Dieser Artikel ist Teil der Serie

Wie bin ich im Internet sicher unterwegs?

Diese Box hier enthält Tipps für sicheres Internetbanking.

An anderer Stelle findet sich ein Artikel Wie erkenne ich Phishing Mails?

 

30 Sekunden Tipps für sicheres Internet-Banking

  1. Grundvoraussetzung für sicheres Internet-Banking sind sichere Geräte. Dies erfordert eine gewisse Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone)
    2. .
  2. Für Internetbanking und andere Finanzwebsites empfiehlt es sich, einen separaten Browser verwenden, der NUR für solche Websites genutzt wird und KEINE Plugins, Extensions oder irgendwelche anderen fremden Komponenten hat (ich verwende dafür Chrome). In der Liste der Favoriten sind NUR die Banken drin und diesen Browser dürfen sie NIE für das restliche Internet verwenden. Dadurch fallen viele der browser-basierten Angriffe weg.
  3. Ganz ganz wichtig ist, nie über einen zugesendeten Link 'zur Bank-Website' zu gehen, sondern IMMER einen gespeicherten lokalen Link zu nutzen, dadurch vereitelt man die meisten der möglichen Angriffe
  4. Große Skepsis bei allem, was auf einmal irgendwie 'anders ist als sonst', lieber einmal zu oft beim Call-Center anrufen und nachfragen. So ein Fall ist z.B. wenn Sie sich korrekt authentisiert haben, aber dann keine Verbindung zustande kommt. Dies kann ein Hinweis sein, dass ein Betrüger ihre Sitzung übernommen hat. Schnell beim Helpdesk anrufen
  5. Folgen Sie auf keinen Fall irgendwelchen Aufforderungen (am Smartphone oder per Email), irgendeine Software zu installieren ohne vorher bei der Bank nachgefragt zu haben. Und noch eine Warnung: falls jemand anruft und behauptet, er oder sie sei vom Callcenter ihrer Bank oder von Microsoft: extrem große Vorsicht bitte. Dies ist ein seit 2014 häufig erfolgreicher Angriff, angebliche Callcenter-Mitarbeiter helfen den Opfern, ihr gesammtes Geld an die Angreifer zu transferieren.

Wer haftet?

Ein guter Artikel aus Nov. 2024: Wenn plötzlich illegal Geld vom Konto abgebucht wird: Wer haftet dafür?

Hintergrund sind einige dramatische Fälle, z.B. eine Firma in Kärnten, die sich 2,9 Mio € haben abnehmen lassen.

Der Artikel erklärt, dass Banken nur dann haften, wenn der Kunde kein fahrlässiges Verhalten gezeigt hat. Durch die PSD2-Verordnung mit verpflichtendem 2-Faktor-Login und expliziter Bestätigung der jeweiligen Überweisungen erfordern erfolgreiche Angriffe auf Kunden-Konten eine sehr 'aktive Mitarbeit' des Opfers. Ich habe weiter unten ausführlich erklärt, wie kompliziert solche Angriffe ablaufen.

Weiter unten in dem oben verlinkten Beitrag finden sich weitere Maßnahmen, die in 2026 kommen sollen, z.B. dass Banken betrugsbezogene Informationen untereinander austauschen dürfen, d.h. sich gegenseitig warnen (Einschränkung des Bankgeheimnisses) und Banken sollen berechtigt werden, Zahlungsaufträge zu sperren wenn ein automatisches System Betrugsverdacht zu erkennen glaubt. Bisher können sich Kunden darauf verlassen, dass das Geld überwiesen wird wenn sie einen Auftrag frei geben, das wird dann eingeschränkt.

Mehr Details zum sicheren Internetbanking und modernen Angriffen gibt es weiter unten.

Hier geht es zurück zu meiner Gesamtserie Sicher im Internet.

