Die Melde- und Analysestelle Informationssicherung (MELANI) warnt vor Hackern, die mittels Social Engineering Menschen dazu bringen, im E-Banking betrügerische Zahlungen auszulösen. Der Stelle wurden in den vergangenen Woche mehrere Fälle gemeldet.
Möglich ist die Betrugsmasche, weil Banken seit längerem schon für das Login ins E-Banking als auch für das Freigeben von Zahlungen auf mobile Authentifizierungsmethoden setzen, wie die Meldestelle am Dienstag mitteilte.
Eine Methode ist gemäss MELANI das mobileTAN Verfahren (mTAN). Dabei sendet die Bank einen Bestätigungs-Code via SMS. «Kriminelle versuchen schon seit einigen Jahren, mittels Smartphone-Malware die SMS Bestätigungs-Codes abzufangen», warnen die Experten.
Alternativen im Visier von Hackern
Als Alternative wurden Authentifizierungsmethoden entwickelt, die bei Login oder beim Visieren von Zahlungen auf einem so genannten QR-Code oder Mosaik basieren und eigentlich als sicher gelten: Kunden können diesen mit einer App auf dem Handy oder mit einem anderen Gerät einscannen.
Je nach Produkt wird das Login oder die Autorisierung der Zahlung direkt in der App bestätigt. Oder aber die App generiert einen Code, der im E-Banking Portal eingeben werden muss. Als Beispiele nennt MELANI PhotoTAN, CrontoSign und SecureSign.
Kunden lassen sich täuschen
Doch auch wenn diese Methode als sicher gilt, lassen sich Kunden in vielen Fällen durch Social Engineering täuschen: Sie bestätigen Zahlungen auch dann, «wenn sie den Vorgang als betrügerisch erkennen könnten», schreibt MELANI.
So auch, wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt werde. Oder wenn bereits beim Login Zahlungsdaten eingeblendet würden.
Genau lesen
Deshalb empfehlen die Experten von MELANI, dass sich Kunden, die sich via Handy oder einem anderen mobilen Gerät ins E-Banking einloggen wollen, sicherstellen, dass sie sich auch wirklich nur einloggen und nicht stattdessen bereits eine Zahlung freigeben.
Bei Visieren einer Zahlung sollte immer der ganze Text gelesen, der Betrag kontrolliert und der Empfänger inklusive Kontonummer überprüft werden. Apps sollten zudem nur aus den offiziellen App-Stores bezogen werden.
Wer unaufgefordert einen SMS-Bestätigungscode erhält oder beim Login ins E-Banking Unregelmässigkeiten beobachtet, soll sich direkt bei der Bank melden. Möglich sind hier die Forderungen nach zusätzlicher Identifikation beim Login oder Fehlermeldungen danach. Auch eine Handy- oder Festnetznummer sollte während dieses Prozesses nie angegeben werden. (sda)
