Inhalt.
Hauptnavigation.
Suche.
Beim Frühstück die neuen Schuhe bezahlen, beim Fernsehen das Konto ausgleichen und vorm Schlafengehen den Dauerauftrag für die Miete hochsetzen. So einfach wie heute war es noch nie, unser Geld fließen zu lassen. Das Beste daran: Onlinebanking ist sicher vor Betrug – grundsätzlich jedenfalls.
Bild vergrößern bzw. verkleinern
Bildunterschrift:
Jede Überweisung sollte genau überprüft werden.
]
Die Banken haben in letzter Zeit mit neuen TAN-Verfahren auf Angriffe der digitalen Langfinger reagiert: Seitdem bestätigen immer mehr Kunden ihre Transaktionen mit TAN-Rechnern oder Handys. So können sie ihre Überweisung vor dem Absenden immer nochmal überprüfen - ein großer Sicherheitsvorsprung gegenüber den analogen TAN-Listen, bei denen die Transaktionsdaten im Onlinebanking unbemerkt von Betrügern verändert werden können. Auch deshalb gilt Deutschland in technischer Hinsicht als eines der sichersten Länder für Onlinebanking.
Dummerweise lassen sich die Onlinediebe davon nicht im Geringsten beeindrucken. Sie investieren erstaunlichen Aufwand, um ihre Angriffe zu verbessern. Die alte Phishing-Mail, in gebrochenem Deutsch verfasst und mit erbärmlichen Designfälschungen, gehört im Waffenarsenal der Betrüger heute zu den hemmungslos veralteten Modellen.
Jetzt kommen die „Phishing-Trojaner“. Diese High-Tech-Schädlinge hinterlegen die Täter meist auf Websites. Ein Besuch einer solchen Seite reicht aus, um sich den Trojaner unwissentlich herunterzuladen – oft durch Sicherheitslücken im Browser. Solche „Drive-by-Infections“, also Trojaner-Infektionen beim kurzen Besuch infizierter Webseiten, nehmen nach Aussagen von Fachleuten stark zu.
Bild vergrößern bzw. verkleinern
Bildunterschrift:
Schon bei einem kurzen Besuch einer infizierten Website kann man sich einen Trojaner einfangen.
]
Hat sich ein Nutzer einen solchen Phishing-Trojaner eingefangen, sendet der Schädling Daten an den Betrüger. Dieser kann nun alle Kontenbewegungen des Bankkunden verfolgen. Er weiß also, wann es sich lohnt, zuzuschlagen. Im passenden Moment simuliert er ein Fenster, das sich beim Login zum Onlinebanking öffnet und den Kunden zur Eingabe einer TAN auffordert. Diese soll angeblich dazu dienen, das Transaktionsvolumen künftig zu begrenzen, ein neues Handy für den TAN-Empfang freizuschalten oder eine Sicherheitsprüfung zu bestätigen. Was diesen Fenstern gemein ist: Sie sehen täuschend echt aus. Stil und Wortlaut lassen nicht darauf schließen, dass hier Betrüger am Werk sind.
Gibt der Bankkunde die geforderte TAN in das falsche Fenster ein, füllt der Trojaner automatisch im Hintergrund, also unsichtbar für den Nutzer, eine Überweisung aus und bestätigt diese mit der gelieferten TAN. In anderen Fällen schaltet der Trojaner mit der Nummer ein zweites Handy für den Empfang von TANs beim Mobile- beziehungsweise SMS-TAN-Verfahren frei. Anschließend kann der Betrüger eigenständig Transaktionen vom Konto des Opfers vornehmen, den Zugang zum Onlinebanking hat er durch den Trojaner ja bereits.
Die meist im Ausland sitzenden Betrüger arbeiten zu diesem Zweck laut BKA teils mit Germanistikstudenten zusammen, die gegen Geld authentische Texte für die perfekte Fälschung liefern.
Das von den Betrügern abgebuchte Geld landet nach Erfahrungen der Ermittler nie direkt auf deren Konten. Stattdessen werden die Konten von Finanzagenten genutzt, die im Gegenzug mit „Gebühren“ am Geschäft beteiligt werden. Während diese Finanzmittler in aller Regel von der Polizei überführt werden können, bleiben die Urheber meist unbehelligt. Sie schützen sich durch ein komplexes Netzwerk von Helfern, Helfershelfern und kaum nachvollziehbarer Geldwäsche.
Kaum ein Onlinebanking-Betrüger programmiert seinen Trojaner heute noch selbst. Das überlässt er mittlerweile Profis, die ihre Werkzeuge stets auf neue Sicherheitslücken anpassen und deren Funktionen verbessern. Solche Trojaner-Bausätze werden teilweise für wenige Hundert Dollar auf Onlineportalen angeboten. Da nicht nur die Programmierprofis, sondern auch die ausführenden Täter meist im Ausland sitzen, haben es die Ermittler sehr schwer, die Betrugsquelle zu erreichen.
Bild vergrößern bzw. verkleinern
Bildunterschrift:
Allein im vergangenen Jahr verursachten Internetkriminelle einen Schaden in Höhe von 26 Millionen Euro.
]
Die Phishing-Trojaner zeigen: Auch Nutzer neuer TAN-Verfahren sind nicht ganz sicher vor Datenfallen. Das jüngste Beispiel ist der Trojaner „Tatanga“. Richtete er sich früher vorwiegend gegen die Nutzer von Handy-TAN-Verfahren, hat er jetzt auch erfolgreich das als sicherer geltende Chip-TAN-Verfahren angegriffen. Dabei fingiert er einen Test des Chip-TAN-Generators. Für diesen soll der Kunde eine TAN erzeugen, die allerdings im Hintergrund für eine betrügerische Überweisung genutzt wird. Besonders perfide: Im Anschluss an die Tat verändert der Trojaner das Onlinekonto so, als ob es nie eine Überweisung gegeben hätte. So bemerkt der Nutzer den Online-Diebstahl erst spät.
Da die Täter ihre Angriffe mit so großem Ehrgeiz fortsetzen, ist im aktuellen Cybercrime-Bericht des Bundeskriminalamts (BKA) wenig Beruhigendes zu lesen: In mehr als 6.400 Fällen wurden im vergangenen Jahr Kundendaten für Onlinebanking von Betrügern abgefischt, 20 Prozent mehr als noch ein Jahr zuvor. Der Schaden: knapp 26 Millionen Euro allein in Deutschland. Und die Dunkelziffer ist gewaltig, denn beim BKA landen nach hausinternen Schätzungen nur 35 bis 40 Prozent der Fälle.
Und das nächste Sicherheitsleck klafft bereits. Smartphones können viel leichter als alte Handymodelle durch Schadprogramme infiziert werden. Onlinebanking sollte daher mit den neuen Geräten tabu sein.
Dieser Text informiert über den Fernsehbeitrag vom 13.10.2012. Eventuelle spätere Veränderungen des Sachverhaltes sind nicht berücksichtigt.
