oder um eine angebliche „Stornierung“ betrügerischer Transaktionen zu bestätigen.

Phishing („Fischen“ nach persönlichen Daten per E-Mail) zielt darauf ab, durch den Versand einer E-Mail oder SMS (Smishing) personenbezogene Daten zu stehlen.

• Der Betrüger schickt Ihnen eine Mitteilung und gibt sich als vertrauenswürdige Organisation aus, wie z. B. als Bank, Telefonanbieter, Sozialversicherungsstelle oder Postdienst.

• In dieser Mitteilung werden Sie aufgefordert, auf einen Link zu klicken, der Sie auf eine gefälschte Website (die der Originalseite ähnlich ist) weiterleitet, wo Sie Ihre Daten angeben sollen.

Beim Quishing oder Phishing mit QR-Code benutzen Betrüger QR-Codes, um die Opfer auf schädliche Websites umzuleiten, sie aufzufordern, schädliche Inhalte herunterzuladen oder sie auf eine gefälschte Seite umzuleiten, um an Zugangsdaten oder Passwörter zu gelangen.

Sperren Sie kompromittierte Karten im Betrugsfall sofort, entweder direkt über Ihre BILnet-App (sehen Sie sich unser Tutorial zur Sperrung von Karten an) oder über Worldline unter der Telefonnummer (+352) 49 10 10.

Melden Sie betrügerische Handlungen umgehend und möglichst detailliert direkt bei Worldline unter der Telefonnummer (+352) 49 10 10.

Beim Überweisungsbetrug (oder Betrug durch gefälschte Lieferantenrechnung) wird das Opfer getäuscht, indem der Betrüger sich als Gläubiger (etwa Lieferant, Notar, Anwalt, Eigentümer usw.) ausgibt.

• So versucht der Betrüger eine Überweisung auf ein von ihm kontrolliertes Konto umzulenken.

• Prüfen Sie, ob es anstehende Transaktionen gibt, die nicht von Ihnen beauftragt wurden, sowie Ihre Daueraufträge oder die Liste Ihrer Empfänger, um sicherzustellen, dass nichts unbemerkt erstellt wurde.

• Im Zweifelsfall sperren Sie Ihr LuxTrust-Zertifikat, entweder direkt über LuxTrust oder bei Ihrer Bank. Sie können es vorübergehend aussetzen oder endgültig sperren.

Beim Anlagebetrug wird eine Geldanlage angeboten, die äußerst lukrative Renditen verspricht. Sie werden mit Werbung in sozialen Netzwerken oder per E-Mail geködert und gelangen dann auf kommerzielle Websites, die echt und professionell aussehen, aber gefälscht sind. Dabei kann es sich beispielsweise um Handelsplattformen für Kryptowährungen oder auch Trading-Seiten handeln.

Hüten Sie sich vor Angeboten, die zu schön erscheinen, um wahr zu sein – denn sie sind es wahrscheinlich auch nicht!

Telefonisches Spoofing: bei dieser Betrugsmasche wird die echte Telefonnummer eines bekannten Instituts (z. B. der BIL) angezeigt.

Das Ziel besteht darin, die echte Nummer des Betrügers zu verbergen und das Vertrauen der angerufenen Person zu wecken. Der Kunde glaubt, dass er die Nummer seiner Bank (die tatsächlich identisch ist!) oder der bekannten Einrichtung wiedererkennt, und fühlt sich daher sicher.

Verwenden Sie nicht mehr Google (oder eine andere Suchmaschine) für BILnet: Die von den Suchmaschinen angezeigten Ergebnisse können Sie auf eine betrügerische Website weiterleiten, die Sie in eine Falle locken soll.

Zu Ihrer Sicherheit:

• Verwenden Sie vorzugsweise Ihre BILnet-App, die gesichert ist.

• Oder geben Sie die Adresse https://www.bil.com direkt in die Adressleiste des Browsers ein.

• Oder speichern Sie die Adresse https://www.bil.com/BILnet/ in Ihren Favoriten.

Überprüfen Sie immer, ob die Verbindung sicher und die Ziel-URL korrekt ist.

„Collet Marseillais“ oder „Card Trapping“:

Betrüger blockieren Ihre Karte im Automaten mit einem manipulierten Gerät. Während Sie versuchen, Ihre Karte zurückzubekommen, beobachten sie Ihre PIN-Eingabe. Sobald Sie gehen, entnehmen sie die Karte und verwenden sie mit dem PIN für betrügerische Transaktionen.

„Cash Trapping“ oder „Geldfallen“:

Ein Gerät wird in den Geldausgabeschlitz eingesetzt, das die Scheine zurückhält. Sie denken, der Automat hat kein Geld ausgegeben, gehen weg – und die Betrüger holen sich das Geld.

Ablenkungsbetrug:

Während Sie Ihre PIN eingeben, späht ein Betrüger über Ihre Schulter. Dann lenkt er Sie ab (z. B. durch eine Frage oder indem er etwas fallen lässt), stiehlt Ihre Karte und verschwindet.

