Cybercrime

Gefahren und Schutz beim Online-Banking

26.06.2021
Von 
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Für viele Anwender ist Onlinebanking der neue Standard. Die Bankfiliale hat ausgedient. Doch die Gefahr ist nach wie vor hoch, beim Onlinebanking von Kriminellen abgezockt zu werden. Wir zeigen die aktuellen Tricks der Betrüger – und wie Sie sich schützen können.
Sorgen Sie für mehr Sicherheit beim Online-Banking.
Sorgen Sie für mehr Sicherheit beim Online-Banking.
Foto: Max Bauerfeind - shutterstock.com

Das Jahr 2020 hat dem Onlinebanking noch einmal einen weiteren Schub gegeben. Laut einer Studie der Direktbank ING und der Beratungsfirma Barkow Consulting erledigten im vergangenen Jahr rund 46,8 Millionen deutsche Kunden ihre Bankgeschäfte übers Internet. 2011 waren es 31,1 Millionen, 2019 lag der Wert bei 43,8 Millionen. Die Corona-Pandemie hat diesen Trend also noch verstärkt.

Ein weiterer auffälliger Trend ist die Hinwendung zum Smartphone bei Bankgeschäften. Bei einer Umfrage des Branchenverbands Bitkom im November 2020 nach den beliebtesten Geräten für das Onlinebanking nannten 82 Prozent den Laptop. Dahinter folgte jedoch mit 58 Prozent bereits das Smartphone. Der Desktop-PC kam auf 53, das Tablet auf 50 Prozent. In der Altersgruppe der 16- bis 29-Jährigen griffen sogar 72 Prozent zum Smartphone für ihre Bankgeschäfte.

Die wachsende Beliebtheit des Smartphones bei Bankgeschäften führt jedoch zu Problemen, da auf diese Weise eine der wesentlichen Schutzmaßnahmen der für alle Banken verpflichtenden Zwei-Faktor-Authentifizierung geschwächt wird.

Seit September 2019 müssen sich Bankkunden mit einer Kombination aus zwei Authentifizierungsmethoden gegenüber dem Geldinstitut ausweisen. Die Banken haben dabei die Wahl zwischen Verfahren aus den Methoden Wissen, Besitz und Biometrie. Typische Wissensabfragen sind beispielsweise ein Passwort oder eine PIN, zu den unter Besitz zusammengefassten Methoden gehören unter anderem eine SIM-Karte im Smartphone, eine Chipkarte oder ein USB-Stick mit Passworttresor, zu den Biometrie-Methoden zählt man den Fingerabdruck oder auch eine Unterschrift.

Viele Banken setzen die gesetzlichen Vorgaben um, indem sie von ihren Kunden zunächst die Eingabe eines Passworts auf ihrer Website verlangen (Wissen) und ihnen anschließend entweder per SMS eine mTAN (mobile Transaktionsnummer) schicken oder die Eingabe eines Codes in einer Smartphone-App von ihnen verlangen (Besitz). Solange der Kunde seine Bankgeschäfte an einem Desktop-Rechner erledigt, kommt eine weitere Sicherheitsebene hinzu: Die Zwei-Faktor-Authentifizierung wird in diesem Fall auf zwei verschiedenen Geräten ausgeführt, die nicht miteinander verbunden sind. Für einen Hacker ist es sehr schwierig, sowohl den PC wie auch das Smartphone unter seine Kontrolle zu bekommen, um die Abfragen der Bank abzufangen. Sobald der Kunde seine Transaktionen jedoch allein am Smartphone ausführt, fällt dieser Schutz weg. Das machen sich die Kriminellen mittlerweile zunutze.

Neue Tricks der Virenentwickler

Das BSI gibt auf seiner Website Tipps für sicheres Onlinebanking und warnt davor, dass beim mTAN-Verfahren eventuell die SMS aufs Smartphone mit dem Bestätigungscode abgefangen werden könnte.
Das BSI gibt auf seiner Website Tipps für sicheres Onlinebanking und warnt davor, dass beim mTAN-Verfahren eventuell die SMS aufs Smartphone mit dem Bestätigungscode abgefangen werden könnte.

Bevor es jetzt an die Beschreibung von konkreter Malware und registrierter Betrugsfälle geht, eine Vorbemerkung: Die Fallzahlen für Betrug beim Onlinebanking sind gering, und es gibt keinen Grund, der elektronischen Abwicklung von Bankgeschäften generell zu misstrauen. Die Zwei-Faktor-Authentifizierung hat die Sicherheit zudem deutlich erhöht. So lange Sie einige Vorsichtsmaßnahmen einhalten (siehe dazu den Kasten rechts unten), können Sie Ihre Bankgeschäfte weitgehend unbesorgt vom heimischen PC aus erledigen.

