Online-banking: Neue Gefahren
Für viele Anwender ist Online-banking der neue Standard. Doch die Gefahr ist nach wie vor hoch, von Kriminellen abgezockt zu werden. Wie Sie sich jetzt schützen!
Für viele Anwender ist Onlinebanking der neue Standard. Die Bankfiliale hat ausgedient. Doch die Gefahr ist nach wie vor hoch, beim Onlinebanking von Kriminellen abgezockt zu werden. Wir zeigen die aktuellen Tricks der Betrüger – und wie Sie sich schützen können.
Das Jahr 2020 hat dem Onlinebanking noch einmal einen weiteren Schub gegeben. Laut einer Studie der Direktbank ING und der Beratungsfirma Barkow Consulting erledigten im vergangenen Jahr rund 46,8 Millionen deutsche Kunden ihre Bankgeschäfte übers Internet. 2011 waren es 31,1 Millionen, 2019 lag der Wert bei 43,8 Millionen. Die Coronapandemie hat diesen Trend also noch verstärkt.
Ein weiterer auffälliger Trend ist die Hinwendung zum Smartphone bei Bankgeschäften. Bei einer Umfrage des Branchenverbands Bitkom im November 2020 nach den beliebtesten Geräten für das Onlinebanking nannten 82 Prozent den Laptop. Dahinter folgte jedoch mit 58 Prozent bereits das Smartphone. Der Desktoppc kam auf 53, das Tablet auf 50 Prozent. In der Altersgruppe der 16 bis 29Jährigen griffen sogar 72 Prozent zum Smartphone für ihre Bankgeschäfte.
Die wachsende Beliebtheit des Smartphones bei Bankgeschäften führt jedoch zu Problemen, da auf diese Weise eine der wesentlichen Schutzmaßnahmen der für alle Banken verpflichtenden ZweifaktorAuthentifizierung geschwächt wird.
Seit September 2019 müssen sich Bankkunden mit einer Kombination aus zwei Authentifizierungsmethoden gegenüber dem Geldinstitut ausweisen. Die Banken haben dabei die Wahl zwischen Verfahren aus den Methoden Wissen, Besitz und Biometrie. Typische Wissensabfragen sind beispielsweise ein Passwort oder eine PIN, zu den unter Besitz zusammengefassten Methoden gehören unter anderem eine SIMKarte im Smartphone, eine Chipkarte oder ein Usbstick mit Passworttresor, zu den Biometriemethoden zählt man den Fingerabdruck oder auch eine Unterschrift.
Viele Banken setzen die gesetzlichen Vorgaben um, indem sie von ihren Kunden zunächst die Eingabe eines Passworts auf ihrer Website verlangen (Wissen) und ihnen anschließend entweder per SMS eine MTAN (mobile Transaktionsnummer) schicken oder die Eingabe eines Codes in einer Smartphoneapp von ihnen verlangen (Besitz). Solange der Kunde seine Bankgeschäfte an einem Desktoprechner erledigt, kommt eine weitere Sicherheitsebene hinzu: Die Zweifaktorauthentifizierung wird in diesem Fall auf zwei verschiedenen Geräten ausgeführt, die nicht miteinander verbunden sind. Für einen Hacker ist es sehr schwierig, sowohl den PC wie auch das Smartphone unter seine Kontrolle zu bekommen, um die Abfragen der Bank abzu
„Sofern Sie sich an einige Vorsichtsmaßnahmen halten, können Sie Ihre Bankgeschäfte weitgehend unbesorgt vom heimischen PC aus erledigen.“
fangen. Sobald der Kunde seine Transaktionen jedoch allein am Smartphone ausführt, fällt dieser Schutz weg. Das machen sich die Kriminellen mittlerweile zunutze.
