Cyber Security

Online Banking: Gefahren und Beispiele
Kommentare

Online Banking zählt zu den Urgesteinen aller Web-Services. Entsprechend arglos gehen viele mit dem Thema Online Banking um. Allerdings lauern auch hier Gefahren, die von Cyberkriminellen und Malware ausgehen.

Regelmäßige Schreckensmeldungen über Cyber-Kriminelle, die unsere Daten ausspähen, sorgen bei den Nutzern für ein kurzfristiges Erwachen, das die Frage aufwirft: „Ist mein Geld sicher?“. Folgender Beitrag erklärt anhand von Beispielen die Methoden und Gefahren von Online Banking.

Browserbasiertes Internetbanking

Der wohl beliebteste Online-Bankendienst ist das browserbasierte Internetbanking. Hier werden Transaktionen über die Webseite der Bank abgewickelt. Für die nötige Sicherheit sorgt die sogenannte Transport Layer Security.

Dabei handelt es sich um ein hybrides Verschlüsselungssystem, das allgemeinhin als SSL-Verschlüsselung bezeichnet wird. Diese Abkürzung steht für Secure Sockets Layer und beschreibt die Vorgängerbezeichnung von TSL.

Die persönliche Identifikation erfolgt beim Internetbanking in der Regel durch eine TAN-Liste, die dem User zuvor per Post in Papierform zugesendet wurde. Weitere Formen der TANs sind unter anderem die eTAN, die sm@rtTAN, die chipTAN, oder die mobileTAN, die per SMS auf das mobile Endgerät des Nutzers versendet wird.

Betrug und Sicherheitsrisiken bei der mTAN

Heutzutage haben die meisten von uns Smartphones – und wir nutzen sie nicht nur zum Chatten, surfen oder telefonieren. Die Mobile-Dienste werden immer besser, die Smartphones werden immer schneller und die Netze werden stabiler.

Die frühzeitige Online-Banking-Sozialisierung der User zahlt sich im mobilen Zeitalter aus. Das Vertrauen der Kunden in den Service ist bereits gefestigt.

Mit Online-Banking per Smartphone können Überweisungen von überall und jederzeit durchgeführt werden. Wer das mTAN-Verfahren nutzt, braucht dafür nicht einmal einen zusätzlichen TAN-Generator – eine sogenannte mTAN ersetzt die lästige Suche nach der Papier-TAN-Liste oder dem TAN-Gerät.

Beim mTAN-Verfahren erhält der Überweisende nach der Eingabe aller Daten eine Transaktionsnummer als Einmalpasswort (TAN) per SMS, mit dessen Hilfe er die gewünschte Überweisung verifiziert.

Bundeskriminalamt warnt vor Gefahren

Das Bundeskriminalamt warnt die Nutzer von mTANs vor gefährlichen Trojanern, die sich auf betroffenen Smartphones einnisten, über manipulierte Apps empfindliche Daten zum Online-Banking ausspionieren und Zugangsdaten zum Online-Banking stehlen. Die Zahl solcher Angriffe hat sich laut BKA im ersten Quartal 2014 versechsfacht.

Besonders gefährdet sind laut BKA Smartphones mit veralteten Android-Versionen. Die Angriffe erfolgen über manipulierte Apps, Emails, SMS, oder schädliche Links.

Trotz aller Gefahr nutzt laut einer Umfrage jeder dritte Nutzer in Deutschland das mobile Online-Banking via Smartphone bzw. Tablet. Rund 60 Prozent aller privaten Banktransaktionen werden hierzulande übers Internet erledigt. Kein Wunder, dass mit wachsenden Nutzerzahlen des Online- und mTAN-Bankings auch die Cyber-Kriminalität auf diesem Gebiet rasant ansteigt.