Neuer Trojaner: Im März 2020 entdeckte die amerikanische Sicherheitsfirma Cybereason die erste Version eines neuen Bankingtrojaners und gab dem Schadprogramm den Namen Eventbot . Die Software richtet sich gezielt gegen die Besitzer von Android-Smartphones. Eventbot taucht nicht im offiziellen Play Store von Google auf, der unbekannte Entwickler hat auch noch keine weitergehende Verbreitung der Malware in die Wege geleitet.

Nach der Installation scannt das Programm die vorhandenen Apps und gibt sich anschließend als eine bekannte, harmlose Anwendung wie Word aus, um weitere Berechtigungen zu erlangen. Wichtig sind ihm dabei vor allem einige Bedienungshilfen von Android, die es ihm ermöglichen, auf dem Smartphone angezeigte Texte zu abzugreifen. Auf diese Weise kann es beispielsweise den Inhalt von SMS-Nachrichten erfassen.

Außerdem umfasst die Software einen Keylogger, mit dem sie auch die eingegebenen Texte des Smartphone-Benutzers mitlesen kann. Darüber hinaus entdeckte Cybereason im Code von Eventbot Erkennungsroutinen für die Apps von rund 200 amerikanischen und europäischen Banken sowie Dienstleistern wie etwa Paypal.

Ende April vergangenen Jahres präsentierte der Security-Anbieter Cybereason auf seiner Website erstmals seine Erkenntnisse zu der neu entdeckten Banking- Malware Eventbot.
Ende April vergangenen Jahres präsentierte der Security-Anbieter Cybereason auf seiner Website erstmals seine Erkenntnisse zu der neu entdeckten Banking- Malware Eventbot.

Ausgerüstet mit diesen Funktionen, stehen den Kriminellen hinter dieser App nahezu alle Türen offen: Sie können auf dem Smartphone die Passworteingabe des Users in der App seiner Bank verfolgen und die im Zuge des mTAN-Verfahrens verschickte SMS abfangen und den Text lesen. Mit diesen Daten können sie sich auf der Website der Bank einloggen und beispielsweise Überweisungen auf eigene Konten vornehmen.

Eventbot ist derzeit noch in der Entwicklung, Cybereason hat in den vergangenen Monaten bereits mehrere Versionsnummern identifiziert. Das Programm hat jedoch das Potenzial, enormen Schaden anzurichten.

Vorsichtsmassnahmen beim Onlinebanking

Mit diesen Grundregeln für das Onlinebanking sind Ihre Überweisungen via Internet so sicher wie das Ausfüllen einer Überweisung in der Bankfiliale:

  • Geben Sie niemals Zugangsdaten zu Ihrem Konto oder TAN-Nummern am Telefon oder per Mail weiter.

  • Sehen Sie sich Mails, die angeblich von Ihrer Bank kommen, genau an. Verräterische Spuren sind Rechtschreib- und Grammatikfehler. Kontrollieren Sie zudem die Absenderadresse und wohin eventuell enthaltene Links führen. Klicken Sie die Links nicht an! Löschen Sie verdächtige Nachrichten.

  • Steuern Sie die Website Ihrer Bank immer über eine direkte Adresseingabe im Browser oder über einen Link an, den Sie selbst in Ihren Favoriten gespeichert haben. Benutzen Sie keine Suchmaschinen oder Links auf Webseiten oder in Mails.

  • Wählen Sie für das Log-in bei der Website Ihrer Bank ein möglichst langes Passwort, bestehend aus Klein- und Großbuchstaben sowie Ziffern.

  • Falls Ihre Bank mehrere Authentifizierungsverfahren anbietet, sollten Sie sich gegen das mTAN-Verfahren und für eine Anmeldung etwa per Chipkarte entscheiden. Die Kosten für den Chipkartenleser sollten Sie im Interesse einer höheren Sicherheit in Kauf nehmen.

  • Betreiben Sie Onlinebanking nur von Ihrem eigenen Computer aus, niemals an einem fremden Rechner. Tätigen Sie Überweisungen lieber am PC als mit dem Smartphone.

  • Brechen Sie Überweisungen und andere Transaktionen bei verdächtigen Aktivitäten sofort ab und verständigen Sie Ihre Bank.

