In den vergangenen Wochen wurden Melani mehrere Fälle gemeldet, bei welchen es Hackern gelang, mittels Social Engineering Opfer dazu zu animieren, betrügerische Zahlungen im E-Banking zu visieren.
Seit Längerem setzt eine Mehrzahl der Banken sowohl für das Login ins E-Banking als auch für das Visieren (autorisieren) von Zahlungen via E-Banking auf mobile Authentifizierungsmethoden. Eine solche Technologie ist beispielsweise das MobileTAN Verfahren (mTAN), bei welcher die Bank einen Bestätigungs-Code via SMS an den Kunden sendet. Kriminelle versuchen schon seit einigen Jahren mittels Smartphone-Malware die SMS Bestätigungs-Codes (mTAN) auf dem Smartphone des Kunden abzufangen und danach für E-Banking Betrug zu verwenden.
Die Industrie hat deshalb alternative Authentifizierungsmethoden zu mTAN entwickelt, welche bereits von diversen Banken eingesetzt werden. Dabei wird dem Kunden beim Login oder zum Visieren einer Zahlung ein QR-Code oder Mosaik im E-Banking-Portal angezeigt. Der Kunde kann diesen mit einer App auf seinem Smartphone oder einem unabhängigen (autonomen) Gerät einscannen.
Je nach Produkt wird das Login bzw. die Visierung der Zahlung direkt in der App bestätigt oder diese generiert einen Code, welcher der Kunde dann im E-Banking Portal eingeben muss. Produkte, mit einer solchen Authentifizierungsmethode, welche von Schweizer Banken verwendet werden, sind unter anderem:
- PhotoTAN
- Crontosign
- Securesign
Prinzipiell gilt diese Authentifizierungsmethode als sicher. Kunden lassen sich jedoch in vielen Fällen durch Social Engineering täuschen und visieren Zahlungen auch dann, wenn sie den Vorgang als betrügerisch erkennen könnten, beispielsweise wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt wird oder wenn bereits beim Login-Vorgang Zahlungsdaten eingeblendet werden.
Melani hat Kenntnis von aktuellen E-Banking Betrugsversuchen auf Authentifizierungsmethoden wie PhotoTAN, Crontosign oder Securesign. In der Schweiz ist derzeit zum Beispiel die seit Langem bekannte Schadsoftware Retefe in der Lage, mittels Social Engineering E-Banking Kunden dazu zu animieren, betrügerische Zahlungen via PhotoTAN, Crontosign oder Securesign zu visieren.
Im Umgang mit Authentifizierungsmethoden via Smartphone wie beispielsweise mTAN, PhotoTAN, Crontosign oder Securesign empfiehlt Melani:
- Sicherstellen, dass beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigt wird und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
- Falls man eine Zahlung anvisiert, immer den ganzen Text auf dem mobilen Gerät lesen und Betrag und Empfänger (Name, IBAN) der Zahlung überprüfen, bevor man diese freigibt.
- Apps nur aus dem offiziellen App-Store (Google Play Store bzw. Apple iTunes) installieren. Niemals Apps aus unbekannten Quellen installieren, auch wenn man dazu aufgefordert wird. Gerät nicht in dem Sinne modizizieren, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. Rooten, Jailbreaken).
- Sollte man unaufgefordert einen SMS Bestätigungs-Code (mTAN) erhalten, unverzüglich die Bank kontaktieren.
- Sollten man beim Login in das E-Banking Unregelmässigkeiten feststellen, unverzüglich die Bank kontaktieren.
Solche Unregelmässigkeiten können beispielsweise sein:
- Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel "In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]"
- Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel "Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal."
- Sicherheitsmeldung nach dem Login ins E-Banking (z.B. "Sicherheitsmassnahme"), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
- Aufforderung zur Installation einer mobile App nach dem Login ins E-Banking
- Nach dem Login ins E-Banking erfolgt beispielsweise eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
- Timer nach dem Login ins E-Banking. Zum Beispiel: "Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)"
