Dass Geldinstitute die Sicherheit beim Onlinebanking erhöhen, nutzen Betrüger derzeit für fiese Phishing-Attacken aus. Der Hintergrund: Immer mehr Kreditinstitute verabschieden sich aus Sicherheitsgründen vom iTAN- Verfahren. Das war lange eine viel genutzte Methode zur Legitimierung von Online-Überweisungen. Dabei werden Kunden während der Transaktion von ihrer Bank aufgefordert, eine bestimmte Ziffernfolge aus einer durchnummerierten TAN-Liste einzugeben.
Hackern ist es gelungen, diese Sicherheitsmethode auszutricksen. Denn beim iTAN-Verfahren reicht es Kriminellen, wenn sie auf dem Gerät, mit dem eine Überweisung ausgeführt wird, ein Schadprogramm installieren. So können sie unbemerkt Überweisungen manipulieren und Konten leeren.
Verständlich daher, dass immer mehr Banken ihre Online-Überweisungen auf sicherere Verfahren wie etwa das Chip-TAN-Verfahren umstellen. Das ist erfreulich.
Aber genau hier setzen Betrüger nun aktuell an. Millionenfach fordern sie per Phishing-E-Mail als angebliche Bank auf, dass Kunden im Rahmen der Umstellung die alte iTAN-Liste selbst entwerten müssten. In den Phishing-E-Mails ist ein Link enthalten, der zu einer betrügerischen Seite lotst, die die Internetseite des echten Anbieters nachahmt und persönliche Daten abgreifen soll. Darüber hinaus können solche Internetseiten mit einem Schadprogramm versehen sein, dass den Computer infizieren soll.
Dies kann insbesondere funktionieren, wenn das Antiviren-Programm, der Internetbrowser und/oder das Betriebssystem nicht auf dem aktuellen Stand sind und das Schadprogramm so eine Lücke in den Sicherheitssystemen findet. Deshalb der Rat der Verbraucherzentrale NRW: Wer unerwartet eine solche E-Mail erhält, die angeblich von der eigenen Bank oder Sparkasse stammt, sollte drei grundlegende Regeln beachten:
• Nicht auf Links klicken
• Keine Datei-Anhänge öffnen
• Nicht auf solche E-Mails antworten.
Ob eine E-Mail echt ist, kann durch eine Nachfrage in der Filiale der Bank oder alternativ auf der echten Homepage geklärt werden.
Wer beim Kampf gegen das Daten-Phishing mithelfen will, kann betrügerische E-Mails dem Phishing-Radar der Verbraucherzentrale NRW an die Adresse phishing@verbraucherzentrale.nrw weiterleiten. Seit dem Start des Phishing-Radars 2010 wurden dort über 330.000 Mails gemeldet. Mehr als 13.000 betrügerische Internetseiten konnten gesperrt werden.
Pressemeldung Verbraucherzentrale NRW