 

 

Zwei spezielle Angriffe: Angriff gegen Internet-Banking und CEO-Betrug gegen Firmen

 

Letzte Aktualisierungen Nov. 2024

Payment Services Directive 2 (PSD-2) und Angriffe gegen Bankkunden

Seit der Einführung von zwingender 2-Faktor Authentisierung 2018 in Europa durch die Europäische Zentralbank (EZB) in der PSD 2-Richtlinie (in einem meiner Newsletter gibt es mehr zur Payment Services Directive 2) ist das Internetbanking deutlich sicherer geworden. Die traditionellen Angriffe bei denen mittels Phishing-Website dem Kunden sein Benutzername + Passwort abgenommen wurden, das klappt so nicht mehr. Denn bei jeder Verbindung zur Website der Bank muss der Kunde eine weitere Aktion unternehmen, was die Hürde für die Angreifer ein gutes Stückchen höher gelegt hat. Das heißt aber nicht, dass Angriffe nicht weiterhin stattfinden und bei ausreichendem Aufwand der Angreifer auch erfolgreich sein können.

Leider sind aber die erfolgreichen Angriffe nicht auf Null gegangen. PSD-2 hat m.E. zu einer Professionalisierung und Automatisierung der Angriffe geführt. Und deswegen müssen Bankkunden auch heute noch aufpassen. Hier ist ein Beispiel für einen sehr erfolgreichen Angriff auf das Vermögen einer Bankkundin wie sie auch heute auch immer wieder passieren können. In diesem Fall hat ein Gericht entschieden, dass die Bank nicht für den gesamten Schaden der Kundin haftet, weil die Kundin erhebliche Fehler begangen hat.

Weiter unten gibt es viel mehr Details wie diese Angriffe nun trotz 2-Faktor Authentifizierung und Zahlungsbestätigung per SMS, bzw. Bestatigung des Logins und jeder Zahlung über Banking-App trotzdem implementiert werden. Der große Unterschied: die Angriffe sind für die Angreiefer logistisch komplizierter und sie klappen nur, wenn das Opfer die Texte die die Bank sendet, vollkommen ignoriert. Die Details und viel mehr zur Sicherheit beim Internetbanking weiter unten.

 

CEO-Fraud, Chef-Masche

Das ist ein Schlagwort für einen nicht so neuen Betrug: auf englisch "Business Email Compromise" (BEC) (im Deutschen meist CEO-Fraud genannt). Meist beruhen diese Betrugsaktivitäten auf einem von zwei unterschiedlichen Tricks.

Jetzt CEO-Betrug mit AI-Unterstützung

2019 wird viel über Deep Fakes mittels künstlicher Intelligenz geschrieben und eine böse Variante davon ist, dass die mit Hilfe von künstlicher Intelligenz die Stimme des Chefs/der Chefin täuschend echt nachgemacht wird. Benötigt werden dafür weniger als 1 Minute mit der Stimme der Person (z.B. aus einem Vortrag oder notfalls vom Anrufbeantworter) und dann wird die Stimme des Angreifers in die Stimme des Chefs/der Chefin übersetzt.

Und dieser falsche Chef fordert dann zu der falschen Zahlung auf. Weil kein Computer anruft, sondern ein richtiger Mensch mit verstellter Stimme kann der Angerufene dabei auch Rückfragen stellen und sich versichern lassen, dass alles OK ist.

Aber es geht leider noch viel schlimmer: Im Februar 2024 kann ein AI-System nicht nur die Stimme nachmachen, sondern gleich eine ganze Videokonferenz mit viele Kollegen simulieren, die dem Buchhalter alle versichern, dass das alles OK ist. Ich berichte in meinem Newsletter vom Betrug mit Deepfakes Videokonferenz.

Dagegen schützen sehr strenge Prozessregeln im Unternehmen (z.B. 4-Augen-Prinzip). Regeln (und technische Umsetzungen), die so implementiert sind, dass sie nicht mal durch einen Anruf des obersten Chefs ausgehebelt werden können. Das erfordert ein gutes Betriebsklima, wo die Mitarbeiter auch wagen, den großen Chef an die Regeln zu erinnern. Hier Betrug per Fake-Stimme: 220.000 Euro weg.

Trick 1: Mitarbeiter (meist in Finanzabteilungen) bekommen an ihr Firmenemail eine Nachricht die angeblich von einem höheren Chef kommt der gerade auf Reisen ist und ganz schnell und heimlich eine größere Überweisung auf ein spezielles Konto braucht (Firmenübernahme steht an). Ganz oft ist der Chef wirklich auf Reisen, denn die Angreifer haben sich in aller Regel gut vorbereitet und kennen viele Interna der zukünftigen Opfer (Firmenwebsite und Presseerklärungen sind ein Grund für diese Kenntnisse, manchmal sind die Angreifer auch über infizierte PCs bereits im internen Netz). Und oft ist auch die Absenderadresse gut gefälscht, so dass der falsche Absender nicht auf einen schnellen Blick erkennbar ist. Vor allen Dingen wird im Mail betont, dass der Mitarbeiter mit keinem Kollegen darüber reden darf. Oft wird sogar eine Email-Adresse oder Telefonnummer angeboten, bei der der Mitarbeiter mit dem angeblichen Rechtsanwaltsbüro reden kann, das die Firmenübernahme koordiniert.

Ein Artikel in 2018 berichtet über eine Studie von Barracuda in der 3000 solche Angriffe untersucht wurden. Dabei waren 60% keine Phishingmails mit gefälschten Links, sondern reguläre Emails (angeblich von Chefs) in denen die Adressaten zu bestimmten Handlungen, z.B. Überweisungen, aufgefordert wurden. Leider ist nur ein wirklich "wissender" Mitarbeiter in der Lage, gefälschte Emailadressen sicher zu erkennen. Viele der Mails appellieren an menschliche Stärken und Schwächen, wie z.B. Hilfsbereitschaft oder Respekt (oder Angst) vor den Vorgesetzten um ihr Ziel zu erreichen. Die dabei eingesetzten psychologischen Tricks beschreibe ich ausführlicher in meinem Artikel zu Social Engineering.

Trick 2: Mitarbeiter in der Buchhaltung bekommen die (angebliche) Nachricht eines bestehenden Lieferanten, dass ab jetzt alle Rechnungszahlungen nicht mehr auf das bisher gespeicherte Konto gehen sollen, sondern ein neues Konto. Auch hier sind die Angriffe oft sehr gut gemacht. Es beginnt oft mit einer Nachricht eines wirklichen Kunden oder Lieferanten (beide Seiten können Opfer sein) dass sie jetzt eine neue Email-Adresse hätten (die Internet-Domäne dafür wird oft gut gewählt). Dann kommt von dieser Adresse eine Rechnung die sich oft auf ein wirkliches Geschäft bezieht und zum Teil extrem gut gefälscht ist. Gefälscht ist die Kontonummer auf die übewiesen werden soll, das ist nämlich das Konto der Betrüger. Der Betrug fliegt meist erst nach einiger Zeit auf, wenn nämlich die richtige Buchhaltung des Lieferanten den fehlenden Zahlungseingang moniert.

Woher kommen die Betrüger an die Vorlagen für die Rechnung und die internen Details über die Lieferungen? Ganz oft beginnen diese Angriffe damit, dass irgendein Mitarbeiter in einer der beiden Firmen auf ein Phishing-Mail hereinfällt. Er geht entweder auf eine "böse" Website oder er öffnet einen Anhang mit Angriffssoftware. Dann sind die Angreifer in einer der Firmen und dann finden sie in den internen Netzen auch gute interne Details. Das heißt Phishing-Schutz ist der erste Schutz gegen solche Angriffe. (Hier findet sich, wie man Phishing-Mails erkennt.

Hier das Beispiel von FACC in Österreich, Schaden 50 Mio. Gerüchten zu Folge ist dies aber nur der drittgrößte Fall in Österreich. Firmen vermeiden das Veröffentlichen von solchen Vorfällen, Aktiengesellschaft können sich aber bei solchen Verlusten in der Regel nicht gut verstecken.

Und gleich noch 2 Fälle aus 2016: Internetbetrüger nehmen 2 oberösterreichische Firmen aus. Und aus Deutschland: Betrüger kamen mit Chef-Masche in Deutschland bereits zu 110 Mio. Euro.

