Risiken im Online-Banking

Aufrufe: 57

Auch die Kriminellen haben digital “aufgerüstet”, nicht nur die Banken. Einfallsreich entwickeln sie neue Risiken im Online-Banking, um an PIN und TAN zu kommen. Computer und Smartphone ersetzen die Pistole.

Risiken im Online-Banking

Phishing als Basis für Risiken im Online-Banking

Ein “Klassiker” ist das “Phishing”, mit dem PIN/TAN abgefangen werden sollen. Phishing ist ein Kunstwort aus Passwort und Fishing. Eine E-Mail fordert Internet-Nutzer auf, z.B. “zur Überprüfung” Namen und Passwörter auf einer Webseite von Banken, Portalen, Shops etc. einzugeben. Mit den gestohlenen (kopierten) Zugangsdaten werden z.B. Konten geplündert.

Die E-Mails werden massenhaft von Kriminellen an Bankkunden versendet. Auch die Webseiten gehören natürlich den Kriminellen. E-Mails und Webseiten wirken täuschend echt. Es ist oft schwer, sie als Fälschungen zu erkennen.

Phishing ist nicht auf das Banking begrenzt und funktioniert besonders gut, wenn die Empfänger sich nicht auskennen. Die Kriminellen gehen – erfolgreich – davon aus, dass es immer noch genügend Nutzer gibt, die darauf hereinfallen.

Kriminelle argumentieren mit Risiken im Online-Banking

Die Kriminellen nutzten die Unkenntnis der Betrogenen, weil die Regeln der PSD2 noch zu wenig bekannt war.

Eine aktuelle Variante des Phishing argumentiert mit der Änderung im Homebanking durch die PSD2. Das sei der Anlass, Kundendaten zu bestätigen.

Es wurden Fälle bekannt, in denen Bankkunden vorgegaukelt wurde, ihre Kreditkarte wird durch die neue Richtlinie ungültig. Den Kunden, die das glaubten, wurde eine neue teure Prepaid-Kreditkarte verkauft.

Enkeltrick und Risiken im Online-Banking

Eine besonders dreiste Methode nutzten angebliche Mitarbeiter von Microsoft. Sie riefen Internet-Nutzer an und behaupteten, gerade einen Hackerangriff auf deren Computers zu beobachten. Der Anrufer könne diesen Angriff abwehren. Dazu sollten die Nutzer die Fernwartung auf ihrem PC aktivieren und sich für das Banking anmelden. Im nächsten Schritt sollten die Nutzer eine TAN mit ihrem TAN-Generator erzeugen und dem Anrufer mitteilen. Und noch eine TAN, und noch eine, bis der angebliche Angriff beendet war.

Was in dieser kurzen Beschreibung unvorstellbar wirkt, ist nur psychologisch zu erklären. Der Anrufer nutzt eine Variante des “Enkeltricks”. Durch lange und wiederholte Telefonate baute der Anrufer eine Spannung auf, der sich die Opfer nur schwer entziehen können.

Die Bank lehnt evtl. Ansprüche der Nutzer ab, sie haben ja gegen die AGB der Bank verstoßen und ihre TAN mitgeteilt.

Der betrügerische Anrufer umging damit gleich zwei “technische” Sicherheitsmaßnahmen: die “starke Authentifizierung” der neuen Richtlinie und das vermeintlich sicherste TAN-Verfahren.

Trojaner erzeugen Risiken im Online-Banking

Auch die Sicherheit durch die Nutzung von zwei Geräten wurde immer wieder ausgehebelt, z.B. obwohl Banking mit dem PC genutzt und die smsTAN mit dem Smartphone empfangen wird.

Mit einem Trojaner, der z.B. zusammen mit einer App auf dem Smartphone installiert wurde, können alle SMS abgefangen werden. Wenn dabei auch eine smsTAN ist, kann der Kriminelle sie missbrauchen.

Dieses Risiko wird mit der Richtlinie PSD2 reduziert, weil die TAN nur zusammen mit der nun sichereren PIN wirksam wird.

Drittdienste erzeugen Risiken im Online-Banking

Während des Online-Shopping kann der Bankkunde auf sein Konto zugreifen und Transaktionen auslösen, ohne ins Online-Banking umzuschalten. Das ist möglich, indem “Drittdienste” vom Shop freigeschaltet werden:

  • Ein “Kontoinformationsdienst” kann die Übersicht über die finanzielle Situation des Kunden liefern.
  • Mit dem “Zahlungsauslösedienst” können Kunden im Shopping-Vorgang die Überweisung an den Shop auslösen.

Die Drittdienste erhalten damit Zugriff auf Konten. Diese Möglichkeiten gab es auch bisher schon. Geändert hat sich, dass der Kunde ausdrücklich einwilligen muss und dass die Drittdienste von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) in einer Liste geführt werden.

Die Risiken im Online-Banking sind, dass die “Zahlungsdienste” zu viel Einblick erhalten, z.B. Gehalt, Reisen, Weihnachtsgeld, Unterhaltszahlungen, Versicherungen etc. Die Dienste sehen alle Umsätze ab dem Zeitpunkt, in dem man die Erlaubnis erteilt. Sie können sie auf das Konto zugreifen und bekommen Echtzeitdaten übermittelt. Die Informationen sind genauer als die von Schufa und Auskunfteien.

Einschätzung der Risiken im Online-Banking

Das Portal Banktip.de hat einen Sicherheitsexperten vom Landeskriminalamt (LKA) Berlin zu den Risiken im Online-Banking interviewt:

“Das Online-Banking ist nach hiesiger Auffassung durchaus sicher, setzt aber auch ein gewisses Maß an Eigenverantwortung voraus. Das bedeutet, dass die von den Banken angebotenen Sicherheitssysteme wie PIN und TAN sehr sicher sind. Die Schwachstelle ist hier das Verhalten des Users“.

NewsletterKontaktTeilenPayPal

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.