Drucken
|
Drucken |
|
|
|
||
Unsicherheit und Leichtsinn machen es den Verbrechern oft allzu einfach: Es hat schon Online-Kunden gegeben, die gleich eine ganze TAN-Liste in ein Antwort-Formular einer E-Mail eingegeben haben.
Mit dem neuen iTAN-Verfahren haben Banken und Sparkassen versucht, dem Phishing einen Riegel vorzuschieben. Dabei bekommt der Kunde eine durchnummerierte (indizierte) Liste mit Tansaktionsnummern. Bei Online-Überweisungen kann der Kunde nicht mehr eine beliebige TAN eingeben; sondern die Bank gibt die Nummer anhand des Indexes vor. Dadurch soll eine gestohlene TAN nutzlos werden.
Sicherheitsexperten der Bochumer Ruhruniversität haben das moderne iTAN-Verfahren aber bereits geknackt. Die Arbeitsgruppe Identitätsschutz im Internet habe es innerhalb nur eines Tages geschafft, das System zu überlisten und den symbolischen Betrag von einem Euro zu transferieren. Zwar sei das System bei Einhaltung aller von Banken vorgegebenen Sicherheitshinweise sicher, Leichtsinnigkeit oder Unwissenheit der Nutzer mache es aber angreifbar.
Beim »Angriff« sendet der Betrüger eine Mail an sein Opfer. Der Empfänger wird mit falschen, aber plausiblen Begründungen auf eine gefälschte Web-Site des Angreifers gelockt, die der Bankenseite ähnlich sieht. Das Opfer könnte den Unterschied zwar durch das Klicken auf das Status-Symbol am unteren Rand des Browsers erkennen, »dies unterblieb bei allen bisher bekannt gewordenen Phishing-Fällen in Deutschland aber aus Unwissenheit«, erklärte Prof. Jörg Schwenk vom Institut für IT-Sicherheit der Ruhruniversität. Ist man nämlich mit der echten Online-Banking-Seite verbunden, signalisiert ein Symbol im Browser, das eine sichere, verschlüsselte Verbindung« (SSL-Verbindung) besteht. Ein Klick auf das Symbol - im Internet-Explorer ein kleines Schloss rechts unten, beim Mac-Browser Safari rechts oben - zeigt Details. Die URL beginnt außerdem mit http//: ... Achtung: Letzteres kann man mit einem kleinen Java-Skript fälschen.
Die gefälschte Web-Seite fordert das Opfer dann auf, Kontonummer und PIN einzugeben. Sobald die Daten beim Betrüger eingetroffen seien, baut der Angreifer eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer iTAN wird dann automatisch an das Opfer weitergeleitet. Der Angreifer erhält alle Daten und könne zum Beispiel eine Überweisung tätigen.
Niemand ist »Phishing« hilflos ausgeliefert. Das kann man tun:
l Phishing-Mails signalisieren im Betreff höchste Dringlichkeit: »Security update«, »Important Banking Alert« und »Account Verification« sind Beispiele
l Schauen sie sich Sprache, Rechtschreibung und Grammatik der E-Mail an. Ihre Bank wird ihnen nicht in Englisch oder gebrochenem Deutsch schreiben
l Ihre Bank fordert Sie niemals per E-Mail auf, vertrauliche Angaben wie PINs oder TANs einzugeben; hinter einem solchen Anliegen steckt ein Krimineller
l Klicken sie niemals auf einen Link in einer E-Mail; geben sie die URL Ihrer Bank lieber direkt ein
l Bei verdächtigen E-Mail hilf ein Blick in den Quelltext; dort sehen sie das tatsächliche Ziel eines Links
l Informieren Sie sofort ihre Bank, wenn eine Transaktion nach Eingabe von PIN oder TAN unverhofft abbricht
l Zusätzliche Sicherheit bietet ein individuelles Limit für Online-Überweisungen
l Aktualisieren sie ihre Betriebsystem regelmäßig, verwenden sie Firewall- und aktuelle Virenschutzsoftware. So entdecken sie »Keylogger« (Programme, die Tastatureingaben aufzeichnen und versenden) oder Software, mit der Hacker ihr System (Host-Datei) so manipulieren, dass sie beim Aufruf der Banken-Seite automatisch auf einer gefälschten Site landen (Pharming)
l Mehr Schutz als beim Online-Banking über Browser haben sie, wenn sie spezielle Software wie StarMoney verwenden
l Speichern Sie PIN und TAN nicht auf ihrem Rechner
l Verzichten sie im Internet-Cafe oder am (für andere zugänglichen) Arbeitsplatz aufs Internet-Banking.
Wenn unsicher sie sind sind: Rufen sie ihre Bank an oder gehen an den Schalter.
Artikel vom 25.11.2005