E-Banking Warnung
02.12.2016, 10:08 Uhr
Angreifer zielen auf mobile Authentifizierungsmethoden
Melani warnt vor einer neuen Betrugsmasche beim E-Banking. Offenbar gelingt es Hackern unterdessen, mobile Authentifizierungsmethoden mit QR-Codes und Mosaik mit Social-Engineering-Methoden auszuhebeln.
Mosaik (links) und QR-Code (rechts) wie er zum Login und Visieren einer Zahlung verwendet wird © Melani
Anwender von E-Banking sollten aufpassen. Wie die Melde- und Analysestelle Informationssicherung des Bundes (Melani) berichtet, erhält sie in den letzten Wochen häufiger Meldung von Fällen, bei denen es Hackern gelang, mittels Social Engineering die Opfer dazu zu animieren, betrügerische Zahlungen im E-Banking zu visieren.
Dabei gelingt es Hackern auch verbesserte Verfahren zu den per SMS verschickten mTAN-Codes auszuhebeln. Bei diesen mTAN-Alternativen wird dem Benutzer beim Login oder zum Visieren einer Zahlung ein QR-Code oder Mosaik im E-Banking-Portal angezeigt. Der Anwender kann diesen mit einer App auf seinem Smartphone oder einem weiteren Gerät einscannen.
Je nach Produkt wird das Login oder die Visierung der Zahlung direkt in der App bestätigt oder diese generiert einen Code, welcher der Kunde dann im E-Banking Portal eingeben muss. Produkte, mit einer solchen Authentifizierungsmethode, welche von Schweizer Banken verwendet werden, sind unter anderem PhotoTAN, CrontoSign oder SecureSign.
Prinzipiell gilt diese Authentifizierungsmethode als sicher. Kunden lassen sich jedoch in vielen Fällen durch Social Engineering täuschen und visieren Zahlungen auch dann, wenn sie den Vorgang als betrügerisch erkennen könnten, beispielsweise wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt wird oder wenn bereits beim Login-Vorgang Zahlungsdaten eingeblendet werden.
Melani hat laut eigenen Angaben Kenntnis von aktuellen E-Banking-Betrugsversuchen auf Authentifizierungsmethoden wie PhotoTAN, CrontoSign oder SecureSign. In der Schweiz ist derzeit zum Beispiel die seit Langem bekannte Schadsoftware Retefe in der Lage, mittels Social Engineering E-Banking Kunden dazu zu animieren, betrügerische Zahlungen via PhotoTAN, CrontoSign oder SecureSign zu visieren.
Dabei gelingt es Hackern auch verbesserte Verfahren zu den per SMS verschickten mTAN-Codes auszuhebeln. Bei diesen mTAN-Alternativen wird dem Benutzer beim Login oder zum Visieren einer Zahlung ein QR-Code oder Mosaik im E-Banking-Portal angezeigt. Der Anwender kann diesen mit einer App auf seinem Smartphone oder einem weiteren Gerät einscannen.
Je nach Produkt wird das Login oder die Visierung der Zahlung direkt in der App bestätigt oder diese generiert einen Code, welcher der Kunde dann im E-Banking Portal eingeben muss. Produkte, mit einer solchen Authentifizierungsmethode, welche von Schweizer Banken verwendet werden, sind unter anderem PhotoTAN, CrontoSign oder SecureSign.
Prinzipiell gilt diese Authentifizierungsmethode als sicher. Kunden lassen sich jedoch in vielen Fällen durch Social Engineering täuschen und visieren Zahlungen auch dann, wenn sie den Vorgang als betrügerisch erkennen könnten, beispielsweise wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt wird oder wenn bereits beim Login-Vorgang Zahlungsdaten eingeblendet werden.
Melani hat laut eigenen Angaben Kenntnis von aktuellen E-Banking-Betrugsversuchen auf Authentifizierungsmethoden wie PhotoTAN, CrontoSign oder SecureSign. In der Schweiz ist derzeit zum Beispiel die seit Langem bekannte Schadsoftware Retefe in der Lage, mittels Social Engineering E-Banking Kunden dazu zu animieren, betrügerische Zahlungen via PhotoTAN, CrontoSign oder SecureSign zu visieren.
Nächste Seite: Menanis Empfehlungen
Im Umgang mit Authentifizierungsmethoden via Smartphone wie beispielsweise mTAN, PhotoTAN, CrontoSign oder SecureSign empfiehlt Melani folgendes:
Solche Unregelmässigkeiten sind beispielsweise:
- Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
- Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
- Installieren Sie Apps nur aus dem offiziellen App-Store (Google Play Store bzw. Apple iTunes). Installieren Sie niemals Apps aus unbekannten Quellen, auch wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht in dem Sinne, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. Rooten, Jailbreaken).
- Sollten Sie unaufgefordert eine SMS Bestätigungs-Code (mTAN) erhalten, kontaktieren Sie unverzüglich Ihre Bank.
- Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank.
Solche Unregelmässigkeiten sind beispielsweise:
- Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel «In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]»
- Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel: «Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.»
- Sicherheitsmeldung nach dem Login ins E-Banking (z.B. «Sicherheitsmassnahme»), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
- Aufforderung zur Installation einer mobile App nach dem Login ins E-Banking
- Nach dem Login ins E-Banking erfolgt beispielsweise eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
- Timer nach dem Login ins E-Banking. Zum Beispiel: «Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)»