Dieser Artikel ist Teil der Serie

Wie bin ich im Internet sicher unterwegs?

Diese Box hier enthält Tipps für sicheres Internetbanking.

An anderer Stelle findet sich ein Artikel Wie erkenne ich Phishing Mails?

 

30 Sekunden Tipps für sicheres Internet-Banking

  1. Grundvoraussetzung für sicheres Internet-Banking sind sichere Geräte. Dies erfordert eine gewisse Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone)
    2. .
  2. Für Internetbanking und andere Finanzwebsites empfiehlt es sich, einen separaten Browser verwenden, der NUR für solche Websites genutzt wird und KEINE Plugins, Extensions oder irgendwelche anderen fremden Komponenten hat (ich verwende dafür Chrome). In der Liste der Favoriten sind NUR die Banken drin und diesen Browser dürfen sie NIE für das restliche Internet verwenden. Dadurch fallen viele der browser-basierten Angriffe weg.
  3. Ganz ganz wichtig ist, nie über einen zugesendeten Link 'zur Bank-Website' zu gehen, sondern IMMER einen gespeicherten lokalen Link zu nutzen, dadurch vereitelt man die meisten der möglichen Angriffe
  4. Große Skepsis bei allem, was auf einmal irgendwie 'anders ist als sonst', lieber einmal zu oft beim Call-Center anrufen und nachfragen. So ein Fall ist z.B. wenn Sie sich korrekt authentisiert haben, aber dann keine Verbindung zustande kommt. Dies kann ein Hinweis sein, dass ein Betrüger ihre Sitzung übernommen hat. Schnell beim Helpdesk anrufen
  5. Folgen Sie auf keinen Fall irgendwelchen Aufforderungen (am Smartphone oder per Email), irgendeine Software zu installieren ohne vorher bei der Bank nachgefragt zu haben. Und noch eine Warnung: falls jemand anruft und behauptet, er oder sie sei vom Callcenter ihrer Bank oder von Microsoft: extrem große Vorsicht bitte. Dies ist ein seit 2014 häufig erfolgreicher Angriff, angebliche Callcenter-Mitarbeiter helfen den Opfern, ihr gesammtes Geld an die Angreifer zu transferieren.

Die restlichen Details zum sicheren Internetbanking gibt es weiter unten.

Hier geht es zurück zu meiner Gesamtserie Sicher im Internet.

 

 

Zwei spezielle Angriffe: Angriff gegen Internet-Banking und CEO-Betrug gegen Firmen

 

Letzte Aktualisierungen Feb. 2024

Payment Services Directive 2 (PSD-2) und Angriffe gegen Bankkunden

Seit der Einführung von zwingender 2-Faktor Authentisierung in Europa durch die Europäische Zentralbank (EZB) in der PSD 2-Richtlinie (in einem meiner Newsletter gibt es mehr zur Payment Services Directive 2) ist das Internetbanking deutlich sicherer geworden. Die traditionellen Angriffe bei denen mittels Phishing Website dem Kunden sein Benutzername + Passwort abgenommen wurden, das klappt so nicht mehr. Denn bei jeder Verbindung zur Website der Bank muss der Kunde eine weitere Aktion unternehmen, was die Hürde für die Angreifer ein gutes Stückchen höher gelegt hat. Das heißt aber nicht, dass Angriffe nicht weiterhin stattfinden und bei ausreichendem Aufwand der Angreifer auch erfolgreich sein können.

Anderseits hat dies m.E. auch zu einer Professionalisierung und Automatisierung der Angriffe geführt. Und deswegen müssen Bankkunden auch heute noch aufpassen. Hier ist ein Beispiel für einen sehr erfolgreichen Angriff auf das Vermögen einer Bankkundin wie sie auch heute auch immer wieder passieren können. In diesem Fall hat ein Gericht entschieden, dass die Bank nicht für den gesamten Schaden der Kundin haftet, weil die Kundin erheblich Fehler begangen hat.

Weiter unten gibt es mehr Details zur Sicherheit beim Internetbanking.

 

CEO-Fraud, Chef-Masche

Das ist ein Schlagwort für einen nicht so neuen Betrug: auf englisch "Business Email Compromise" (BEC) (im Deutschen meist CEO-Fraud genannt). Meist beruhen diese Betrugsaktivitäten auf einer von zwei unterschiedlichen Tricks.

Jetzt CEO-Betrug mit AI-Unterstützung

2019 wird viel über Deep Fakes mittels künstlicher Intelligenz geschrieben und eine böse Variante davon ist, dass die mit Hilfe von künstlicher Intelligenz die Stimme des Chefs/der Chefin täuschend echt nachgemacht wird. Benötigt werden dafür weniger als 1 Minute mit der Stimme der Person (z.B. aus einem Vortrag oder notfalls vom Anrufbeantworter) und dann wird die Stimme des Angreifers in die Stimme des Chefs/der Chefin übersetzt.