Betrüger können versuchen, über schädliche E-Mails oder Links Malware auf Ihrem Computer zu installieren. Einmal installiert, können diese Spionageprogramme Ihre Zugangsdaten, Passwörter und Signaturcodes stehlen.

So schützen Sie sich:

• Lassen Sie Ihre Smartcard niemals mit dem Computer verbunden!

• Verwenden Sie die doppelte Signatur zur Validierung von Transaktionen auf Multiline.

• Bevorzugen Sie LuxTrust Scan, wenn eine doppelte Signatur nicht möglich ist.

• Installieren Sie IBM Trusteer, um die Sicherheit Ihres Arbeitsplatzes zu erhöhen.

• Greifen Sie nur über www.multiline.lu auf Multiline zu – niemals über eine Suchmaschine.

• Öffnen Sie niemals verdächtige E-Mail-Anhänge.

Alle Empfehlungen finden Sie multiline.lu/de/sicherheitsempfehlungen/

Hinweis: Weder BIL noch Multiline werden Sie jemals per E-Mail oder Telefon nach Ihren Zugangsdaten fragen.

AnyDesk, TeamViewer und andere ähnliche Lösungen sind legitime Tools für den Fernzugriff, werden jedoch häufig von Betrügern und Kriminellen missbraucht, um sich unbefugten Zugriff auf die Geräte ihrer Opfer (Computer, Laptop, Telefon) zu verschaffen.

Bei diesem Betrugsszenario handelt es sich in der Regel um einen Social-Engineering-Betrug, bei dem ein Angreifer das Opfer dazu manipuliert, ihm die Fernsteuerung seines Computers zu überlassen.

Ablauf des Betrugs Schritt für Schritt

1. Der Köder (Cold Call): Das Opfer erhält einen unaufgeforderten Telefonanruf, eine E-Mail oder ein Pop-up-Fenster von einer Person, die vorgibt, zu einer bekannten Organisation zu gehören (zum Beispiel Microsoft, einer Bank oder einem Internetanbieter). Der Betrüger behauptet, das Gerät des Opfers sei gehackt worden oder es stehe eine unerwartete Rückerstattung an.

2. Die Manipulation: Der Betrüger erzeugt ein Gefühl der Dringlichkeit und fordert das Opfer auf, ein Fernzugriffs-Tool wie TeamViewer oder AnyDesk herunterzuladen und zu installieren, um „das Problem zu lösen“ oder „die Rückerstattung zu bearbeiten“.

3. Die Verbindung: Das Opfer wird dazu gebracht, seine TeamViewer- oder AnyDesk-ID sowie das temporäre Sitzungspasswort weiterzugeben und gewährt dem Betrüger so vollständigen Zugriff auf sein Gerät.

4. Die Durchführung des Betrugs: Sobald er verbunden ist, fordert der Betrüger das Opfer auf, sich in sein Online-Banking einzuloggen, verdunkelt vorübergehend den Bildschirm und führt dann heimlich Geldtransfers durch oder ändert die Begünstigten.

Wie können Sie sich schützen?

• Geben Sie niemals Unbekannten Zugriff auf Ihr Gerät: Ein technischer Support oder eine Bank wird Sie niemals unaufgefordert kontaktieren, um Fernzugriff auf Ihren Computer oder Ihr Telefon zu verlangen.

• Geben Sie niemals Ihre Zugangsdaten weiter: Teilen Sie Ihre TeamViewer- oder AnyDesk-ID und Ihr Passwort niemals mit Personen, die Sie nicht persönlich kennen und denen Sie nicht vertrauen.

• Überprüfen Sie die Quelle: Wenn Sie einen verdächtigen Anruf erhalten, legen Sie auf und überprüfen Sie selbst die offiziellen Kontaktdaten des Unternehmens, bevor Sie zurückrufen.

Was tun, wenn es Ihnen passiert?

• Loggen Sie sich sofort aus: Beenden Sie das Gespräch und schliessen Sie die Anwendung AnyDesk oder TeamViewer. Unterbrechen Sie im Zweifelsfall die Internetverbindung Ihres Geräts.

• Kontaktieren Sie Ihre Bank: Informieren Sie umgehend Ihre Bank, wenn Sie den Verdacht haben, dass Ihre Finanzdaten kompromittiert wurden.

• Deinstallieren Sie die Anwendung: Entfernen Sie AnyDesk oder TeamViewer von Ihrem Gerät und führen Sie einen vollständigen Virenscan mit einer integrierten oder vertrauenswürdigen Software durch.

• Ändern Sie Ihre Passwörter: Ändern Sie die Passwörter aller sensiblen Konten (E-Mail, Bank, soziale Netzwerke) von einem anderen, sicheren Gerät aus.

• Melden Sie den Vorfall: Reichen Sie bei Ihrer örtlichen Polizei eine Anzeige ein.