Digital

Bankraub im Digitalzeitalter lohnt sich.

Mit diesen fiesen Tricks kommen Hacker an dein Geld – und so schützt du dich

Für kriminelle Hacker sind Bankkunden ein beliebtes Ziel. Wir erklären, wie die Angreifer vorgehen – und wie du dich schützen kannst.

28.02.17, 10:15 28.02.17, 11:11

Andreas Albert / spiegel online

Ein Artikel von

Bankraub kann sich auch im Jahr 2017 lohnen. Mit erfolgreichen Attacken auf die Nutzer von Onlinebanking sei im Netz das grösste Geld zu machen, heisst es beim IT-Sicherheitsunternehmen Kaspersky. Im dritten Quartal des vergangenen Jahres hätte mehr als die Hälfte aller registrierten Phishing-Attacken Kunden von Finanzunternehmen wie Banken und Kreditkartendienstleister betroffen.

Die Kriminellen setzen verschiedene Werkzeuge ein, um ans Geld ihrer Opfer zu kommen. Beim erwähnten Phishing werden Nutzer durch einen Link in einer E-Mail oder einer Kurznachricht auf eine gefälschte Webseite geführt. Auf den teils täuschend echt aussehenden Seiten sollen sie Nutzername und Passwort fürs Onlinebanking eingeben. Damit kommen die Kriminellen an Zugangsdaten der Kunden, die sie für Betrugsversuche verwenden können.

Ein typisches Beispiel für Phishing-Angriffe

Neben Phishing-Nachrichten sind Trojaner eine beliebte Angriffsmethode. Sie werden ebenfalls per E-Mail und auf ähnlichen Wegen verschickt, können aber auch auf infizierten Internetseiten lauern. Einmal aktiv, erlauben Banking-Trojaner Angreifern meistens einen Fernzugriff auf betroffene Computer. Dort können Schadprogramme beispielsweise Finanzdienst-Zugangsdaten mitlesen.

Trojaner für Mobilgeräte können im Hintergrund laufen und Bank- und Kreditkartendaten mitschneiden, beispielsweise beim Kauf von Apps oder auch bei der Nutzung von Onlinebanking-Apps.

So schützt man sich vor E-Banking-Angriffen

Verbraucher können sich vor Betrugsversuchen im Stil der E-Mail-Maschen am besten schützen, wenn sie verdächtige oder unaufgefordert angekommene Nachrichten nicht einfach öffnen. Erst recht sollte man in Nachrichten nicht auf Links klicken, die angeblich von einer Bank kommen. Besser ist es, sich die Seite der Bank als Lesezeichen abzulegen und sich direkt dort händisch einzuloggen - so vermeidet man auch, auf ähnlich aussehende, aber woandershin führende Links reinzufallen. Viele Banken verzichten ausserdem bewusst darauf, Nachrichten mit Log-in-Links zu verschicken.

Gegen Trojaner, die im Hintergrund das Surfverhalten überwachen, hilft die Vorsichtsmassnahme des Direktaufrufs allerdings nicht. Allgemein ist es daher sinnvoller, alle Programme immer auf dem neuesten Stand zu halten und aktuelle Sicherheitssoftware zu nutzen.

Ist man einmal auf einer manipulierten oder Fake-Seite gelandet, kann es unter Umständen schon zu spät sein - bei raffinierten Angriffen reicht manchmal schon der Seitenaufruf, damit ein Gerät infiziert wird. In anderen Fällen wird es erst gefährlich, wenn man etwa seine Daten irgendwo eintippt. Im Zweifel gilt: Hat man etwa ein Formular ausgefüllt und vielleicht nur nicht abgesendet, sollte man trotzdem immer davon ausgehen, dass die Daten bei Kriminellen gelandet sind.

Angriff auf mobile Geräte

Bei Smartphones und Tablets gibt es weitere Angriffswege. Einige Kriminelle stellen online gefälschte Apps zur Verfügung, die vermeintlich vom Anbieter stammen. Wer diese Apps installiert, spielt Schadsoftware auf, über die die Angreifer ebenfalls an wichtige persönliche Daten gelangen können. Hier hilft es nur, darauf zu achten, die richtige App-Version zu erwischen. Dazu sollten Apps nicht über Drittseiten, sondern über die offiziellen App-Stores heruntergeladen werden.

Andere Schadsoftware übernimmt komplett die Kontrolle über das Smartphone. So konnten Forscher auch das lange als sicher geltende PhotoTAN-Verfahren knacken. Der Angriff funktionierte bei einer bestimmten PhotoTAN-Variante, bei der die Banking- und die PhotoTAN-App auf demselben Gerät installiert waren.