Neue Tricks der Virenentwickler
Bevor es jetzt an die Beschreibung von konkreter Malware und registrierter Betrugsfälle geht, eine Vorbemerkung: Die Fallzahlen für Betrug beim Onlinebanking sind gering, und es gibt keinen Grund, der elektronischen Abwicklung von Bankgeschäften generell zu misstrauen. Die ZweifaktorAuthentifizierung hat die Sicherheit zudem deutlich erhöht. So lange Sie einige Vorsichtsmaßnahmen einhalten (siehe dazu den Kasten rechts unten), können Sie Ihre Bankgeschäfte weitgehend unbesorgt vom heimischen PC aus erledigen.
Neuer Trojaner: Im März 2020 entdeckte die amerikanische Sicherheitsfirma Cybereason die erste Version eines neuen Bankingtrojaners und gab dem Schadprogramm den Namen Eventbot. Die Software richtet sich gezielt gegen die Besitzer von Androidsmartphones. Eventbot taucht nicht im offiziellen Play Store von Google auf, der unbekannte Entwickler hat auch noch keine weitergehende Verbreitung der Malware in die Wege geleitet.
Nach der Installation scannt das Programm die vorhandenen Apps und gibt sich anschließend als eine bekannte, harmlose Anwendung wie Word aus, um weitere Berechtigungen zu erlangen. Wichtig sind ihm dabei vor allem einige Bedienungshilfen von Android, die es ihm ermöglichen, auf dem Smartphone angezeigte Texte zu abzugreifen. Auf diese Weise kann es beispielsweise den Inhalt von Smsnachrichten erfassen.
Außerdem umfasst die Software einen Keylogger, mit dem sie auch die eingegebenen Texte des Smartphonebenutzers mitlesen kann. Darüber hinaus entdeckte Cybereason im Code von Eventbot Erkennungsroutinen für die Apps von rund 200 amerikanischen und europäischen Banken sowie Dienstleistern wie etwa Paypal. Ausgerüstet mit diesen Funktionen, stehen den Kriminellen hinter dieser App nahezu alle Türen offen: Sie können auf dem Smartphone die Passworteingabe des Users in der App seiner Bank verfolgen und die im Zuge des mtanverfahrens verschickte SMS abfangen und den Text lesen. Mit diesen Daten können sie sich auf der Website der Bank einloggen und beispielsweise Überweisungen auf eigene Konten vornehmen.
Eventbot ist derzeit noch in der Entwicklung, Cybereason hat in den vergangenen Monaten bereits mehrere Versionsnummern identifiziert. Das Programm hat jedoch das Potenzial, enormen Schaden anzurichten.
Kunden im Visier von Kriminellen
In Deutschland haben mehrere Banken zuletzt eine neue Masche von Betrügern be
schrieben, mit der die Sicherheit der ZweiFaktorauthentifizierung ausgehebelt werden konnte. Da die Technik hohe Hürden aufstellt, konzentrieren sich die Kriminellen zunehmend auf die Bankkunden. Sie versuchen dabei entweder, die benötigten Daten für eine Überweisung telefonisch abzufragen. Oder sie geben sich als Bankmitarbeiter aus und überreden den Kunden, eine angebliche Demoüberweisung vorzunehmen, bei der es sich jedoch tatsächlich um eine echte Transaktion handelt.
Bekannte Technik für den Erstkontakt: Oft beginnt der Betrug mit einer PhishingMail. In den vergangenen Monaten trugen diese Mails häufig einen Hinweis auf die Coronapandemie in der Betreffzeile, doch auch Klassiker wie der Hinweis auf technische Probleme beim Konto sind nach wie vor verbreitet.
Fallen in der Suchmaschine: Die Bwbank berichtet auf ihrer Website von einem besonders raffinierten Betrugsversuch. Offenbar über gekaufte Anzeigen war es einem Betrüger gelungen, Bankkunden über Suchmaschinen auf eine gefälschte Website der Bank zu lotsen. Im Fachjargon werden solche Seiten Phishingsites genannt. Dort wurde auf ein neues, für das Onlinebanking verpflichtendes Cibbverfahren hingewiesen, die Abkürzung stehe für Coronaintelligencebwbanking (ein solches Verfahren existiert natürlich nicht). Auf dieser Seite sollten die Kunden ihre Zugangsdaten für das Onlinebanking eingeben. Sobald das
geschehen war, bekamen sie einen Anruf von einem angeblichen Bankmitarbeiter. Er versprach ihnen einen Erlass der Kontoführungsgebühren und eine kostenlose Lieferung von Ffp2masken. Im Laufe des Gesprächs bat er die Kunden, sich bei der Bank einzuloggen, und fragte die mtancodes ab. Mit diesen Informationen war es ihm dann möglich, Überweisungen vom Kundenkonto vorzunehmen.
