Die Bayerische Polizei - Phishing - das Bayerische Landeskriminalamt (LKA) rät zur Vorsicht beim Online-Banking

28.07.2021, Bayerisches Landeskriminalamt

Online-Banking ist komfortabel und bequem, aber gerade hier versuchen Straftäter an ihr Geld zu kommen. Seit mehreren Jahren sind Bankkunden durch das Phänomen Phishing (Ausspähen von Bankzugangsdaten im Internet) betroffen. Zunächst wurden die Opfer vor allem per Phishing-Email auf gefälschte Bankseiten gelockt, auf denen ihre Zugangsdaten ausgespäht wurden. Nachdem dieser Modus operandi bei Kreditinstituten und Kunden publik geworden war, setzten die Täter auf den Einsatz von Trojanern. Diese Schadsoftware wurde unbemerkt auf die Rechner der Bankkunden installiert und sendete die vertraulichen Daten an die Rechner der Täter.

Die Banken reagierten darauf zur Erhöhung der Sicherheit im Online-Banking mit der Einführung des iTAN-Verfahrens. Hierzu wird bei jeder Transaktion im Online-Banking eine bestimmte TAN verlangt. Dieses Verfahren hat kurzfristig die Sicherheit erhöht, bereits 2008 wurden jedoch erfolgreiche Angriffe auf diese Art der Authentifizierung beobachtet. Es handelte sich zunächst noch um Einzelfälle, da nur wenige Täter über die technischen Möglichkeiten und Kenntnisse verfügten, das iTAN-Verfahren zu umgehen.

Leider blieb es nicht dabei. Nachdem die Phishing Fälle in Bayern von 878 im Jahr 2007 auf 287 Fälle im Jahr 2008 zurückgegangen waren, wurden in den ersten fünf Monaten 2009 bereits 229 Fälle bekannt. Allein im Mai kamen in Bayern 72 neue Fälle zur Anzeige.

In fast allen Fällen wurde von den Kunden das Verfahren iTAN verwendet. Die Täter sind mittlerweile in der Lage die Daten in Echtzeit auszutauschen, d.h. während der Bankkunde seine Transaktion ausführt. Die aktuellsten Varianten dieser Art von Schadsoftware manipuliert sogar die Kontoübersicht im Browser des Opfers, so dass dort die vom Kunden vermeintlich in Auftrag gegebenen Transaktionen erscheinen. Ruft man sein Banking Portal dann von einem nicht infizierten Rechner auf, wird die widerrechtliche Transaktion – in der Regel in Höhe von mehreren Tausend Euro – sichtbar.

Viele Banken bieten daher weitere Authentifizierungssysteme an. Das kundenfreundlichste davon ist sicherlich die sogenannte mTAN. Dieses Kürzel steht für mobile Transaktionsnummer. Der Kunde benötigt hier keine TAN-Liste mehr. Um nach dem Login (erste Authentifizierungsstufe), eine Transaktion zu bestätigen, wird von der Bank jedes Mal eine neue mTAN generiert und dem Kunden per SMS an die bei der Bank hinterlegte Telefonnummer gesendet (zweite Authentifizierungsstufe). Die Sicherheit liegt zum einen im Medienbruch, die mTAN wird nicht wie die Überweisung über das Internet übermittelt, sondern über das Mobilfunknetz. Aber auch der Inhalt der SMS bietet zusätzliche Sicherheit. Im Text ist nicht nur die mTAN enthalten, sondern auch der bei der Bank eingegangene Überweisungsauftrag in Kurzform. Stellt der Kunde nun fest, dass dieser manipuliert wurde, kann er die Transaktion abbrechen. Außerdem ist die mTAN mit einer zeitlichen Gültigkeit versehen. Der Kunde sollte allerdings darauf achten, seine Kontonummer und PIN nicht im Mobiltelefon zu speichern oder mit diesem zusammen aufzubewahren. Bei Verlust hätte der Finder oder Dieb so vollen Zugang zum Online-Konto.