Mehr zur Sicherheit bei TAN-Verfahren findest du hier:

Was sind TAN-Verfahren?
Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Onlinebanking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, in dem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.
Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Onlinebanking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.

Welches TAN-Verfahren ist am beliebtesten?
Besonders populär ist hierzulande das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. 
Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Deutschen Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem liessen sich SMS mit einem gewissen Aufwand abfangen.

Welche Verfahren gelten als sicher?
Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Sicherheitsexperte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwendig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.
Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.
Spiegel Online sagte er schon 2015: «Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist.» Das heisst: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.

In einem Gastbeitrag für Spiegel Online warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Onlinebankings per Smartphone. TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld.

Was passiert, wenn die TAN-Absicherung versagt?
In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. «Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit», sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Setzen sich bald biometrische TAN-Verfahren durch?
In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die grösste: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schliesslich nicht einfach durch einen neuen ersetzen.

Um sich möglichst gut gegen Angriffe aufs Smartphone zu schützen, sollte man stets die neuesten Versionen des Betriebssystems und der installierten Apps aufspielen. Immer wieder werden mit den Updates kurzfristig auch kritische Sicherheitslücken geschlossen.

Das Einmaleins des Kreditkartenbetrugs

Viele Kriminelle haben sich über die Jahre auf Kreditkartenbetrug spezialisiert. Karteninhaber können auf verschiedene Arten Opfer werden. Beispielsweise wenn ihre Daten durch sogenanntes Skimming erbeutet werden. Dabei wird der Magnetstreifen der Karte durch manipulierte Geräte ausgelesen. Die zugehörige PIN wird oft durch versteckt installierte Kameras abgelesen.

Eine andere Methode ist das Vertauschen der Karte, etwa bei Zahlungen in Geschäften oder in Restaurants. Auf diesem Weg gelangt der Angreifer direkt an die Karte, die er dann etwa für Bestellungen oder Offline-Einkäufe nutzen kann.

Auch über gefälschte Webshops kommen Kriminelle an Kreditkartendaten. Nutzer sollten wissen, dass seriöse Anbieter bei Onlinebestellungen nie nach der PIN fragen. Ausserdem ist es wichtig, darauf zu achten, dass Transaktionen verschlüsselt werden. Das lässt sich am https:// und einem kleinen Schloss links in der Browserzeile erkennen. Noch vertrauenswürdiger ist eine Bankseite, wenn neben dem Schloss noch der Bankname auftaucht, da auch Betrüger Wege finden, an das Schloss zu kommen.

Gegen eine weitere Methode des Kreditkartenbetrugs können Nutzer dagegen wenig unternehmen. Sind die Kreditkartendaten bei einem Onlinedienst nicht ausreichend gesichert und wird das Unternehmen Opfer eines Cyberangriffs, können sämtliche Zahlungsdaten erbeutet werden. Eigentlich müssen die Daten verschlüsselt sein, aber es kommt immer wieder vor, dass Kriminelle ganze Kartensätze in die Hände bekommen. Diese werden dann oft im Internet zum Kauf angeboten.

Die Chef-Masche

Eine weitere Angriffsmethode ist das sogenannte Social Engineering. Dieses vergleichsweise aufwendige Verfahren wird hauptsächlich bei Firmen eingesetzt. Berühmt geworden ist zuletzt die sogenannte Chef-Masche. Dabei gibt sich ein Krimineller per E-Mail oder SMS als ranghohes Firmenmitglied aus und fordert die rasche Überweisung einer hohen Summe.

Dieses Vorgehen erfordert vom Täter einen hohen Rechercheaufwand. Um glaubwürdig zu klingen, muss er sich mit den Hierarchien des Unternehmens vertraut machen, die Namen und Befugnisse von Mitarbeitern recherchieren und zum Beispiel seinen Betrugsversuch starten, wenn der Vorgesetzte etwa auf einer Auslandsreise ist.

Bei der Chef-Masche setzt der angebliche Boss die Untergebenen stark unter Druck. Die Mitarbeiter werden zur Geheimhaltung verpflichtet. Die nötigen Zahlungsaufträge sind bereits vorbereitet, eine nötige zweite Unterschrift wird gefälscht.

