Phishing beim Online-Banking: So funktioniert die Betrugsmasche
Online-Banking ist aus unserem Alltag nicht mehr wegzudenken. Das machen sich Betrüger zunutze: Mit Phishing-Mails oder SMS verschaffen sie sich Zugang zu fremden Konten – und stehlen so das Geld.
Mittlerweile erledigen neun von zehn Internetnutzerinnen und -nutzern in Deutschland ihre Bankgeschäfte online, das ergab eine Befragung im Auftrag des Digitalverbands Bitkom. Doch die schnelle und bequeme Art, Geldgeschäfte von zu Hause oder unterwegs zu erledigen und Konten zu verwalten, hat auch ihre Tücken.
Phishing: Betrugsmasche per E-Mail oder SMS
Obwohl die Sicherheitsverfahren der Banken über die Jahre immer sicherer geworden sind (Zwei-Faktor-Authentifizierung, spezielle TAN-Apps, Sicherheits-Algorithmen), gelingt es den immer besser organisierten Tätern, mit raffinierten Betrugsmaschen Zugriff auf Bankkonten zu erhalten. Die gängigste Form dieses Trickbetrugs ist das sogenannte Phishing – eine Ableitung des englischen Begriffs „fishing“, zu Deutsch angeln. Ein Betrüger wirft einen Köder aus – oft in Form einer E-Mail oder einer SMS, die angeblich von einer Bank stammt – und wartet, bis ein Opfer „anbeißt“.
Betrüger ergaunern Kontonummer und Passwort
„Der Fokus der Täter liegt vor allem auf Banken, die der Bürger für sein Girokonto nutzt. Volksbanken, Sparkassen, Postbank, Commerzbank. Da spezialisieren sich die Täter drauf. Da hat man potenziell mit einer Phishing-Seite viele, viele Opfer,“ sagt Henning Dibbern vom Kommissariat Cybercrime Ermittlungen der Kripo Kiel.
Der Kriminalhauptkommissar beschäftigt sich seit Jahren mit Lücken in Online-Banking-Systemen, die Kriminelle nutzen, um an sensible Daten wie Kontonummern, Passwörter oder sogar TAN (Transaktionsnummern) zu kommen.
Phishing ist häufigste Form von Betrug bei Online-Banking
„Die Phishing-Attacken beim Online-Banking sind in Deutschland so hoch wie nie zuvor“, weiß Henning Dibbern.
In der Regel läuft es folgendermaßen ab:
- Ein Betrüger verschickt eine E-Mail oder eine SMS. Der Absender: angeblich eine Bank, die den Kunden dazu auffordert, sich über einen angefügten Link mit den eigenen Zugangsdaten einzuloggen.
- Als Grund werden oft Sicherheits-Updates, unbefugte Konto-Zugriffe oder technische Probleme angegeben. Die Botschaft: „Wenn Sie nicht schnell handeln, bekommen Sie Probleme!“
- Die Mails und Webseiten sehen oft täuschend echt aus, suggerieren also: Diese Nachricht kommt von Ihrer Bank und ist vertrauenswürdig.
- Der Link führt allerdings auf eine gefälschte Webseite, wo die Täter die eingegebenen Daten „mitlesen“ können. Damit erbeuten sie den Benutzernamen und das Passwort zum Online-Banking.
- Was den Tätern jetzt noch fehlt ist die TAN, also die individuelle Transaktionsnummer, die dem Kontoinhaber ausschließlich über ein separates Verfahren zur Verfügung gestellt wird. Um diese zu bekommen, erstellen sie möglicherweise ein weiteres Eingabe-Portal oder rufen die Opfer persönlich an.
- Haben die Täter alle notwendigen Informationen, können sie im Namen des Opfers eine Überweisung ausführen und im schlimmsten Falle das Konto leer räumen.
Betrüger nutzen vor allem Echtzeit-Überweisungen
Begünstigt werden diese Betrugsmaschen durch sogenannte Echtzeit-Überweisungen – also Transaktionen, bei denen das Geld binnen Sekunden das eigene Konto verlässt und das Empfänger-Konto erreicht. „Dann ist das weg. Sie haben keine Chance, das zu stoppen“, erklärt Christoph Wolf, Sicherheitsexperte von der GLS Bank. Es sei denn, ein bankinterner Algorithmus bemerkt eine Unregelmäßigkeit und verhindert die Überweisung. Diese künstliche Intelligenz könne laut Wolf bemerken, dass beispielsweise mehr Echtzeit-Überweisungen als üblich oder Überweisungen in unübliche Länder getätigt werden.