Social Engineering: Bei anderen Telefonaten mit Bankkunden arbeiteten die Betrüger mit angeblichen Bedrohungen für die Kontosicherheit und erklärten, dass es rund um das Konto verdächtige Aktivitäten gegeben habe. Sie erzeugen also damit Angst und nutzen das als klassischen Social Engineeringtrick (www.pcwelt.de/nvhwkz). Weiter im Beispiel: Möglicherweise handele es sich um einen Hackerangriff, weshalb nun verschiedene Einstellungen geändert werden müssten. Dafür müsse der Kunde eine MTAN anfordern und am Telefon vorlesen. Mit diesen Daten überwiesen die Kriminellen Geld auf ein eigenes Konto, in den meisten Fällen bei einer ausländischen Bank. Anschließend versprach der vorgebliche Bankmitarbeiter dem Kunden noch, er werde in den nächsten Tagen Unterlagen mit den neuen Daten per Post bekommen, und verabschiedete sich. Natürlich kamen die angekündigten Papiere niemals an. Eine Variante ist, dass der Anruf von einem angeblichen Microsoftmitarbeiter kommt, der ebenfalls vor einem Hackerangriff warnt. Anschließend nutzt er die Panik des Angerufenen aus, um dessen Bankdaten zu erfragen.
Teilweise sind die Betrüger bei Angriffen dieser Art sehr gut vorbereitet. So verwenden sie am Telefon nicht nur den Namen eines tatsächlich existierenden Bankmitarbeiters, sondern sorgen auch dafür, dass im Telefondisplay des Angerufenen die Rufnummer der Bank erscheint. Ein solches Telefonspoofing lässt sich über VOIPANbieter (Voice over IP) oder Iptelefone realisieren, bei denen es in der Regel möglich ist, eine beliebige Rufnummer zu übermitteln. Einige Firmen bieten sogar SpoofingDienste an, die wie eine Prepaidkarte abgerechnet werden. Die Kunden bekommen eine PIN, die sie beim Anruf an den Anbieter übertragen, und können anschließend aus einer Liste die gewünschte Zielnummer und auf dem Display angezeigte Absendernummer auswählen.
Recherche per Phishing-mail
Die Betrüger stehen jedoch vor dem Problem, wie sie die Kunden einer Bank identifizieren und auf eine gefälschte Website lotsen können. In letzter Zeit gab es daher mehrere Fälle, in denen sie Massenmails versendeten. So berichteten die Sparkassen im März von einer Mail mit der Betreffzeile „Ihre Pushtanregistrierung läuft bald ab“. Die Nachricht zeichnete sich durch eine korrekte Rechtschreibung und Grammatik aus und forderte die Empfänger auf, ihren Pushtanzugang bei der Sparkasse zu erneuern. Um die Bankkunden direkt zur richtigen Website zu führen, war in der Mail ein Qrcode enthalten. Wenn der Empfänger die Grafik mit seinem Smartphone scannte, landete er auf einer gefälschten Website, die der offiziellen Site der Sparkasse stark ähnelte. Der Qrcode verhinderte, dass die Empfänger der Mail sahen, mit welcher Website sie sich verbinden würden. Auf der angeblichen Sparkassenseite wurden dann die Logindaten abgefragt. Auf diese Weise kamen die Betrüger an die Daten der Bankkunden, bei denen sie anschließend, wie oben beschrieben, per Telefon die TAN abfragen konnten.