Da die Angriffe über manipulierte Apps stattfinden, ist der Nutzer in erster Linie selbst für den Schutz seines Smartphones verantwortlich. Lasst die Finger von verdächtigen Anwendungen und schaut Euch grundsätzlich die Nutzungsbedingungen durch, bevor Ihr Apps installiert. Vorsicht auch bei den sogenannten Phishing-Mails und -SMS, die mittlerweile nicht mehr als unpersönliche Massen-Nachrichten daherkommen, sondern offiziellen Mails von Banken zum Verwechseln ähnlich sehen.

Phishing

Phishing bedeut wörtlich übersetzt „Passwort fischen“. Die beliebte Betrugsmasche beginnt meist mit  einer E-Mail, die den Nutzer dazu verleiten will, sich auf einer scheinbar bekannten Webseite einzuloggen. Der in der E-Mail enthaltene Link, der auf die entsprechende Webseite führt, ist manipuliert. Arglose User landen über diesen auf einer gefälschten Webseite, auf der sie ihre persönlichen Passwörter eingeben, die dann von den Cyber-Kriminellen abgefangen werden.

Wie das Bundeszentralamt für Steuern mitteilt, versuchen immer wieder Cyber-Kriminelle an die Bankverbindung und die Kreditkarten-Infos ahnungsloser Opfer heranzukommen, um anschließend Geld abzuheben. Im Email-Postfach der Nutzer landet eine E-Mail mit einer vermeintlich freudigen Nachricht über die Rückzahlung von zu viel bezahlten Einkommenssteuern. Für die Rückerstattung des Geldbetrags müssen die User lediglich ihre Bankdaten und Kreditkartennummern in eine Antwortmail schreiben.

Das Bundeszentralamt für Steuern warnt ausdrücklich davor, auf solche Emails zu antworten. Die Behörde verschicke laut eigener Aussage grundsätzlich keine E-Mails mit solchem Inhalt.

Pharming

Wer haftet, wenn Cyber-Kriminelle beim Online-Banking die Konten ihrer Opfer plündern? Dieser Frage ist nun der Bundesgerichtshof nachgegangen und hat gestern ein Urteil gefällt: Kunden die leichtfertig mit ihren Transaktionsnummern (TAN) umgehen, haften im Betrugsfall selber.

Geklagt hatte ein Bankkunde, der von Betrügern auf eine gefälschte Internetseite seiner Bank gelotst wurde und dort mehrere TAN eingetippt hatte. Daraufhin verschwanden 5.000 Euro von seinem Konto in Richtung Griechenland.

Die Täter konnten nicht mehr ermittelt werden. Obwohl die Banken grundsätzlich davor warnen, auf einer Internetseite mehrere TANs einzutippen, fallen dennoch viele Opfer auf die Masche – das sogenannte Pharming – rein.

Der Eurograbber – Trojaner

Vor einigen Monaten trieb der sogenannte Eurograbber Trojaner sein Unwesen. Per Smartphone verschickte Online-Banking-Geheimzahlen (mTAN) wurden von der Malware abgefangen – insgesamt wurden die Opfer um 36 Millionen Euro erleichtert.

Dabei war das Vorgehen der Cyber-Kriminellen besonders perfide: Zunächst wurde der Desktop-Computer der arglosen Opfer durch eine Phishing Mail infiziert, anschließend erhielten die User eine gefälschte Nachricht der Bank, in der dazu aufgefordert wurde, die private Handynummer und das OS des Gerätes einzugeben. Nachdem die Opfer das taten, erhielten sie eine Nachricht mit einer Malware, die sie sich auf das mobile Endgerät herunterladen konnten.

Die Hacker buchten pro Eurograbber-Opfer zwischen 500 und 250.000 Euro ab. Eine ausführliche Erklärung des genauen Vorgehens findet Ihr in diesem Whitepaper.

 

Aufmacherbild: technology, leisure, shopping, banking and lifestyle concept – close up of man with laptop computer and credit card at home via Shutterstock / Urheberrecht: Syda Productions

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -