Leseprobe aus c't 19/09
Kriminelle haben an allen Fronten die Angriffe auf Konten von Anwendern eröffnet. Dennoch kann man weiterhin sicher im Internet bezahlen und seine Bankgeschäfte erledigen – wenn man einige Tipps verinnerlicht.
Oftmals bewegen Anwender ihr Geld nur noch virtuell, etwa beim Bezahlen per Kreditkarte im Online-Shop vom Wohnzimmer aus. Auch die Bankgeschäfte erledigen nach Schätzungen des Branchenverbandes BITKOM 24 Millionen Deutsche mittlerweile über das Internet. Doch wo Geld fließt, tummeln sich auch immer Kriminelle. Der Straßenräuber von einst tritt nun in etwas anderer Form auf und versucht seinen Opfern Kreditkartennummern, PINs und TANs sowie Login-Daten abzuluchsen. Dennoch muss niemand bangen, zum Freiwild zu werden und sich deshalb den Spaß am Konsum verleiden lassen. Die Banken und Dienstleister haben Maßnahmen ergriffen, um die Betrügereien einzudämmen – mehr oder minder erfolgreich. Aber selbst wenn das Kind in den Brunnen gefallen ist, lässt sich oftmals der eigene Schaden rückgängig machen.
Eine gute Nachricht vorab: Das herkömmliche Ab-Phishen von TANs beim Online-Banking mittels nachgemachter Webseiten ist stark zurückgegangen: Nur noch zehn Prozent der Schäden sollen nach Angaben des Branchenverbandes BITKOM auf diese Weise zustande kommen. Der Grund für die erfreuliche Entwicklung ist die fast flächendeckende Einführung der indizierten TAN (iTAN) – nur noch die Citibank und die DAB-Bank bieten das alte und völlig unsichere TAN-Verfahren an. Laut Bundeskriminalamt (BKA) ist die Zahl der gemeldeten Phishing-Fälle von 4200 im Jahre 2007 auf weniger als 1800 im Jahre 2008 zurückgegangen.
Die schlechte Nachricht: Die Kriminellen weichen auf Trojaner aus, die auf dem PC die TAN ausspähen und zugleich in der Lage sind, auch das verbesserte iTAN-Verfahren per Man-in-the-Middle- respektive Man-in-the-Browser-Attacke auszuhebeln. Der unschöne Nebeneffekt dabei ist, dass die Betrüger mit ihrem Trojaner auch noch an alle anderen Konten des Anwenders gelangen, etwa eBay, PayPal und so weiter. Das BKA verzeichnete bereits Ende 2008 wieder einen leichten Anstieg der Betrugsfälle beim Online-Banking – ein Trend, der sich nach den bisherigen Beobachtungen auch in diesem Jahr fortsetzen wird. Zudem nimmt nun pro Fall die durchschnittliche Schadenssumme zu. Zum Vergleich: 2006 lag sie im Durchschnitt noch bei 2500 Euro, 2007 waren es schon 4000 bis 4500 Euro pro Fall.
Belastbare offizielle Zahlen über die durch Trojaner verursachten Schäden sind selbst auf Nachfrage weder von den Banken noch den Landeskriminalämtern zu haben. Das LKA Niedersachsen hat aber beispielsweise zum 1. August eine eigene Zentralstelle für Internet-Kriminalität eingerichtet, die sich explizit mit Phishing- und Trojanerfällen beschäftigt. Bislang wickelte man derartige Fälle unter allgemeiner Computerkriminalität ab. Dies deutet darauf hin, dass erfolgreiche Angriffe per Trojaner erheblich zugenommen haben.
Der Trojaner Win32.Banker.ohq ist beispielsweise in der Lage, beim Aufruf einer Seite mit dem Internet Explorer die Originalbankenseiten gegen Kopien auszutauschen – er kann Banking-Seiten von 56 Instituten vortäuschen. Der Schädling fängt dabei den Aufruf der Seite bereits im PC ab und loggt sich parallel auf der Originalseite der jeweiligen Bank mit der ausgespähten PIN ein. Schickt der Anwender eine Überweisung ab, so fängt Win32.Banker.ohq die Daten einfach ab und startet eine eigene Überweisung mit einem anderen Zielkonto. Die Nachfrage der Bank nach der 23. TAN-Nummer leitet der Trojaner an den Anwender weiter, der diese im Glauben, auf der echten Bankseite zu sein, eingibt. Damit kann der Trojaner dann die betrügerische Überweisung legitimieren.
Mitunter beschädigen Trojaner anschließend die Software auf dem PC, sodass kein Internet-Zugang mehr möglich ist. Das Opfer kann in der Folge nicht mehr online auf sein Konto zugreifen und den Stand auf unerlaubte Überweisungen kontrollieren, sodass nur der Anruf oder der Gang zur Bank übrig bleibt. Eine plötzliche Fehlermeldung während des Online-Bankings im Internet Explorer wie „Die Webseite kann nicht angezeigt werden“ kann – muss aber nicht – ein Hinweis darauf sein.
Die Trojaner-Plage zwingt die Banken offenbar zum Einsatz verbesserter Verfahren, bei denen die TAN konkret aus den Überweisungsdaten hervorgeht oder auf einem vom Computer unabhängigen zweiten Kanal übertragen wird. Beim Sm@rtTAN-Plus- beziehungsweise ChipTAN-Verfahren der Sparkassen und Volks- und Raiffeisenbanken sowie mTAN und SMS-TAN hat der Anwender jeweils die Möglichkeit, die mit der TAN verknüpften Überweisungsdaten zu kontrollieren.
Normalerweise sind diese Verfahren sicher. Kontrolliert der Kunde die Überweisungsdaten jedoch nicht sorgfältig, so kann auch dort ein Trojaner die Transaktion manipulieren – in der Hoffnung, dass der Anwender das geänderte Zielkonto nicht bemerkt und die abgefragte TAN eingibt. Die Ermittlungsbehörden haben bereits erste Fälle registriert, bei denen Anwender des ChipTAN- und mTAN-Verfahrens Opfer von Angriffen wurden. Grundsätzlich sind bei menschlichem Versagen aber alle anderen Verfahren ebenfalls unsicher, auch Secoder und HBCI.
Den vollständigen Artikel finden Sie in c't 19/2009.
Angriff auf Ihr Konto
| Artikel zum Thema "Angriff auf Ihr Konto" finden Sie in der c't 19/2009: | |
| Die Tricks der Diebe und was dagegen hilft | S. 92 |
| Bezahlverfahren für Online-Shopper | S. 96 |
| Sicheres Online-Banking mit c't Bankix | S. 102 |
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-763719
Kommentare lesen (15 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
Mehr zum Thema Electronic Cash
RSS
