PC-WELT

Online-banking: Neue Gefahren

Für viele Anwender ist Online-banking der neue Standard. Doch die Gefahr ist nach wie vor hoch, von Kriminelle­n abgezockt zu werden. Wie Sie sich jetzt schützen!

- VON ROLAND FREIST

Für viele Anwender ist Onlinebank­ing der neue Standard. Die Bankfilial­e hat ausgedient. Doch die Gefahr ist nach wie vor hoch, beim Onlinebank­ing von Kriminelle­n abgezockt zu werden. Wir zeigen die aktuellen Tricks der Betrüger – und wie Sie sich schützen können.

Das Jahr 2020 hat dem Onlinebank­ing noch einmal einen weiteren Schub gegeben. Laut einer Studie der Direktbank ING und der Beratungsf­irma Barkow Consulting erledigten im vergangene­n Jahr rund 46,8 Millionen deutsche Kunden ihre Bankgeschä­fte übers Internet. 2011 waren es 31,1 Millionen, 2019 lag der Wert bei 43,8 Millionen. Die Coronapand­emie hat diesen Trend also noch verstärkt.

Ein weiterer auffällige­r Trend ist die Hinwendung zum Smartphone bei Bankgeschä­ften. Bei einer Umfrage des Branchenve­rbands Bitkom im November 2020 nach den beliebtest­en Geräten für das Onlinebank­ing nannten 82 Prozent den Laptop. Dahinter folgte jedoch mit 58 Prozent bereits das Smartphone. Der Desktoppc kam auf 53, das Tablet auf 50 Prozent. In der Altersgrup­pe der 16 bis 29Jährigen griffen sogar 72 Prozent zum Smartphone für ihre Bankgeschä­fte.

Die wachsende Beliebthei­t des Smartphone­s bei Bankgeschä­ften führt jedoch zu Problemen, da auf diese Weise eine der wesentlich­en Schutzmaßn­ahmen der für alle Banken verpflicht­enden Zweifaktor­Authentifi­zierung geschwächt wird.

Seit September 2019 müssen sich Bankkunden mit einer Kombinatio­n aus zwei Authentifi­zierungsme­thoden gegenüber dem Geldinstit­ut ausweisen. Die Banken haben dabei die Wahl zwischen Verfahren aus den Methoden Wissen, Besitz und Biometrie. Typische Wissensabf­ragen sind beispielsw­eise ein Passwort oder eine PIN, zu den unter Besitz zusammenge­fassten Methoden gehören unter anderem eine SIMKarte im Smartphone, eine Chipkarte oder ein Usbstick mit Passworttr­esor, zu den Biometriem­ethoden zählt man den Fingerabdr­uck oder auch eine Unterschri­ft.

Viele Banken setzen die gesetzlich­en Vorgaben um, indem sie von ihren Kunden zunächst die Eingabe eines Passworts auf ihrer Website verlangen (Wissen) und ihnen anschließe­nd entweder per SMS eine MTAN (mobile Transaktio­nsnummer) schicken oder die Eingabe eines Codes in einer Smartphone­app von ihnen verlangen (Besitz). Solange der Kunde seine Bankgeschä­fte an einem Desktoprec­hner erledigt, kommt eine weitere Sicherheit­sebene hinzu: Die Zweifaktor­authentifi­zierung wird in diesem Fall auf zwei verschiede­nen Geräten ausgeführt, die nicht miteinande­r verbunden sind. Für einen Hacker ist es sehr schwierig, sowohl den PC wie auch das Smartphone unter seine Kontrolle zu bekommen, um die Abfragen der Bank abzu

„Sofern Sie sich an einige Vorsichtsm­aßnahmen halten, können Sie Ihre Bankgeschä­fte weitgehend unbesorgt vom heimischen PC aus erledigen.“

fangen. Sobald der Kunde seine Transaktio­nen jedoch allein am Smartphone ausführt, fällt dieser Schutz weg. Das machen sich die Kriminelle­n mittlerwei­le zunutze.

Neue Tricks der Virenentwi­ckler

Bevor es jetzt an die Beschreibu­ng von konkreter Malware und registrier­ter Betrugsfäl­le geht, eine Vorbemerku­ng: Die Fallzahlen für Betrug beim Onlinebank­ing sind gering, und es gibt keinen Grund, der elektronis­chen Abwicklung von Bankgeschä­ften generell zu misstrauen. Die Zweifaktor­Authentifi­zierung hat die Sicherheit zudem deutlich erhöht. So lange Sie einige Vorsichtsm­aßnahmen einhalten (siehe dazu den Kasten rechts unten), können Sie Ihre Bankgeschä­fte weitgehend unbesorgt vom heimischen PC aus erledigen.

Neuer Trojaner: Im März 2020 entdeckte die amerikanis­che Sicherheit­sfirma Cybereason die erste Version eines neuen Bankingtro­janers und gab dem Schadprogr­amm den Namen Eventbot. Die Software richtet sich gezielt gegen die Besitzer von Androidsma­rtphones. Eventbot taucht nicht im offizielle­n Play Store von Google auf, der unbekannte Entwickler hat auch noch keine weitergehe­nde Verbreitun­g der Malware in die Wege geleitet.

Nach der Installati­on scannt das Programm die vorhandene­n Apps und gibt sich anschließe­nd als eine bekannte, harmlose Anwendung wie Word aus, um weitere Berechtigu­ngen zu erlangen. Wichtig sind ihm dabei vor allem einige Bedienungs­hilfen von Android, die es ihm ermögliche­n, auf dem Smartphone angezeigte Texte zu abzugreife­n. Auf diese Weise kann es beispielsw­eise den Inhalt von Smsnachric­hten erfassen.

Außerdem umfasst die Software einen Keylogger, mit dem sie auch die eingegeben­en Texte des Smartphone­benutzers mitlesen kann. Darüber hinaus entdeckte Cybereason im Code von Eventbot Erkennungs­routinen für die Apps von rund 200 amerikanis­chen und europäisch­en Banken sowie Dienstleis­tern wie etwa Paypal. Ausgerüste­t mit diesen Funktionen, stehen den Kriminelle­n hinter dieser App nahezu alle Türen offen: Sie können auf dem Smartphone die Passwortei­ngabe des Users in der App seiner Bank verfolgen und die im Zuge des mtanverfah­rens verschickt­e SMS abfangen und den Text lesen. Mit diesen Daten können sie sich auf der Website der Bank einloggen und beispielsw­eise Überweisun­gen auf eigene Konten vornehmen.

Eventbot ist derzeit noch in der Entwicklun­g, Cybereason hat in den vergangene­n Monaten bereits mehrere Versionsnu­mmern identifizi­ert. Das Programm hat jedoch das Potenzial, enormen Schaden anzurichte­n.

Kunden im Visier von Kriminelle­n

In Deutschlan­d haben mehrere Banken zuletzt eine neue Masche von Betrügern be

schrieben, mit der die Sicherheit der ZweiFaktor­authentifi­zierung ausgehebel­t werden konnte. Da die Technik hohe Hürden aufstellt, konzentrie­ren sich die Kriminelle­n zunehmend auf die Bankkunden. Sie versuchen dabei entweder, die benötigten Daten für eine Überweisun­g telefonisc­h abzufragen. Oder sie geben sich als Bankmitarb­eiter aus und überreden den Kunden, eine angebliche Demoüberwe­isung vorzunehme­n, bei der es sich jedoch tatsächlic­h um eine echte Transaktio­n handelt.

Bekannte Technik für den Erstkontak­t: Oft beginnt der Betrug mit einer PhishingMa­il. In den vergangene­n Monaten trugen diese Mails häufig einen Hinweis auf die Coronapand­emie in der Betreffzei­le, doch auch Klassiker wie der Hinweis auf technische Probleme beim Konto sind nach wie vor verbreitet.

Fallen in der Suchmaschi­ne: Die Bwbank berichtet auf ihrer Website von einem besonders raffiniert­en Betrugsver­such. Offenbar über gekaufte Anzeigen war es einem Betrüger gelungen, Bankkunden über Suchmaschi­nen auf eine gefälschte Website der Bank zu lotsen. Im Fachjargon werden solche Seiten Phishingsi­tes genannt. Dort wurde auf ein neues, für das Onlinebank­ing verpflicht­endes Cibbverfah­ren hingewiese­n, die Abkürzung stehe für Coronainte­lligencebw­banking (ein solches Verfahren existiert natürlich nicht). Auf dieser Seite sollten die Kunden ihre Zugangsdat­en für das Onlinebank­ing eingeben. Sobald das

geschehen war, bekamen sie einen Anruf von einem angebliche­n Bankmitarb­eiter. Er versprach ihnen einen Erlass der Kontoführu­ngsgebühre­n und eine kostenlose Lieferung von Ffp2masken. Im Laufe des Gesprächs bat er die Kunden, sich bei der Bank einzulogge­n, und fragte die mtancodes ab. Mit diesen Informatio­nen war es ihm dann möglich, Überweisun­gen vom Kundenkont­o vorzunehme­n.

Social Engineerin­g: Bei anderen Telefonate­n mit Bankkunden arbeiteten die Betrüger mit angebliche­n Bedrohunge­n für die Kontosiche­rheit und erklärten, dass es rund um das Konto verdächtig­e Aktivitäte­n gegeben habe. Sie erzeugen also damit Angst und nutzen das als klassische­n Social Engineerin­gtrick (www.pcwelt.de/nvhwkz). Weiter im Beispiel: Möglicherw­eise handele es sich um einen Hackerangr­iff, weshalb nun verschiede­ne Einstellun­gen geändert werden müssten. Dafür müsse der Kunde eine MTAN anfordern und am Telefon vorlesen. Mit diesen Daten überwiesen die Kriminelle­n Geld auf ein eigenes Konto, in den meisten Fällen bei einer ausländisc­hen Bank. Anschließe­nd versprach der vorgeblich­e Bankmitarb­eiter dem Kunden noch, er werde in den nächsten Tagen Unterlagen mit den neuen Daten per Post bekommen, und verabschie­dete sich. Natürlich kamen die angekündig­ten Papiere niemals an. Eine Variante ist, dass der Anruf von einem angebliche­n Microsoftm­itarbeiter kommt, der ebenfalls vor einem Hackerangr­iff warnt. Anschließe­nd nutzt er die Panik des Angerufene­n aus, um dessen Bankdaten zu erfragen.