Kunden im Visier von Kriminellen

Das Telefon-Spoofing wird auch Call-ID-Spoofing genannt. Die Telekom rät auf ihrer Website, immer misstrauisch zu werden, wenn Anrufer Personalien, Bankdaten, PIN/TAN oder Zugangsdaten erfragen.
Das Telefon-Spoofing wird auch Call-ID-Spoofing genannt. Die Telekom rät auf ihrer Website, immer misstrauisch zu werden, wenn Anrufer Personalien, Bankdaten, PIN/TAN oder Zugangsdaten erfragen.

In Deutschland haben mehrere Banken zuletzt eine neue Masche von Betrügern beschrieben, mit der die Sicherheit der Zwei- Faktor-Authentifizierung ausgehebelt werden konnte. Da die Technik hohe Hürden aufstellt, konzentrieren sich die Kriminellen zunehmend auf die Bankkunden. Sie versuchen dabei entweder, die benötigten Daten für eine Überweisung telefonisch abzufragen. Oder sie geben sich als Bankmitarbeiter aus und überreden den Kunden, eine angebliche Demo-Überweisung vorzunehmen, bei der es sich jedoch tatsächlich um eine echte Transaktion handelt.

Bekannte Technik für den Erstkontakt: Oft beginnt der Betrug mit einer Phishing-Mail. In den vergangenen Monaten trugen diese Mails häufig einen Hinweis auf die Corona-Pandemie in der Betreffzeile, doch auch Klassiker wie der Hinweis auf technische Probleme beim Konto sind nach wie vor verbreitet.

Fallen in der Suchmaschine: Die BW-Bank berichtet auf ihrer Website von einem besonders raffinierten Betrugsversuch. Offenbar über gekaufte Anzeigen war es einem Betrüger gelungen, Bankkunden über Suchmaschinen auf eine gefälschte Website der Bank zu lotsen. Im Fachjargon werden solche Seiten Phishing-Sites genannt. Dort wurde auf ein neues, für das Onlinebanking verpflichtendes CIBB-Verfahren hingewiesen, die Abkürzung stehe für Corona-Intelligence- BW-Banking (ein solches Verfahren existiert natürlich nicht). Auf dieser Seite sollten die Kunden ihre Zugangsdaten für das Onlinebanking eingeben. Sobald das geschehen war, bekamen sie einen Anruf von einem angeblichen Bankmitarbeiter. Er versprach ihnen einen Erlass der Kontoführungsgebühren und eine kostenlose Lieferung von FFP2-Masken. Im Laufe des Gesprächs bat er die Kunden, sich bei der Bank einzuloggen, und fragte die mTAN-Codes ab. Mit diesen Informationen war es ihm dann möglich, Überweisungen vom Kundenkonto vorzunehmen.

Social Engineering: Bei anderen Telefonaten mit Bankkunden arbeiteten die Betrüger mit angeblichen Bedrohungen für die Kontosicherheit und erklärten, dass es rund um das Konto verdächtige Aktivitäten gegeben habe. Sie erzeugen also damit Angst und nutzen das als klassischen Social Engineering-Trick . Weiter im Beispiel: Möglicherweise handele es sich um einen Hacker-Angriff, weshalb nun verschiedene Einstellungen geändert werden müssten. Dafür müsse der Kunde eine mTAN anfordern und am Telefon vorlesen. Mit diesen Daten überwiesen die Kriminellen Geld auf ein eigenes Konto, in den meisten Fällen bei einer ausländischen Bank. Anschließend versprach der vorgebliche Bankmitarbeiter dem Kunden noch, er werde in den nächsten Tagen Unterlagen mit den neuen Daten per Post bekommen, und verabschiedete sich. Natürlich kamen die angekündigten Papiere niemals an. Eine Variante ist, dass der Anruf von einem angeblichen Microsoft-Mitarbeiter kommt, der ebenfalls vor einem Hacker-Angriff warnt. Anschließend nutzt er die Panik des Angerufenen aus, um dessen Bankdaten zu erfragen.

Teilweise sind die Betrüger bei Angriffen dieser Art sehr gut vorbereitet. So verwenden sie am Telefon nicht nur den Namen eines tatsächlich existierenden Bankmitarbeiters, sondern sorgen auch dafür, dass im Telefondisplay des Angerufenen die Rufnummer der Bank erscheint. Ein solches Telefon-Spoofing lässt sich über VoIP-Anbieter (Voice over IP) oder IP-Telefone realisieren, bei denen es in der Regel möglich ist, eine beliebige Rufnummer zu übermitteln. Einige Firmen bieten sogar Spoofing-Dienste an, die wie eine Prepaid-Karte abgerechnet werden. Die Kunden bekommen eine PIN, die sie beim Anruf an den Anbieter übertragen, und können anschließend aus einer Liste die gewünschte Zielnummer und auf dem Display angezeigte Absendernummer auswählen.

