Sorgen Sie für mehr Sicherheit beim Online-Banking.

Das Jahr 2020 hat dem Onlinebanking noch einmal einen weiteren Schub gegeben. Laut einer Studie der Direktbank ING und der Beratungsfirma Barkow Consulting erledigten im vergangenen Jahr rund 46,8 Millionen deutsche Kunden ihre Bankgeschäfte übers Internet. 2011 waren es 31,1 Millionen, 2019 lag der Wert bei 43,8 Millionen. Die Corona-Pandemie hat diesen Trend also noch verstärkt.

Ein weiterer auffälliger Trend ist die Hinwendung zum Smartphone bei Bankgeschäften. Bei einer Umfrage des Branchenverbands Bitkom im November 2020 nach den beliebtesten Geräten für das Onlinebanking nannten 82 Prozent den Laptop. Dahinter folgte jedoch mit 58 Prozent bereits das Smartphone. Der Desktop-PC kam auf 53, das Tablet auf 50 Prozent. In der Altersgruppe der 16- bis 29-Jährigen griffen sogar 72 Prozent zum Smartphone für ihre Bankgeschäfte.

Die wachsende Beliebtheit des Smartphones bei Bankgeschäften führt jedoch zu Problemen, da auf diese Weise eine der wesentlichen Schutzmaßnahmen der für alle Banken verpflichtenden Zwei-Faktor-Authentifizierung geschwächt wird.

Seit September 2019 müssen sich Bankkunden mit einer Kombination aus zwei Authentifizierungsmethoden gegenüber dem Geldinstitut ausweisen. Die Banken haben dabei die Wahl zwischen Verfahren aus den Methoden Wissen, Besitz und Biometrie. Typische Wissensabfragen sind beispielsweise ein Passwort oder eine PIN, zu den unter Besitz zusammengefassten Methoden gehören unter anderem eine SIM-Karte im Smartphone, eine Chipkarte oder ein USB-Stick mit Passworttresor, zu den Biometrie-Methoden zählt man den Fingerabdruck oder auch eine Unterschrift.

Viele Banken setzen die gesetzlichen Vorgaben um, indem sie von ihren Kunden zunächst die Eingabe eines Passworts auf ihrer Website verlangen (Wissen) und ihnen anschließend entweder per SMS eine mTAN (mobile Transaktionsnummer) schicken oder die Eingabe eines Codes in einer Smartphone-App von ihnen verlangen (Besitz). Solange der Kunde seine Bankgeschäfte an einem Desktop-Rechner erledigt, kommt eine weitere Sicherheitsebene hinzu: Die Zwei-Faktor-Authentifizierung wird in diesem Fall auf zwei verschiedenen Geräten ausgeführt, die nicht miteinander verbunden sind. Für einen Hacker ist es sehr schwierig, sowohl den PC wie auch das Smartphone unter seine Kontrolle zu bekommen, um die Abfragen der Bank abzufangen. Sobald der Kunde seine Transaktionen jedoch allein am Smartphone ausführt, fällt dieser Schutz weg. Das machen sich die Kriminellen mittlerweile zunutze.

Vorsicht: Neue Bedrohungen für PC und Smartphone

Neue Tricks der Virenentwickler

Das BSI gibt auf seiner Website Tipps für sicheres Onlinebanking und warnt davor, dass beim mTAN-Verfahren eventuell die SMS aufs Smartphone mit dem Bestätigungscode abgefangen werden könnte.

Bevor es jetzt an die Beschreibung von konkreter Malware und registrierter Betrugsfälle geht, eine Vorbemerkung: Die Fallzahlen für Betrug beim Onlinebanking sind gering, und es gibt keinen Grund, der elektronischen Abwicklung von Bankgeschäften generell zu misstrauen. Die Zwei-Faktor-Authentifizierung hat die Sicherheit zudem deutlich erhöht. So lange Sie einige Vorsichtsmaßnahmen einhalten (siehe dazu den Kasten rechts unten), können Sie Ihre Bankgeschäfte weitgehend unbesorgt vom heimischen PC aus erledigen.