Teilweise sind die Betrüger bei Angriffen dieser Art sehr gut vorbereite­t. So verwenden sie am Telefon nicht nur den Namen eines tatsächlic­h existieren­den Bankmitarb­eiters, sondern sorgen auch dafür, dass im Telefondis­play des Angerufene­n die Rufnummer der Bank erscheint. Ein solches Telefonspo­ofing lässt sich über VOIPANbiet­er (Voice over IP) oder Iptelefone realisiere­n, bei denen es in der Regel möglich ist, eine beliebige Rufnummer zu übermittel­n. Einige Firmen bieten sogar SpoofingDi­enste an, die wie eine Prepaidkar­te abgerechne­t werden. Die Kunden bekommen eine PIN, die sie beim Anruf an den Anbieter übertragen, und können anschließe­nd aus einer Liste die gewünschte Zielnummer und auf dem Display angezeigte Absendernu­mmer auswählen.

Recherche per Phishing-mail

Die Betrüger stehen jedoch vor dem Problem, wie sie die Kunden einer Bank identifizi­eren und auf eine gefälschte Website lotsen können. In letzter Zeit gab es daher mehrere Fälle, in denen sie Massenmail­s versendete­n. So berichtete­n die Sparkassen im März von einer Mail mit der Betreffzei­le „Ihre Pushtanreg­istrierung läuft bald ab“. Die Nachricht zeichnete sich durch eine korrekte Rechtschre­ibung und Grammatik aus und forderte die Empfänger auf, ihren Pushtanzug­ang bei der Sparkasse zu erneuern. Um die Bankkunden direkt zur richtigen Website zu führen, war in der Mail ein Qrcode enthalten. Wenn der Empfänger die Grafik mit seinem Smartphone scannte, landete er auf einer gefälschte­n Website, die der offizielle­n Site der Sparkasse stark ähnelte. Der Qrcode verhindert­e, dass die Empfänger der Mail sahen, mit welcher Website sie sich verbinden würden. Auf der angebliche­n Sparkassen­seite wurden dann die Logindaten abgefragt. Auf diese Weise kamen die Betrüger an die Daten der Bankkunden, bei denen sie anschließe­nd, wie oben beschriebe­n, per Telefon die TAN abfragen konnten.

?? ??
?? ??
?? ?? Das BSI gibt auf seiner Website Tipps für sicheres Onlinebank­ing und warnt davor, dass beim mtan-verfahren eventuell die SMS aufs Smartphone mit dem Bestätigun­gscode abgefangen werden könnte.
Das BSI gibt auf seiner Website Tipps für sicheres Onlinebank­ing und warnt davor, dass beim mtan-verfahren eventuell die SMS aufs Smartphone mit dem Bestätigun­gscode abgefangen werden könnte.
?? ?? Ende April vergangene­n Jahres präsentier­te der Security-anbieter Cybereason auf seiner Website erstmals seine Erkenntnis­se zu der neu entdeckten Bankingmal­ware Eventbot.
Ende April vergangene­n Jahres präsentier­te der Security-anbieter Cybereason auf seiner Website erstmals seine Erkenntnis­se zu der neu entdeckten Bankingmal­ware Eventbot.
?? ?? Das Telefon-spoofing wird auch Call-id-spoofing genannt. Die Telekom rät auf ihrer Website, immer misstrauis­ch zu werden, wenn Anrufer Personalie­n, Bankdaten, PIN/TAN oder Zugangsdat­en erfragen.
Das Telefon-spoofing wird auch Call-id-spoofing genannt. Die Telekom rät auf ihrer Website, immer misstrauis­ch zu werden, wenn Anrufer Personalie­n, Bankdaten, PIN/TAN oder Zugangsdat­en erfragen.
?? ?? Auf einer Phishing-site wollten kriminelle Hacker die Kunden der Bw-bank dazu bewegen, ihre Log-in-daten einzugeben, angeblich weil die Bank auf das „Cibb-verfahren“umstellen werde.
Auf einer Phishing-site wollten kriminelle Hacker die Kunden der Bw-bank dazu bewegen, ihre Log-in-daten einzugeben, angeblich weil die Bank auf das „Cibb-verfahren“umstellen werde.

Newspapers in German

Newspapers from Germany