CEO-Betrug ist eine spezielle Form von Social Engineering Angriffen. Dabei recherchieren die Angreifer zuerst sehr gut die betroffenen Firmen (z.B. den Lieferanten und den Käufer eines Produkts) und machen sich oft sogar die Mühe, Firmenemails mit Unterlagen abzufangen um dadurch täuschend echte Rechnungen oder andere Dokumente erstellen zu können. Gegenmaßnahmen werden ganz gut in diesem Bericht aus dem USA erklärt: FBI: Email Scams Take $3.1 Billion Toll on Businesses. Hier die Punkte:

  • Vorsicht beim Veröffentlichen von Firmeninterna auf der Website oder in Social Networks
  • Wenn ein Mitarbeiter ein Mail erhält, das ihn zur Verschwiegenheit verpflichtet ist große Vorsicht angebracht
  • Grundlegender Schutz gegen Malware und vor allem aktuelle Software, wie an anderer Stelle der Website beschrieben
  • Gute Buchhaltungsprozesse: Keine Zahlung und keine Änderung von Zahlungskonten ohne 4-Augen-Prinzip, sicherstellen, dass es keine Zahlungen geben kann, die so geheim sind, dass man diese Regeln verletzen muss
  • Sicherheitsbewusstsein bei den Mitarbeitern durch geeigenete Awareness-Maßnahmen
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Das österreichische Bundeskriminalamt veröffentlicht im Sommer 2017 eine Warnung vor CEO-Betrug und gibt Tipps, wie Unternehmen durch striktere Prozesse diese potentiell extrem teuren Betrugsfälle verhindern können. Sie verlinken auch auf eine Ansprechstelle zum Thema CEO-Fraud.

Der folgende Artikel aus 2016 gibt einen guten Überblick über die verschiedenen Techniken und nennt auch Zahlen und Statistiken: Billion-Dollar Scams: The Numbers Behind Business Email Compromise

Der Rest des Artikels konzentriert sich auf den speziellen Aspekt der Sicherheit im Internet-Banking.

 
 

 

Angriffe gegen E-Banking trotz deutlich erhöhter Sicherheit

Seit der Einführung von zwingender 2-Faktor Authentisierung in Europa 2018 durch die Europäische Zentralbank (EZB) in der Payment Services Directive 2) ist das Internetbanking deutlich sicherer geworden. Die traditionellen Angriffe bei denen mittels Phishing-Website dem Kunden sein Benutzername + Passwort abgenommen wurden, das klappt so nicht mehr. Denn bei jeder Verbindung zur Website der Bank muss der Kunde eine weitere Aktion unternehmen, was die Hürde für die Angreifer ein gutes Stückchen höher gelegt hat.

Die EU-Richtlinie besagt, dass ALLE Banken in Europa zwingend eine 2-Faktor Authentisierung nutzen müssen, d.h. es müssen 2 unabhängige Geräte für die Authentisierung im Einsatz sein. So etwas gab es vor der Richtlinie zwar auch schon bei vielen Banken in Form von SMS-TAN Implementierungen - aber das fanden einige Bankkunden zu kompliziert. Ziel der Richtlinie war daher, die Latte für alle Banken einheitlich hoch zu legen und zu vermeiden, dass eine Bank ein unsicheres (und dadurch einfacheres) System als Verkaufsargument nutzt, um es 'den Kunden einfacher zu machen'.

Es gibt eine Reihe von Möglichkeiten, wie Banken diesen sicheren Einstieg zum Internetbanking implementieren können. Zum Teil wird weiterhin SMS genutzt.

Solche Angriffe sind aber weiterhin möglich, dies erfordert aber mehr Aufwand beim Betrüger und deutlich mehr Nachlässigkeit beim Opfer. Hier die Details (siehe Graphik rechts):

 

Angriff gegen SMS-Authentisierung

Der Betrüger betreibt eine Fake-Website die nur den Login-Schirm der Bank nachbildet. Das "Opfer" wird auf diese Website gelockt, z.B. über einen Link in einem Email. Dort muss ganz normal Benutzername und Passwort eingegeben werden.

Diese Daten überträgt der Betrüger sofort an die Bank des Opfers, diese sendet eine SMS an das Opfer. Das Opfer gibt den Text der SMS auf der falschen Website ein, die Zahlenkombination wird zur Bank des Opfers übertragen und der Betrüger ist im Konto des Opfers.