Vor allem für Geschäftskunden wurde das HBCI-Verfahren (Homebanking Computer Interface) eingeführt. Da hier am PC des Bankkunden ein Kartenleser installiert werden muss, ist es aufwendiger zu implementieren. Transaktionen können nur durchgeführt werden, wenn eine entsprechende Chipkarte eingeschoben ist und ein Programm mit einer entsprechenden HBCI-Schnittstelle verwendet wird. Die aktuelle Version dieses Verfahrens nennt sich „FinTS HBCI“ (=Financial Transaction). Da bei diesen Verfahren die PIN in der Tastatur des Kartenlesegerätes eingegeben wird, können Trojaner, mit denen der PC infiziert ist, diese nicht ausspähen. Durch Austausch einer Prüfdatei zwischen Kunde und Bank wird sichergestellt, dass der Kunde auch tatsächlich mit dem Server der Bank verbunden ist. In der neuesten Geräte-Generation werden in einem Display sogar die zu signierenden Daten angezeigt (sog. Secoder-Standard).

Was können sie tun, um Ihre Sicherheit zu erhöhen?

Vorsichtsmaßnahmen zur Herstellung der eigenen Rechnersicherheit:

Sichern Sie Ihr System durch die Installation aller Sicherheitsupdates für ihr Betriebssystem, Aktualisierungen für die installierten Anwendungen, eine Firewall und einen Virenscanner. Seien sie sich aber bewusst, dass auch ein tagesaktueller Virenscanner nicht alle Viren erkennen wird! Führen sie regelmäßig komplette Virenscans durch.
Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.
Deaktivieren Sie Javascript im Browser, um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), um die Ausführung von ungewollten Skripts zu unterdrücken.

Verhaltensorientierte Möglichkeiten mit denen sie sich schützen können:

Nutzen Sie beim Online-Banking mTAN oder FinTS HBCI. Im Gegensatz zu TAN und iTAN können diese derzeit nicht überwunden werden.
Klicken Sie keine Links in Phishing-Mails an. Dort werden nicht nur Nicht nur gefälschte Bankseiten angezeigt, es kann auch sein, dass von der Zielseite unbemerkt Schadsoftware nachgeladen wird!
Öffnen Sie keine Mail-Anhänge von unbekannten Absendern! Es könnte sich um Schadsoftware handeln.
Geben Sie Immer die URL ihrer Bank direkt in die Adresszeile ein!
Wird bei einer Überweisung eine TAN als ungültig oder bereits verbraucht angezeigt, die eigentlich noch gültig sein müsste, kann dies ein Hinweis auf einen Trojaner sein, der versucht die Transaktionsdaten auszuspähen. Es sollte sofort die komplette TAN-Liste gesperrt werden und die Zugangs-PIN bzw. Passwort zum Online-Banking-Portal der Bank geändert werden. Tritt ein Schaden ein, sollte sofort Kontakt mit der Bank aufgenommen und die örtlich zuständige Polizeidienststelle kontaktiert werden. Der PC soll zunächst nicht eigenmächtig von Trojanern gesäubert bzw. neu installiert werden, um eine Beweisführung zu ermöglichen. Solange soll der PC jedoch auch nicht mehr verwendet werden.
Bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung - seriöse Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.
Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.
Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden: Der URL sollte mit "https://" und nicht nur mit "http://" starten. Überprüfen sie das Schlosssymbol im Browser und die dahinterliegende Signatur.
Melden Sie sich nach dem Onlinebanking ordnungsgemäß vom System der Bank ab. Meist gibt es dafür eine Schaltfläche oder einen Menüpunkt mit der Aufschrift "Logout".
Legen Sie die Zugangsdaten sowie eventuelle Tan-Listen an einem sicheren Ort in ihrer Wohnung ab. Speichern Sie diese Daten nicht im PC.
Notieren Sie PIN oder andere Zugangsdaten auf keinen Fall auf der EC-Karte, bewahren Sie solche Daten nicht in ihrer Brieftasche auf.
Sollten ihnen PIN oder eine Tan-Liste verloren gehen, sperren Sie umgehend ihr Konto und beantragen Sie neue Zugangsdaten.
Verwenden sie für den täglichen Betrieb nicht das Administratorkonto, sondern eingeschränkte Benutzerkonten.