Und dieser falsche Chef fordert dann zu der falschen Zahlung auf. Weil kein Computer anruft, sondern ein richtiger Mensch mit verstellter Stimme kann der Angerufene dabei auch Rückfragen stellen und sich versichern lassen, dass alles OK ist.

Aber es geht leider noch viel schlimmer: Im Februar 2024 kann ein AI-System nicht nur die Stimme nachmachen, sondern gleich eine ganze Videokonferenz mit viele Kollegen simulieren, die dem Buchhalter alle versichern, dass das alles OK ist. Ich berichte in meinem Newsletter vom Betrug mit Deepfakes Videokonferenz.

Dagegen schützen sehr strenge Prozessregeln im Unternehmen (z.B. 4-Augen-Prinzip). Regeln (und technische Umsetzungen), die so implementiert sind, dass sie nicht mal durch einen Anruf des obersten Chefs ausgehebelt werden können. Das erfordert ein gutes Betriebsklima, wo die Mitarbeiter auch wagen, den großen Chef an die Regeln zu erinnern. Hier Betrug per Fake-Stimme: 220.000 Euro weg.

Trick 1: Mitarbeiter (meist in Finanzabteilungen) bekommen an ihr Firmenemail eine Nachricht die angeblich von einem höheren Chef kommt der gerade auf Reisen ist und ganz schnell und heimlich eine größere Überweisung auf ein spezielles Konto braucht (Firmenübernahme steht an). Ganz oft ist der Chef wirklich auf Reisen, denn die Angreifer haben sich in aller Regel gut vorbereitet und kennen viele Interna der zukünftigen Opfer (Firmenwebsite und Presseerklärungen sind ein Grund für diese Kenntnisse, manchmal sind die Angreifer auch über infizierte PCs bereits im internen Netz). Und oft ist auch die Absenderadresse gut gefälscht, so dass der falsche Absender nicht auf einen schnellen Blick erkennbar ist. Vor allen Dingen wird im Mail betont, dass der Mitarbeiter mit keinem Kollegen darüber reden darf. Oft wird sogar eine Email-Adresse oder Telefonnummer angeboten, bei der der Mitarbeiter mit dem angeblichen Rechtsanwaltsbüro reden kann, das die Firmenübernahme koordiniert.

Ein Artikel in 2018 berichtet über eine Studie von Barracuda in der 3000 solche Angriffe untersucht wurden. Dabei waren 60% keine Phishingmails mit gefälschten Links, sondern reguläre Emails (angeblich von Chefs) in denen die Adressaten zu bestimmten Handlungen, z.B. Überweisungen, aufgefordert wurden. Leider ist nur ein wirklich "wissender" Mitarbeiter in der Lage, gefälschte Emailadressen sicher zu erkennen. Viele der Mails appellieren an menschliche Stärken und Schwächen, wie z.B. Hilfsbereitschaft oder Respekt (oder Angst) vor den Vorgesetzten um ihr Ziel zu erreichen. Die dabei eingesetzten psychologischen Tricks beschreibe ich ausführlicher in meinem Artikel zu Social Engineering.

Trick 2: Mitarbeiter in der Buchhaltung bekommen die (angebliche) Nachricht eines bestehenden Lieferanten, dass ab jetzt alle Rechnungszahlungen nicht mehr auf das bisher gespeicherte Konto gehen sollen, sondern ein neues Konto. Auch hier sind die Angriffe oft sehr gut gemacht. Es beginnt oft mit einer Nachricht eines wirklichen Kunden oder Lieferanten (beide Seiten können Opfer sein) dass sie jetzt eine neue Email-Adresse hätten (die Internet-Domäne dafür wird oft gut gewählt). Dann kommt von dieser Adresse eine Rechnung die sich oft auf ein wirkliches Geschäft bezieht und zum Teil extrem gut gefälscht ist. Gefälscht ist die Kontonummer auf die übewiesen werden soll, das ist nämlich das Konto der Betrüger. Der Betrug fliegt meist erst nach einiger Zeit auf, wenn nämlich die richtige Buchhaltung des Lieferanten den fehlenden Zahlungseingang moniert.

