Direkt zum Inhalt
zurück
Internet-Betrug, Fallen und Fakes im Blick
icon Internetfalle melden

Falle melden

online seit 10.03.2026

Bawag-Phishing: Debitkarte, PIN-Code und Zugangsdaten für Onlinebanking in Gefahr!

Eine altbekannte Phishing-Masche ist gerade wieder besonders häufig zu beobachten. Die Drahtzieher versenden Fake-Mails im Namen der Bawag, die vor einem Ablaufen der Debitkarte warnen. Mit dem vermeintlichen Bestellvorgang der neuen Card fragen sie sensibelste Daten ab. Zudem werden die Opfer aufgefordert, ihre alte Karte per Post an eine Wiener Adresse zu schicken.

Alles beginnt mit einer Phishing-Mail, die im Posteingang der potenziellen Opfer landet. Laut Absendername stammt sie von „Bawag.at“, der Betreff lautet „Wichtige Nachricht!“

Sehr geehrter Kunde, Sehr geehrte Kundin,

Wir haben versucht, Sie per E-Mail darüber zu informieren, dass Sie derzeit eine veraltete Debitkarte verwenden. Bis zum 10. Marsch haben alle unsere Kunden einmalig die Möglichkeit, kostenlos eine Ersatz-Debitkarte anzufordern.

Seit Dienstag, 10. Marsch, hat die Europäische Union den neuen NFC-Chip 2.0 auf den Markt gebracht, der Sie vor Skimming und Angriffen infizierter Zahlungsterminals schützt. Nach dem Austausch Ihrer Zahlungskarte sind Sie im Falle einer Beschädigung Ihres Zahlungskontos bis zu 10.000 Euro geschützt. Bitte senden Sie Ihre aktuelle Debitkarte per Post an unsere Adresse, und Sie erhalten innerhalb von 48 Stunden eine neue Debitkarte.

[Klicken Sie hier, um eine neue Debitkarte anzufordern.]

Die Sicherheit Ihres Vermögens hat bei der Bawag höchste Priorität. Nach diesem Datum fällt für Ihre Beantragung eines Ersatzes Ihrer Debitkarte eine Verwaltungsgebühr von 29,95 € an.

Mit freundlichen Grüßen,
Bawag

Bawag-Phishing: Ein Betrugsversuch in zwei Akten

Die vorgestellte Masche besteht aus zwei großen, miteinander verbundenen Teilen. Für ein besseres Verständnis sehen wir uns beide Abschnitte getrennt voneinander an. Der erste Part, der die Zugangsdaten für das Onlinebanking abgreifen soll:

  • Die Phishing-Mail klärt die Empfänger:innen dahingehend auf, dass diese angeblich eine „veraltete Debitkarte“ verwenden. Es gäbe aber die Möglichkeit, bis 10. März kostenlos eine Ersatzkarte anzufordern. Danach würden Kosten anfallen.

  • Wer das tun möchte und auf den integrierten Button klickt, landet auf einer gefälschten Login-Seite für das Onlinebanking der Bawag. Dort werden die Verfügernummer und die PIN des Opfers abgefragt. Die Kriminellen holen sich Zugang zum Konto.

  • Eine weitere Eingabemaske fragt die IBAN, Vor- und Nachname sowie die Telefonnummer ab. Maske Nr. 3 hat es nochmal auf den aktuellen PIN-Code abgesehen.

Die drei Fake-Eingabemasken.
Drei Schritte: Die Kriminellen fragen über drei Fake-Eingabemasken sensibelste Daten ab.

Den erwähnten PIN-Code der alten Debitkarte benötigen die Kriminellen für den zweiten Teil der Falle. 

  • In der Phishing-Mail wird auch um eine Zusendung der alten Debitkarte gebeten. Nach dem Ausfüllen aller Abfragemasken im Fake-Bawag-Portal erscheint eine entsprechende Anleitung.

  • Die Opfer werden aufgefordert, die Karte von oben nach unten zu zerschneiden und sie in einem ausreichend frankierten Umschlag an die angegebene Adresse zu schicken. Eine Grafik erklärt genau, wo der Schnitt zu setzen ist.

  • Auf diese Art und Weise bleibt der integrierte Chip intakt, die Kriminellen können ihn nutzen, da sie über den zugehörigen PIN-Code verfügen.

Die Anleitung für das Zerschneiden und den Versand der Debitkarte.
Die Anleitung. Durch den Schnitt von oben nach unten bleibt der Chip der Debitkarte intakt.

Die Kriminellen wohnen mit an Sicherheit grenzender Wahrscheinlichkeit nicht an der angegebenen Adresse. Vielmehr werden sie die erwarteten Zusendungen dort lediglich abfangen. Da sie mit einer abschließenden Abfrage ermitteln, an welchem Tag die Opfer ihre alte Debitkarten versenden, können sie den Zugriff entsprechend timen.

Bawag-Phishing: Woran die Falle zu erkennen ist

Ein Phishing-Versuch der vorgestellten Art ist wie erwähnt doppelt gefährlich, allerdings liefert er auch ausreichend Anhaltspunkte, um die betrügerische Absicht zu durchschauen.

  • Absenderadresse: Zwar lautet der Absendername „Bawag.at“, die konkrete Adresse – „[email protected]“ – hat mir der Bank allerdings nichts zu tun.

  • Sprachliches Niveau: Die ursprüngliche Nachricht ist in sehr holprigem Deutsch verfasst. Zum Beispiel verwenden die Kriminellen statt der Monatsbezeichnung März das Wort „Marsch".

  • Integrierter Link: Seriöse Nachrichten enthalten keine Links, die zu einer Dateneingabe führen. Sind Sie unsicher, loggen Sie sich in auf normalem Weg in Ihr Onlinebanking ein und überprüfen Sie, ob die Nachricht auch dort angezeigt wird.

  • Datenabfrage: Die detaillierte Datenabfrage ist für seriöse Banken absolut unüblich. Echte Institute fragen niemals nach einem PIN-Code oder Passwörtern.

Recycelter Betrug! Die vorgestellte Masche ist übrigens keineswegs neu. Vor ziemlich genau einem Jahr haben wir bereits einen Artikel zu exakt dieser Vorgehensweise veröffentlicht. Einziger Unterschied: Damals wurde die Erste Bank als Tarnung verwendet. Den Artikel können Sie hier nachlesen.

In die Falle getappt? Das können Sie tun!

Wie bei jeder anderen Art von Onlinebetrug gilt auch hier: Handeln Sie so rasch wie möglich!

  • Melden Sie sich sofort bei Ihrer Bank und schildern Sie die Situation! Lassen Sie die Karte sperren und erkundigen Sie sich bei den Mitarbeiter:innen, ob weitere Maßnahmen getroffen werden müssen.

  • Erstatten Sie Anzeige bei der Polizei! 

nach oben

Unterstützt von:

Logo: Bundesministerium für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz
Gehe zum Bundesministerium für Inneres
gehe zu Österreichische Nationalbank
Gehe zur Arbeiterkammer
Gehe zur netidee
Gehe zu willhaben
Gehe zum ÖIAT
Gehe zur Internet Ombudsstelle
Gehe zu saferinternet.at
Gehe zur Erste Bank Sparkasse
Gehe zur WKO
Gehe zur BAWAG
gehe zu: PSA Payment Services Austria GmbH
Link kopiert