Betrug bei der Bahn – 2FA aktivieren

Liebe Leser,

zahlreiche Medien berichten von erfolgten Betrügereien beim Ticketkauf via Lastschrift mit ergaunerten Bahn-Konten. Das wird unter anderem sehr gut möglich durch die neue – kulante – Erstattungssystematik bei Sparpreisen.

Bahn schränkt Zahlungsarten für Ticketkauf ein


https://www.faz.net/aktuell/wirtschaft/unternehmen/bahn-schraenkt-zahlungsarten-fuer-ticketkauf-nach-betrugsfaellen-ein-15951014.html

Bahn schränkt Ticketkauf ein

https://www.tagesschau.de/inland/bahn-tickets-101.html

Wurden im Frühjahr noch 19€ pro Stornierung fällig, fällt jetzt nur noch eine Bearbeitungsgebühr von 10€ an. Den Restwert bekommt der Kunde als Reisegutschein zugeschickt. Diese Regelung ist durchaus fair.

Das gefährliche dabei,…

…ist, dass dieser Gutschein per Mail direkt nach der Stornierung zugeschickt wird. Sollte sich ein Unbekannter also Zugang zu eurem Mail-Postfach verschaffen oder verschafft haben, kann er den Gutscheincode entwenden, verwenden oder verkaufen.

Genau so ist es in den vergangenen Monaten bei zahlreichen Nutzern passiert. Via Phishing-Mails wurde sich Zugang zu den Mail-Konten der betrogenen Nutzern verschafft. War man bei bahn.de registriert, was sich anhand der Mail-Historie gut herausfinden ließ, nahm der Betrug seinen Lauf. Die Betrüger setzen das Passwort zum Bahn-Account zurück, loggten sich ein und kauften teure Sparpreis-Tickets für bis zu 5 Personen. Anschließend stornierten sie direkt und rissen sich den Stornogutschein zum Weiterverkauf unter den Nagel.

Genau aus diesem Grund sperrt bahn.de nun den Ticketkauf zum Sparpreis per Lastschrift. Das ist nur konsequent, aber führt unweigerlich zu Unverständnis und Ärger bei den betroffenen Nutzern.

Warum ist Lastschrift so kritisch?

Bei Zahlungen per Lastschrift wird nicht überprüft, ob das Konto gedeckt. Stattdessen verlässt sich der Händler auf seine Erfahrungswerte. Bankkunden können ihr Geld, das unberechtigt durch Lastschriften eingezogen wurde, auch innerhalb einer gesetzlichen Frist wieder zurückfordern. Dann bleibt der Händler auf seiner Forderung sitzen. Es erfolgt keine gesonderte Freigabe des Bankkunden bei der Bank, wenn eine Lastschrift eingeht. Zudem dauert dies ein paar Tage. Bei Kreditkartenzahlung hat man mit Verified by Visa und Mastercard Secure Code eine Sicherheitsbarriere eingeführt, damit nicht jeder dritte unbemerkt Geld abbuchen kann. Im Zeitpunkt der Buchung kann eine Lastschrift zwar durchgeführt, aber nicht genehmigt oder überprüft werden – und das wird jetzt zum Problem – primär für die Bahn und sekundär für die Kunden, deren Mail-Konto, Bahn-Konto und Bank-Konto nun missbraucht wurden.

E-Mail-Konto schützen

Obwohl die Möglichkeit zum Betrug erst durch Einführung des Gutscheins bei Stornierung geschaffen wurde, trägt die Bahn nicht die Schuld an den Betrügereien. Zahlreiche Online-Nutzer müssen sich besser gegen Phishing und den unberechtigten Zugriff auf ihre E-Mails schützen. Sonst lassen sich demnächst auch Bestellungen bei Online-Shops etc. unbemerkt auslösen und evtl. Pakete bei Paket-Login umleiten.

Bitte schützt eure Mail-Postfächer und macht Passwörter sicherer!

Eine andere Möglichkeit, das eigene E-Mail-Konto zu schützen ist 2-Faktor-Authentifikation:

2FA aktivieren

Zahlreiche große amerikanische Mail-Dienstleister sind hier schon auf dem Vormarsch. Die deutschen Anbieter lassen hier noch auf sich warten. Mit dabei sind u. a.

  • GMail
  • Outlook.com
  • Yahoo
  • etc.

Hier eine Übersicht der Anbieter https://twofactorauth.org/#email.

Das Einloggen ins eigene E-Mail-Konto von einem fremden Rechner funktioniert dabei wie die Freigabe einer Überweisung beim Online-Banking. Man wird zusätzlich zu einem selbst vergebenen Passwort noch zusätzlich nach einer Freigabe über das Smartphone gefragt. Auf dem Smartphone erscheint dann eine Anforderung, die man bestätigen muss. Anschließend kann man sich am Rechner einloggen.

Einige Anbieter lassen vom Handy auch alle paar Sekunden einen systematischen Code erzeugen, die man zum Login eingeben muss.