Ist die Masche erfolgreich, ist sie wohl den Aufwand wert: Kriminelle erbeuteten mit dem Trick beispielsweise bei FACC, einem österreichischen Hersteller von Flugzeugteilen, mehr als 40 Millionen Franken. Der Autozulieferer Leoni verlor ebenfalls rund 40 Millionen Franken

Dieser Hacker erklärt, wie ein Angriff in der Praxis abläuft

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
Themen
14
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
14Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • URSS 28.02.2017 17:43
    Highlight Die neueste App im Apfelshop schützt vor allen Angriffen .
    Sie heisst: WKDBDPAN
    Frei übersetzt:WennKenDubbelBischPassiertAuNüt
    0 2 Melden
  • 2sel 28.02.2017 13:08
    Highlight Die App "Gesunder Menschenverstand 2.0" minimiert das Risiko. Ein Restrisiko bleibt immer. Zum Glück war ich bis jetzt (noch) nicht betroffen.
    14 0 Melden
  • BaDWolF 28.02.2017 12:08
    Highlight Die grössten Hacker sind immer noch die Banker selbst, ohne Vorwarnung werden "Kontoführungskosten" erhoben und sogleich abgebucht, auch wenn man kaum ein paar Franken über hat. Und selbst streichen sie Millionen ein. Respektive sind Konten mit Aber tausenden Franken gratis. Für die sind 100.- ja nichts. Für andere entscheidet das aber über essen oder nicht... BaBaBaBaBadBank
    17 5 Melden
    • Wehrli 28.02.2017 15:17
      Highlight Mimimimimimi ...
      2 7 Melden
    • BaDWolF 28.02.2017 16:12
      Highlight Das heisst Ahmuhmuhmuhmuh aber heut hat ja scheinbar niemand mehr Zeit sich kultiviert auszudrücken...
      0 0 Melden
  • Deverol 28.02.2017 12:06
    Highlight Haben Hacker auch "unfiese" Tricks, mit denen sie an mein Geld kommen? :)
    13 0 Melden
  • Nick_ 28.02.2017 11:44
    Highlight Da Lob ich mir die altbackene Zusatzcodes-Kärtchen als Zweitverifizierung. So eine gänzliche offline Variante ist für mich mittlerweile am Sichersten. Jedes Online Verfahren kann (theoretisch) geknackt werden. Bei der Zusatzkarte muss mir jemand diese physisch klauen.
    19 1 Melden
    • Wilhelm Dingo 28.02.2017 12:10
      Highlight Auch offline wird 'gehackt', siehe die früher manipulierten Einzahlungscouverts. Mann muss halt immer die Augen offen haben 8-)
      6 0 Melden
    • WatsonLeser 28.02.2017 12:20
      Highlight oder du musst dich genug oft eingeloggt haben, dass er alle Kästchen kennt
      0 3 Melden
  • wipix 28.02.2017 11:18
    Highlight Eine weitere, unangenehme Masche, mit der ich kürzlich bei einem Kunde konfrontiert wurde:
    Trojaner auf Laptop fügt gestohlene Kreditkarte in dessen PayPal Konto ein: dabei geht es um Verschleierung des Users, der die gestohlene Kreditkarte ausbeutet. Denn der unwissende Paypal Kunde steht als "Dieb" da, indem über sein Konto Zahlungen auf die gestohlene Kreditakarte gebucht werden.
    PayPal hat zum Glück ein Auge auf solche Geschichten! Nichts desto trotz eine sehr unangenehme Erfahrung!
    13 0 Melden
    • WatsonLeser 28.02.2017 12:22
      Highlight & was bringt das dem ursprünglichen Dieb, wenn eine 3. Person die Kreditkarte braucht?
      0 0 Melden
    • wipix 28.02.2017 14:06
      Highlight Die gestohlene Karte wird nicht vom Dieb direkt missbraucht. Er bleibt anonym, da die Karte bei einem unbescholtenen eingepflegt wird.
      1 0 Melden
  • Wehrli 28.02.2017 10:24
    Highlight Ich glaub nicht dass die Hacker so schnell meine Kohle abzügeln können wie wir Sie als Familie verbraten. Die Jungs müssten immer gleich am 25. ready sein, sonst sinds nur leere Töpfe .... ;-)
    76 2 Melden
    • Firefly 28.02.2017 11:43
      Highlight Danke für die Info! ;)
      10 1 Melden

Lohnt sich der Umstieg auf den neuen Firefox Quantum? Dieser Speed-Vergleich zeigt es

Schöner, schlanker, schneller: Mit Firefox Quantum hat Mozilla einen verbesserten Browser veröffentlicht. Doch im Duell mit den härtesten Konkurrenten Google Chrome, Mircrosoft Edge und Opera zeigen sich Schwächen – vor allem für Smartphone-Nutzer.

Mozilla gibt sich im Produktkampf mit Google nicht geschlagen: Mit der neuen Firefox-Version 57 namens Quantum haben die Entwickler den Browser deutlich überarbeitet. Websites bauen sich spürbar schneller auf als beim Vorgänger, Bilder und Videos laden flinker. Das Design ist schlank, die Oberfläche leicht zu bedienen. Beim Surfen merkt man kaum mehr einen Unterschied zum direkten Konkurrenten Google Chrome.

Schon seit längerem ringen die beiden Browser um die Nutzergunst, Google lag dabei …

Artikel lesen