Warnhinweise für Phishing erkennen
Nicht nur die künstliche Intelligenz kann eingreifen. Auch als Kunde kann man die oft sehr gut gemachten Betrugsmaschen erkennen – denn es gibt klare Warnhinweise:
- Die E-Mail oder die SMS: Banken fordern Kunden niemals über das private E-Mail-Postfach zu sicherheitsrelevanten Aktionen auf. Die Kommunikation erfolgt ausschließlich über das Postfach in der Online-Banking App – oder per Post.
- Der Zeitpunkt und die Botschaft: Betrüger melden sich oft am Abend oder am Wochenende, sodass keine Bank mehr zu erreichen ist. Außerdem wird Druck aufgebaut, damit der Kunde schnell und unüberlegt handelt.
- Der Link: Kunden sollten sich die URL, auf die sie klicken, sehr genau anschauen und mit der Internetadresse der tatsächlichen Bank vergleichen. Oft sind Betrugs-Links kryptisch oder haben keine .de, sondern eine .com, .net oder .org Adresse.
- Die Website: Auch wenn sie auf den ersten Blick authentisch wirkt, führen dort viele Links oft ins Leere, oder das Impressum ist falsch oder unvollständig.
- Der Anruf und die TAN: Bankmitarbeiter fordern ihre Kunden niemals zur Weitergabe einer TAN auf. Die TAN wird immer nur direkt in der Banking-App abgefragt und bezieht sich immer auf eine vorher vom Kunden eingegebene Aktion, zum Beispiel eine Überweisung.
Verhalten nach einem Phishing-Vorfall
Sobald der Betrug bemerkt wurde, sollten Kunden Folgendes tun:
- Sofort die Notfall-Hotline der eigenen Bank anrufen und den Betrug melden. Mit etwas Glück kann die Überweisung noch gestoppt werden, falls nicht, kann die Bank aber Kontakt zur Empfänger-Bank herstellen und dort um eine Rücküberweisung oder eine Sperrung des Kontos bitten.
- Die Konto-Daten des Empfängers notieren. Zumindest die IBAN muss nämlich echt sein und gibt den Ermittlern die Möglichkeit, gegen den Betrüger vorzugehen.
- Sofort Anzeige bei der Polizei erstatten und die Konto-Daten des Empfängers weitergeben. Denn nur durch eine Anzeige wird ein offizielles Verfahren eingeleitet, das die Banken dazu berechtigt, Überweisungen zu stoppen oder Konten zu sperren.
- Sofort die Empfänger-Bank kontaktieren – und mitteilen, dass ein dort registriertes Konto für einen Betrug verwendet wurde. Denn: Banken sind Dienstleister und dürfen Überweisungen nur bei erwiesenem Verdacht auf Straftaten für längere Zeit zurückhalten. Selbst wenn das Geld also durch einen Algorithmus automatisch eingefroren wurde, könnte es wieder freigegeben werden, sofern sich kein Geschädigter meldet.
Grundsätzlich gilt: Die wirksamste Waffe im Kampf gegen Cyberkriminelle und Online-Phishing ist der Kunde selbst: Ein sorgfältiger Umgang mit vertraulichen Daten, eine kritische Prüfung jeder E-Mail oder SMS und eine gesunde Skepsis bei der Weitergabe von Informationen im Internet sind wichtig. Denn: Häufig sei es so, dass den Kunden gar nicht bewusst sei, dass sie irgendwo raufgeklickt hätten, so Henning Dibbern. „Die Erfahrung zeigt, dass in neun von zehn Fällen der Fehler doch beim Kunden lag.“
Phishing per Post
Achtung! Betrüger fälschen Briefe von der Sparkasse
So sieht das Schreiben aus, mit dem Betrüger an die Daten von Sparkassen-Kunden kommen wollen
Foto: Privat / Quelle: Bild.de
Eine gefälschte E-Mail zu erkennen, darin sind viele Menschen inzwischen geübt. Briefen gegenüber ist man dagegen häufig noch gutgläubiger – und das wollen Betrüger nun ausnutzen!