Neuer Trojaner: Im März 2020 entdeckte die amerikanische Sicherheitsfirma Cybereason die erste Version eines neuen Bankingtrojaners und gab dem Schadprogramm den Namen Eventbot . Die Software richtet sich gezielt gegen die Besitzer von Android-Smartphones. Eventbot taucht nicht im offiziellen Play Store von Google auf, der unbekannte Entwickler hat auch noch keine weitergehende Verbreitung der Malware in die Wege geleitet.

Nach der Installation scannt das Programm die vorhandenen Apps und gibt sich anschließend als eine bekannte, harmlose Anwendung wie Word aus, um weitere Berechtigungen zu erlangen. Wichtig sind ihm dabei vor allem einige Bedienungshilfen von Android, die es ihm ermöglichen, auf dem Smartphone angezeigte Texte zu abzugreifen. Auf diese Weise kann es beispielsweise den Inhalt von SMS-Nachrichten erfassen.

Außerdem umfasst die Software einen Keylogger, mit dem sie auch die eingegebenen Texte des Smartphone-Benutzers mitlesen kann. Darüber hinaus entdeckte Cybereason im Code von Eventbot Erkennungsroutinen für die Apps von rund 200 amerikanischen und europäischen Banken sowie Dienstleistern wie etwa Paypal.

Ende April vergangenen Jahres präsentierte der Security-Anbieter Cybereason auf seiner Website erstmals seine Erkenntnisse zu der neu entdeckten Banking- Malware Eventbot.

Ausgerüstet mit diesen Funktionen, stehen den Kriminellen hinter dieser App nahezu alle Türen offen: Sie können auf dem Smartphone die Passworteingabe des Users in der App seiner Bank verfolgen und die im Zuge des mTAN-Verfahrens verschickte SMS abfangen und den Text lesen. Mit diesen Daten können sie sich auf der Website der Bank einloggen und beispielsweise Überweisungen auf eigene Konten vornehmen.

Eventbot ist derzeit noch in der Entwicklung, Cybereason hat in den vergangenen Monaten bereits mehrere Versionsnummern identifiziert. Das Programm hat jedoch das Potenzial, enormen Schaden anzurichten.

Kunden im Visier von Kriminellen

Das Telefon-Spoofing wird auch Call-ID-Spoofing genannt. Die Telekom rät auf ihrer Website, immer misstrauisch zu werden, wenn Anrufer Personalien, Bankdaten, PIN/TAN oder Zugangsdaten erfragen.

In Deutschland haben mehrere Banken zuletzt eine neue Masche von Betrügern beschrieben, mit der die Sicherheit der Zwei- Faktor-Authentifizierung ausgehebelt werden konnte. Da die Technik hohe Hürden aufstellt, konzentrieren sich die Kriminellen zunehmend auf die Bankkunden. Sie versuchen dabei entweder, die benötigten Daten für eine Überweisung telefonisch abzufragen. Oder sie geben sich als Bankmitarbeiter aus und überreden den Kunden, eine angebliche Demo-Überweisung vorzunehmen, bei der es sich jedoch tatsächlich um eine echte Transaktion handelt.

Bekannte Technik für den Erstkontakt: Oft beginnt der Betrug mit einer Phishing-Mail. In den vergangenen Monaten trugen diese Mails häufig einen Hinweis auf die Corona-Pandemie in der Betreffzeile, doch auch Klassiker wie der Hinweis auf technische Probleme beim Konto sind nach wie vor verbreitet.

Fallen in der Suchmaschine: Die BW-Bank berichtet auf ihrer Website von einem besonders raffinierten Betrugsversuch. Offenbar über gekaufte Anzeigen war es einem Betrüger gelungen, Bankkunden über Suchmaschinen auf eine gefälschte Website der Bank zu lotsen. Im Fachjargon werden solche Seiten Phishing-Sites genannt. Dort wurde auf ein neues, für das Onlinebanking verpflichtendes CIBB-Verfahren hingewiesen, die Abkürzung stehe für Corona-Intelligence- BW-Banking (ein solches Verfahren existiert natürlich nicht). Auf dieser Seite sollten die Kunden ihre Zugangsdaten für das Onlinebanking eingeben. Sobald das geschehen war, bekamen sie einen Anruf von einem angeblichen Bankmitarbeiter. Er versprach ihnen einen Erlass der Kontoführungsgebühren und eine kostenlose Lieferung von FFP2-Masken. Im Laufe des Gesprächs bat er die Kunden, sich bei der Bank einzuloggen, und fragte die mTAN-Codes ab. Mit diesen Informationen war es ihm dann möglich, Überweisungen vom Kundenkonto vorzunehmen.