Der Betrüger startet eine Überweisung, das Opfer bekommt derweit eine Fehlermeldung und wird um Geduld gebeten. Die Überweisung triggert die nächste SMS an das Opfer: "Geben Sie nun die Überweisung von xxx € frei". Das Opfer liest den Text nicht, sondern gibt die neue SMS auch auf der Fake-Website sein, das Geld ist weg.

Und weil das so schön geklappt hat, versucht der Betrüger das gleich noch mal mit einer weiteren Überweisung.

Hier ein Beispiel wie das dann im richtigen Leben aufschlägt: Hacker erbeuteten 2,9 Millionen Euro von Kärntner Bankkonto.

 

Angriffe bei Login-Bestätigung in der Bank-App

Andere Banken setzen auf eine zusätzliche Smartphone Apps für die Authentisierung, d.h. der Kunde gibt am PC/Laptop den Benutzernamen ein und bestätigt das Login dann auf dem Smartphone durch einen weiteren PIN-Code in der Bank-App (oder durch Gesichtserkennung). Die Sicherheit entsteht dadurch, dass der Angreifer für den Angriff eigentlich Zugriff auf das Smartphone braucht.

Aber auch dieses System lässt sich austricksen, wenn der Bankkunde den Text den ihm die Bank in der Smartphone-App sendet, ignoriert. Das läuft dann so ab.

Das Opfer wird wieder auf eine gefälschte Website gelockt, gibt diesmal nur den Benutzernamen ein, dieser wird durch die Betrüger an die Bank des Opfers weitergereicht und die aktiviert die Smartphone-App.

Das Opfer bekommt (ganz wie erwartet die Aktivierung) und gibt es Login des Betrügers frei. Das Opfer wundert sich nun, dass es nicht im Banksystem ist, sondern eine Fehlermeldung bekommt.

Währendessen macht der Betrüger der Überweisung und diese aktiviert wiederum die Smartphone App. Dort steht nun "Geben Sie nun die Überweisung von xxx € frei".

Wenn das Opfer diesen Text ignoriert und in der App bestätigt, so ist das Geld weg. Auf der falschen Website kommt wieder nur eine Fehlermeldung. Denn der Betrüger will es gern noch mal versuchen.

 

 

 

Weitere mögliche Angriffe

Wie können solche Systeme immer noch angegriffen werden? Ein gängiger Trick ist der Versuch des Betrügers, sich als der Bankkunde beim Helpdesk zu melden und das Handy, das für den 2. Faktor genutzt wird, als 'verloren' zu melden.

In so einem Fall muss die Bank dem Kunden ja anbieten, ein neues Gerät als 2. Faktor zu konfigurieren. Dieser Angriff muss von der Bank vereitelt werden indem die Latte für den Kunden im Fall der Neu-Konfiguration des 2. Faktors ausreichend hoch gesetzt wird, z.B. durch Vorlage eines Ausweises.

D.h. die Bank muss ganz sicher sein, dass sich da wirklich der Kunde gemeldet hat. Dies führt natürlich zu Unbequemlichkeiten, z.B. wenn die Bank verlangt, dass der Kunde in die Filiale kommt (daraufhin wird der Betrüger z.B. antworten, dass dies nicht geht, weil er gerade auf Urlaub sei).

Ein weiterer Angriff gegen die SMS-TAN besteht darin, die Telefonnummer des Opfers zu übernehmen, indem man bei der Telefongesellschaft das Handy des Opfers als verloren meldet und eine neue SIM-Karte bestellt. Hier ist man auf die Stringenz der Regeln für die Helpdesk-Mitarbeiter:innen der Telefongesellschaft angewiesen.

Insgesamt heißt das, es sind weiterhin Angriffe möglich, der wichtigste Angriffspunkt für die Angreifer ist weiterhin das "Hereinfallen" des Kunden auf einem Phishing-Angrif (siehe Link) und die Preisgabe der Benutzerdaten.

 
 

Ein anderer Artikel geht detaillierter und technischer auf Man in the Middle Angriffe ein, sowohl bei PCs wie auch bei Smartphones. Solche Techniken werden manchmal auch für Phishing genutzt.

 

Weitere Informationen

Hier gibt es mehr über die Internetkriminalität hinter den Phishing Angriffen. Ebenfalls sehr relevant sind die Überlegungen zu Haftungsfragen.

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.