Die Sparkassen-Finanzgruppe warnt aktuell vor gefälschten Briefen, die im Namen der Bank verschickt werden: Darin werden Kunden aufgefordert, ihre persönlichen Daten zu aktualisieren. Das erfolge auf einer Website hinter einem QR-Code. Der Grund seien EU-Vorschriften, um Geldwäsche zu verhindern und die Identität der Kunden regelmäßig zu überprüfen.
Wer dem Link folgt, landet auf einer gefälschten Website und soll dort u. a. seine Login-Daten für das Online-Banking eingeben.
Die Sparkasse stellt klar: Dieser Brief kommt von Betrügern! In einer Sicherheitswarnung zeigt sie, wie das gefälschte Schreiben aussieht.
Sollten Sie solch einen Brief bekommen, schmeißen Sie ihn also sofort in den Müll. „Sofern Sie bereits Daten auf den Phishing-Seiten eingegeben haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs sowie Ihrer Sparkassen-Card und Sparkassen-Kreditkarte umgehend bei Ihrer Sparkasse“, rät die Sparkassen-Finanzgruppe.
Cyberkriminelle tarnen sich als Postbank
Im Visier der Cyberkriminellen: Wie gefälschte Sicherheitswarnungen Ihre Daten gefährden und wie Sie sich schützen können
Ach, die Digitalisierung! Sie hat so viel Komfort in unseren Alltag gebracht, aber auch neue Bedrohungen. In den Tiefen des Cyberspace lauern digitale Wölfe, die uns das Fell über die Ohren ziehen wollen. Der neueste Trick: Sie geben sich als Postbank aus und verschicken gefälschte E-Mails, die uns dazu bringen sollen, unsere Zugangsdaten preiszugeben. Und die Masche scheint zu funktionieren, denn viele Nutzer fallen auf die vermeintlichen Sicherheitswarnungen herein. In diesem Artikel bringen wir Licht ins Dunkel. Wir zeigen, wie diese Betrügereien funktionieren und geben Tipps, wie man sich davor schützen kann.
Der Wolf schlüpft in das Schafspelz
Die E-Mail landet in Ihrem Posteingang und sieht auf den ersten Blick legitim aus. Die Betreffzeile ist unauffällig: „Wg: Neues Dokument Ref.72764-DE-7229739“. Der Absender wirkt offiziell, die Logos und das Layout der Nachricht erinnern stark an die Kommunikation der echten Postbank. Und auch der Inhalt der Nachricht ist vertraut und doch alarmierend.
„Damit Sie weiterhin vollständig an der Anwendung Postbank BestSign teilnehmen können, bitten wir Sie, das neue Sicherheitsupdate einzureichen, um eine weitere Unterbrechung unseres Dienstes zu vermeiden.“
Klingt verständlich, oder? Schließlich will man nicht, dass der Dienst ausfällt. Und ein Sicherheitsupdate klingt doch gut, oder?
Die Falle: Der Klick auf den Link
In der E-Mail wird der Empfänger aufgefordert, auf einen Link zu klicken. Und dieser scheinbar harmlose Klick kann fatale Folgen haben. Er führt auf eine gefälschte Website, die der echten Postbank-Website täuschend ähnlich sieht. Dort wird man aufgefordert, seine Zugangsdaten einzugeben, und ehe man sich versieht, sind die persönlichen Daten in den Händen der Betrüger. Anhand der URL kann man bereits erkennen, dass es sich hierbei nicht um die POSTBANK-Webseite handelt!
Die Motivation der Betrüger
Was steckt dahinter? Warum sollte jemand so viel Aufwand betreiben, um sich als Postbank auszugeben? Die Antwort ist einfach: Geld. Ihre Zugangsdaten sind der Schlüssel zu Ihrem Konto. Sobald ein Betrüger diese Daten hat, kann er auf Ihr Konto zugreifen und Geld abheben oder Überweisungen tätigen.
So schützen Sie sich vor der Betrugsmasche
Es klingt beängstigend, nicht wahr? Aber keine Sorge, es gibt Möglichkeiten, sich zu schützen. Hier sind einige Tipps:
- Seien Sie skeptisch: Bei E-Mails, die Sie zur Eingabe von Zugangsdaten auffordern, sollten die Alarmglocken läuten. Banken fordern ihre Kunden normalerweise nicht per E-Mail dazu auf, ihre Zugangsdaten einzugeben.