Social Engineering: Bei anderen Telefonaten mit Bankkunden arbeiteten die Betrüger mit angeblichen Bedrohungen für die Kontosicherheit und erklärten, dass es rund um das Konto verdächtige Aktivitäten gegeben habe. Sie erzeugen also damit Angst und nutzen das als klassischen Social Engineering-Trick . Weiter im Beispiel: Möglicherweise handele es sich um einen Hacker-Angriff, weshalb nun verschiedene Einstellungen geändert werden müssten. Dafür müsse der Kunde eine mTAN anfordern und am Telefon vorlesen. Mit diesen Daten überwiesen die Kriminellen Geld auf ein eigenes Konto, in den meisten Fällen bei einer ausländischen Bank. Anschließend versprach der vorgebliche Bankmitarbeiter dem Kunden noch, er werde in den nächsten Tagen Unterlagen mit den neuen Daten per Post bekommen, und verabschiedete sich. Natürlich kamen die angekündigten Papiere niemals an. Eine Variante ist, dass der Anruf von einem angeblichen Microsoft-Mitarbeiter kommt, der ebenfalls vor einem Hacker-Angriff warnt. Anschließend nutzt er die Panik des Angerufenen aus, um dessen Bankdaten zu erfragen.

Teilweise sind die Betrüger bei Angriffen dieser Art sehr gut vorbereitet. So verwenden sie am Telefon nicht nur den Namen eines tatsächlich existierenden Bankmitarbeiters, sondern sorgen auch dafür, dass im Telefondisplay des Angerufenen die Rufnummer der Bank erscheint. Ein solches Telefon-Spoofing lässt sich über VoIP-Anbieter (Voice over IP) oder IP-Telefone realisieren, bei denen es in der Regel möglich ist, eine beliebige Rufnummer zu übermitteln. Einige Firmen bieten sogar Spoofing-Dienste an, die wie eine Prepaid-Karte abgerechnet werden. Die Kunden bekommen eine PIN, die sie beim Anruf an den Anbieter übertragen, und können anschließend aus einer Liste die gewünschte Zielnummer und auf dem Display angezeigte Absendernummer auswählen.

Recherche per Phishing-Mail

Die Betrüger stehen jedoch vor dem Problem, wie sie die Kunden einer Bank identifizieren und auf eine gefälschte Website lotsen können. In letzter Zeit gab es daher mehrere Fälle, in denen sie Massenmails versendeten. So berichteten die Sparkassen im März von einer Mail mit der Betreffzeile „Ihre PushTAN-Registrierung läuft bald ab“. Die Nachricht zeichnete sich durch eine korrekte Rechtschreibung und Grammatik aus und forderte die Empfänger auf, ihren PushTAN-Zugang bei der Sparkasse zu erneuern. Um die Bankkunden direkt zur richtigen Website zu führen, war in der Mail ein QR-Code enthalten. Wenn der Empfänger die Grafik mit seinem Smartphone scannte, landete er auf einer gefälschten Website, die der offiziellen Site der Sparkasse stark ähnelte. Der QR-Code verhinderte, dass die Empfänger der Mail sahen, mit welcher Website sie sich verbinden würden. Auf der angeblichen Sparkassen-Seite wurden dann die Log-in-Daten abgefragt. Auf diese Weise kamen die Betrüger an die Daten der Bankkunden, bei denen sie anschließend, wie oben beschrieben, per Telefon die TAN abfragen konnten.

Lesetipp: Die 10 gefährlichsten Viren im Jahr 2021