Woher kommen die Betrüger an die Vorlagen für die Rechnung und die internen Details über die Lieferungen? Ganz oft beginnen diese Angriffe damit, dass irgendein Mitarbeiter in einer der beiden Firmen auf ein Phishing-Mail hereinfällt. Er geht entweder auf eine "böse" Website oder er öffnet einen Anhang mit Angriffssoftware. Dann sind die Angreifer in einer der Firmen und dann finden sie in den internen Netzen auch gute interne Details. Das heißt Phishing-Schutz ist der erste Schutz gegen solche Angriffe. (Hier findet sich, wie man Phishing-Mails erkennt.

Hier das Beispiel von FACC in Österreich, Schaden 50 Mio. Gerüchten zu Folge ist dies aber nur der drittgrößte Fall in Österreich. Firmen vermeiden das Veröffentlichen von solchen Vorfällen, Aktiengesellschaft können sich aber bei solchen Verlusten in der Regel nicht gut verstecken.

Und gleich noch 2 Fälle aus 2016: Internetbetrüger nehmen 2 oberösterreichische Firmen aus. Und aus Deutschland: Betrüger kamen mit Chef-Masche in Deutschland bereits zu 110 Mio. Euro.

CEO-Betrug ist eine spezielle Form von Social Engineering Angriffen. Dabei recherchieren die Angreifer zuerst sehr gut die betroffenen Firmen (z.B. den Lieferanten und den Käufer eines Produkts) und machen sich oft sogar die Mühe, Firmenemails mit Unterlagen abzufangen um dadurch täuschend echte Rechnungen oder andere Dokumente erstellen zu können. Gegenmaßnahmen werden ganz gut in diesem Bericht aus dem USA erklärt: FBI: Email Scams Take $3.1 Billion Toll on Businesses. Hier die Punkte:

  • Vorsicht beim Veröffentlichen von Firmeninterna auf der Website oder in Social Networks
  • Wenn ein Mitarbeiter ein Mail erhält, das ihn zur Verschwiegenheit verpflichtet ist große Vorsicht angebracht
  • Grundlegender Schutz gegen Malware und vor allem aktuelle Software, wie an anderer Stelle der Website beschrieben
  • Gute Buchhaltungsprozesse: Keine Zahlung und keine Änderung von Zahlungskonten ohne 4-Augen-Prinzip, sicherstellen, dass es keine Zahlungen geben kann, die so geheim sind, dass man diese Regeln verletzen muss
  • Sicherheitsbewusstsein bei den Mitarbeitern durch geeigenete Awareness-Maßnahmen
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Das österreichische Bundeskriminalamt veröffentlicht im Sommer 2017 eine Warnung vor CEO-Betrug und gibt Tipps, wie Unternehmen durch striktere Prozesse diese potentiell extrem teuren Betrugsfälle verhindern können. Sie verlinken auch auf eine Ansprechstelle zum Thema CEO-Fraud.

Der folgende Artikel aus 2016 gibt einen guten Überblick über die verschiedenen Techniken und nennt auch Zahlen und Statistiken: Billion-Dollar Scams: The Numbers Behind Business Email Compromise

Der Rest des Artikels konzentriert sich auf den speziellen Aspekt der Sicherheit im Internet-Banking.

 
 

 

Sicheres E-Banking mit 2-Faktor Authentisierung dank PSD2-Richtlinie

Seit der Einführung von zwingender 2-Faktor Authentisierung in Europa durch die Europäische Zentralbank (EZB) in der Payment Services Directive 2) ist das Internetbanking deutlich sicherer geworden. Die traditionellen Angriffe bei denen mittels Phishing Website dem Kunden sein Benutzername + Passwort abgenommen wurden, das klappt nicht mehr. Denn bei jeder Verbindung zur Website der Bank muss der Kunde eine weitere Aktion unternehmen, was die Hürde für die Angreifer ein gutes Stückchen höher gelegt hat.

Anderseits hat dies m.E. auch zu einer Professionalisierung und Automatisierung der Angriffe geführt. Und deswegen müssen Bankkunden auch heute noch aufpassen.

Die EU-Richtlinie besagt, dass ALLE Banken in Europa zwingend eine 2-Faktor Authentisierung nutzen müssen, d.h. es müssen 2 unabhängige Geräte für die Authentisierung im Einsatz sein. So etwas gab es vor der Richtlinie in Form von SMS-TAN Implementierungen - aber das fanden einige Bankkunden zu kompliziert. Ziel der Richtlinie war daher, die Latte für alle Banken einheitlich hoch zu legen und zu vermeiden, dass eine Bank ein unsicheres System nutzt um es 'den Kunden einfacher zu machen'.