- Überprüfen Sie die E-Mail-Adresse des Absenders: Oft verwenden die Betrüger gefälschte E-Mail-Adressen, die der offiziellen Adresse der Bank ähnlich sehen, aber nicht identisch sind.
- Klicken Sie keine Links in verdächtigen E-Mails an: Gehen Sie stattdessen direkt auf die Website Ihrer Bank, indem Sie die Adresse in Ihren Webbrowser eingeben.
- Aktualisieren Sie Ihre Sicherheitssoftware: Stellen Sie sicher, dass Ihr Computer und Ihre mobilen Geräte stets über die neueste Sicherheitssoftware verfügen.
Fazit: Wir leben in einer Zeit, in der die digitale Welt immer komplexer und unübersichtlicher wird. Cyberkriminelle nutzen diese Verwirrung aus, um uns zu täuschen und zu betrügen. Aus diesem Grund ist es wichtiger denn je, wachsam zu sein und sich im Klaren darüber zu sein, wie man sich vor diesen Bedrohungen schützen kann. Bleiben Sie skeptisch, prüfen Sie die Fakten und lassen Sie sich nicht von gefälschten E-Mails in die Irre führen.
Und denken Sie daran: Wenn Sie eine E-Mail erhalten, die zu gut oder zu alarmierend klingt, um wahr zu sein, dann ist sie es wahrscheinlich auch nicht. In der digitalen Welt, wie auch in der realen Welt, ist es immer besser, zweimal hinzuschauen, bevor man einen Schritt tut.
Hamburg (ots)
Ort: Hamburger Stadtgebiet
Seit Jahresbeginn sind bereits rund 100 Anzeigen wegen einer Betrugsmasche beim Onlinebanking erstattet worden. Der Schaden beläuft sich auf einen mittleren fünfstelligen Betrag. Die Polizei warnt:
Bei dieser Betrugsmasche werden Bankkunden, die über eine Suchmaschine auf die Website ihrer Hausbank gelangen wollen, auf täuschend echt aussehende Fake-Websites geleitet. Beim Lock-In zum Onlinebanking erfolgt dann eine Fehlermeldung mit der Aufforderung eine bestimmte Telefonnummer anzurufen, weil das Konto angeblich gesperrt sei.
Hier fordert ein vermeintlicher Mitarbeiter der Bank den Fernzugriff auf den Rechner des Kunden, um das Problem zu beheben. Den Tätern gelingt es so, Zugriff auf das Konto ihres Opfers zu erlangen und Software auf dessen Rechner zu installieren, um beispielsweise ein Video-Ident-Verfahren durchzuführen.
Die Täter eröffnen anschließend ein Konto bei einer Onlinebank auf den Namen ihrer Opfer. Zur Identifizierung werden die Opfer aufgefordert, ein Video-Ident-Verfahren durchzuführen oder eine Ausweiskopie hochzuladen – dies sei angeblich erforderlich, um ihr Bankkonto wieder freizuschalten.
Im Anschluss hieran veranlassen die Täter Überweisungen auf die so angelegten Konten, die Opfer werden in diesem Zusammenhang aufgefordert, die entsprechenden Transaktionsnummern (TAN bzw. iTAN) mitzuteilen. Diese seien angeblich nötig, um die Freischaltung des Kontos abzuschließen.
Ihre Polizei rät:
- Besuchen Sie die Website Ihrer Bank nie über eine Suchmaschine bzw. Verlinkung.
- Erlauben Sie Ihnen unbekannten Personen keinen Zugriff auf Ihren PC; im Zweifel rufen Sie den Kundenservice Ihrer Bank über eine selbst recherchierte Telefonnummer an.
- Übermitteln Sie niemals Ausweiskopien im Internet.
- Das Video-Ident-Verfahren ist nur nötig, um ein neues Konto bei einer Onlinebank zu eröffnen. Führen Sie es nicht zu anderen angeblichen Zwecken durch.
- Die TAN bzw. iTAN ist Bestandteil der sogenannten "Zwei-Faktoren-Authentifizierung" und nur für den Kontoinhaber bestimmt. Geben Sie diese niemals an andere Personen weiter.