Homebanking mit ALF Banco Easy 8

Alf Banco Easy 8 verwaltet bis zu drei Konten und ist multibankenfähig, die Konten können also bei verschiedenen Finanzinstituten liegen. Als Sicherheitsverfahren unterstützt das Programm HBCI/FinTS mit PIN und TAN sowie mit einer Chipkarte sowie alle aktuellen TAN-Verfahren, also SMS, mTAN und PushTAN. Sie können mit Alf Banco 8 Überweisungen tätigen und Daueraufträge einrichten, bekommen die Umsätze auf allen Ihren Konten in einer Liste angezeigt und erhalten sowohl tabellarisch wie auch in einer Grafik einen ständig aktuellen Überblick zum Stand Ihrer Finanzen. Geht man in die Kontextmenüs der einzelnen Fenster der Software, gibt es Interessantes zu entdecken: So kann das Programm beispielsweise die Umsätze nach offenen Aufträgen, ungelesenen Umsätzen und unbekannten Lastschriften filtern.

Alf Banco bietet sowohl in tabellarischer wie auch in grafischer Form eine gute Übersicht über Ihre Konten und unterstützt Sie beim Ausfüllen von Überweisungsformularen und Anlegen von Daueraufträgen.
Alf Banco bietet sowohl in tabellarischer wie auch in grafischer Form eine gute Übersicht über Ihre Konten und unterstützt Sie beim Ausfüllen von Überweisungsformularen und Anlegen von Daueraufträgen.

Mehrere kleine Helferlein vereinfachen das Ausfüllen von Überweisungsformularen. So bietet Alf Banco etwa eine Liste der bisherigen Empfänger an, über die Sie die Daten der Bankverbindung einfach auswählen können. Für die Berechnung der Überweisungssumme steht direkt im Formular ein Taschenrechner mit Skonto- und Mehrwertsteuer-Funktionen bereit. In der Kontenliste werden stets aktuell die jeweiligen Saldi angezeigt. Über die Kontextmenüs ist es unter anderem möglich, IBAN und BIC der Konten direkt in die Zwischenablage zu übernehmen. Außerdem können Sie Limits definieren, ab denen Sie von Alf Banco auf eine Über- beziehungsweise Unterschreitung eines definierbaren Kontostands aufmerksam gemacht werden.

Für die aktuelle Version 8 hat der deutsche Hersteller Alf nicht nur das Layout überarbeitet und im Look & Feel an Windows 10 angepasst. Zusätzlich haben die Entwickler beispielsweise auch die Tabellenfunktion verbessert, die eine Suche über alle Tabellen hinweg unterstützt. Weiterhin ist es nun möglich, Tabellenspalten etwa bei den Umsätzen gezielt ein- und auszublenden. Schließlich wurde auch die Druckfunktion optimiert, die sich nun stärker am Bildschirmlayout orientiert.

Recherche per Phishing-Mail

Die Betrüger stehen jedoch vor dem Problem, wie sie die Kunden einer Bank identifizieren und auf eine gefälschte Website lotsen können. In letzter Zeit gab es daher mehrere Fälle, in denen sie Massenmails versendeten. So berichteten die Sparkassen im März von einer Mail mit der Betreffzeile "Ihre PushTAN-Registrierung läuft bald ab". Die Nachricht zeichnete sich durch eine korrekte Rechtschreibung und Grammatik aus und forderte die Empfänger auf, ihren PushTAN-Zugang bei der Sparkasse zu erneuern. Um die Bankkunden direkt zur richtigen Website zu führen, war in der Mail ein QR-Code enthalten. Wenn der Empfänger die Grafik mit seinem Smartphone scannte, landete er auf einer gefälschten Website, die der offiziellen Site der Sparkasse stark ähnelte. Der QR-Code verhinderte, dass die Empfänger der Mail sahen, mit welcher Website sie sich verbinden würden. Auf der angeblichen Sparkassen-Seite wurden dann die Log-in-Daten abgefragt. Auf diese Weise kamen die Betrüger an die Daten der Bankkunden, bei denen sie anschließend, wie oben beschrieben, per Telefon die TAN abfragen konnten.

(PC-Welt)