Es gibt eine Reihe von Möglichkeiten, wie Banken diesen sicheren Einstieg zum Internetbanking implementieren können. Zum Teil wird weiterhin SMS genutzt. Die Schwachstelle bei der Authentisierung mittels SMS liegt beim Telefonanbieter des Kunden. Angreifer die die Telefonnummer kennen, die für diese SMS verwendet wird, können beim Telefonanbieter des Kunden anrufen und dort erzählen, sie hätten das Handy verloren und brauchen eine neue SIM-Karte. Wenn der Telefonanbieter darauf hereinfällt so hat der Kunde nun kein funktionierendes Handy mehr, denn alle Anrufe oder SMS werden an den Betrüger weitergeleitet. Wie könnte der Angreifer an die Handynummer kommen? Das geht am einfachsten, indem das Opfer aufgefordert wird, sie auf einer Website einzugeben.

Andere Banken setzen auf zusätzliche Smartphone Apps für die Authentisierung, d.h. der Kunde muss am PC/Laptop den Benutzernamen eingeben und dann auf Smartphone einen weiteren PIN-Code. Die Sicherheit entsteht dadurch, dass der Angreifer für den Angriff (so wie bei der Nutzung eines SMS als 2. Faktor) das Handy braucht.

Schwierig wird das mit den '2 unabhängigen Geräten' wenn eine Banking-App auf einem Smartphone genutzt wird. Dann wird zumeist eine 2., unabhängige App für die sichere Authentisierung eingesetzt. Oder es wird auf Biometrie gesetzt, d.h. der Kunde muss zusätzlich auch noch Gesicht oder Finger scannen. Über die Sicherheit auf den Smartphones bin ich persönlich nicht übermäßig begeistert, z.B. ist die Biometrie von Gesichtern nicht nur bei Zwillingen nicht eindeutig.

Eine sehr gute Implementierung ist das sog. CardTAN-Verfahren. Dabei wird ein separates kleines Gerät an den Bankkunden ausgegeben in welches die Bankomatkarte als Identifizierung des Kunden eingeschoben wird. Dies ist eine clevere Idee, dadurch kann 1 CardTAN-Gerät für mehrere Menschen genutzt werden, z.B. innerhalb einer Familie. In Österreich sind auch alle diese Gerät für alle Banken kompatibel.

Wie können solche Systeme immer noch angegriffen werden? Ein gängiger Trick ist der Versuch des Betrügers, sich als der Bankkunde beim Helpdesk zu melden und das Handy das für den 2. Faktor genutzt wird, als 'verloren' zu melden. In so einem Fall muss die Bank dem Kunden ja anbieten, ein neues Gerät als 2. Faktor zu konfigurieren. Dieser Angriff muss von der Bank vereitelt werden indem die Latte für den Kunden im Fall der Neu-Konfiguration des 2. Faktors ausreichend hoch gesetzt wird. D.h. die Bank muss ganz sicher sein, dass sich da wirklich der Kunde gemeldet hat. Dies führt natürlich zu Unbequemlichkeiten, z.B. wenn die Bank verlangt, dass der Kunde in die Filiale kommt (daraufhin wird der Betrüger z.B. antworten, dass dies nicht geht, weil er gerade auf Urlaub sei).

Ein weiterer Angriff der ein höheres technisches Niveau der Angreifer voraussetzt basiert auf einem recht cleveren Man-in-the-Middle Konzept (mehr technisches dazu an anderer Stelle). Der Kunde wird per Phishing-Mail auf einem Website gelockt, gibt dort den Benutzernamen und das Passwort ein. Diese Phishing Website sendet diese Daten SOFORT an die korrekte Bank-Website, die reagiert dadurch, dass sie den 2. Faktor vom Kunden anfordert. Dies wird SOFORT an den Kunden weitergeleitet, der diese 2. Authentisierung auch brav durchführt und damit den Betrüger legitimiert. In der Regel wird an dieser Stelle die Verbindung zwischen dem Opfer und der Phishing-Website mit einer Fehlermeldung beendet. Ein nicht zu Ende durchgeführtes Login in die Bank muss daher ein Alarm für den Bankkunden sein.

Das heißt, es sind weiterhin Angriffe möglich, der wichtigste Angriffspunkt für die Angreifer ist weiterhin das "Hereinfallen" des Kunden auf einem Phishing-Angrif (siehe Link).

 
 

Ein anderer Artikel geht detaillierter und technischer auf Man in the Middle Angriffe ein, sowohl bei PCs wie auch bei Smartphones. Solche Techniken werden manchmal auch für Phishing genutzt.

 

Weitere Informationen

Hier gibt es mehr über die Internetkriminalität hinter den Phishing Angriffen. Ebenfalls sehr relevant sind die Überlegungen zu Haftungsfragen.

Behavioral Response to Phishing Risk ein sehr schönes Beispiel für einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären.

The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.