Online-Banking-Hacking: Abfangen von Bestätigungscodes verhindern
Montag, 26. Februar 2024
Mit der Entwicklung von IT-Sicherheitstechnologien erweitern auch Internetbetrüger ihre technischen Kenntnisse und Kompetenzen. Die Cyberkriminalität nimmt zu. Es wird immer schwieriger, Accounts und Daten vor Diebstahl zu schützen. Selbst ein sehr kompliziertes Passwort ist keine Garantie dafür, dass sensible Daten nicht gestohlen werden.
Heutzutage reicht der Passwortschutz allein nicht mehr aus – auch wenn der Nutzer zuverlässige und unterschiedliche Passwörter für verschiedene Services verwendet.
Außerdem spielt das Verhalten des Nutzers im Internet eine wichtige Rolle für die Datensicherheit. Cyberkriminelle überwachen Aktivitäten des Nutzers und schließen daraus, ob der Nutzer auf betrügerische Tricks hereinfallen könnte. D.h. das Verhalten des Nutzers beeinflusst die Wahrscheinlichkeit der Kompromittierung seiner Accounts in Online-Diensten.
Die Zwei-Faktor-Authentifizierung bietet ein höheres Maß an Sicherheit, erschwert unbefugten Datenzugriff und ermöglicht es, Geld und vertrauliche Informationen besser zu schützen.
In dieser Ausgabe sprechen wir über die gängigsten 2FA-Verfahren und darüber, wie sie von Hackern umgangen werden können.
Arten der Zwei-Faktor-Authentifizierung
2019 wurden Push-Benachrichtigungen als die zweite Verifizierungsstufe am häufigsten verwendet. 2023 wurden sie von Einmalkennwörtern (OTP, one time password), die in der Regel als SMS gesendet werden, an die zweite Stelle gedrängt.
Welche 2FA-Verfahren werden in Online-Banking-Systemen genutzt?
Push-Benachrichtigungen: Oft werden Einmalcodes zur Bestätigung von über eine mobile Banking-App getätigten Zahlungen in derselben App gesendet. In diesem Fall muss sich der Hacker Zugriff sowohl auf das Mobilgerät als auch auf die App verschaffen. Dies ist nicht leicht. Daher ist es wichtig, unterschiedliche Passwörter für verschiedene Apps und Services zu nutzen. Darüber hinaus bieten Online-Banking-Apps oft die Möglichkeit, den Zugriff auf die App mit einer biometrischen Authentifizierung zu schützen.
Wenn der Nutzer nicht die Online-Banking-App, sondern die Website der Bank nutzt, wird ihm auf der zweiten Verifizierungsstufe eine SMS-Nachricht statt einer Push-Benachrichtigung gesendet.
Einmalcode in Authentifizierungs-Apps: Dabei handelt es sich um Programme wie Google Authenticator, FreeOTP etc. Solche Anwendungen schützen nicht nur das Online-Banking, sondern erhöhen auch die Sicherheit verknüpfter Accounts.
Sie schützen besser als SMS-Codes, werden jedoch seltener verwendet, da nicht alle Online-Dienste und Apps diese Authentifizierungsmethode unterstützen.
Bestätigungscodes in E-Mails und SMS: Diese Verifizierungsmethode ist bequem und wird am häufigsten verwendet. Manchmal enthält die Bestätigungs-E-Mail einen Anmeldelink. Dadurch wird dem Nutzer die Eingabe der Anmeldedaten erspart. Sie sollten aber immer vorsichtig sein, wenn Sie einen solchen Link öffnen (mehr dazu lesen Sie unten). Bestätigungscodes in E-Mails und SMS-Nachrichten könnten von Cyberkriminellen abgefangen werden.
Zwei-Faktor-Token: Dabei handelt es sich um einen speziellen physischen Datenträger (Smartcard). Damit ein Cyberkrimineller ein Token nutzen kann, muss er dieses dem Besitzer stehlen. Tokens generieren Einmalpasswörter und schützen den Zugriff auf das Benutzerkonto auf dem Computer.
Diese Option eignet sich eher für Unternehmen. Leider ist ein solcher Token hilflos, wenn ein Trojaner auf den Computer gelangt und dem Hacker eine Remote-Steuerung des Computers ermöglicht.
Biometrie: Die Anmeldung per Fingerabdruck oder Gesichtserkennung scheint sehr praktisch zu sein. Erstens erspart dies dem Nutzer die Notwendigkeit, sich eine komplizierte Zeichenfolge zu merken. Zweitens ist es praktisch unmöglich, ein solches „Passwort“ zu fälschen.
Aber nicht alle Apps und Dienste unterstützen die biometrische Authentifizierung – Dies ist teuer und erfordert zusätzliche Ressourcen, damit die Benutzerdaten sicher gespeichert werden.
Hacken unmöglich
Mit der Entwicklung von Schutztechnologien werden auch Hacking-Technologien weiterentwickelt, da auch dies profitabel ist. Eine solche Konfrontation ähnelt einem spannenden Denkspiel oder Sportwettbewerb mit Tricks und heißem Atem im Rücken des Gegners.
Die Zwei-Faktor-Authentifizierung erschwert die Durchführung von Cyberangriffen und unbefugten Datenzugriff. Leider geben Nutzer ihre Passwörter oft selbst preis.
Erinnern Sie sich an den Film „Ocean’s Eleven“: Der Casino-Tresor wurde von bewaffneten Wachleuten bewacht und mit biometrischen Schlössern, Überwachungskameras und Bewegungssensoren ausgestattet. Um ein solches Sicherheitssystem zu hacken, sind nicht nur technische Kenntnisse, sondern auch Einfallsreichtum und schauspielerische Fähigkeiten erforderlich.
Cyberkriminelle setzen auf die Leichtgläubigkeit, Neugier und Unaufmerksamkeit des Nutzers. In betrügerischen Online-Anzeigen und Werbeangeboten wird oft nachdrücklich betont, dass das Angebot nur heute gilt, sodass das Opfer die Vereinbarungsbedingungen akzeptiert, ohne sie zu lesen. Häufig wird das Opfer auf eine andere Plattform umgeleitet und zu einem schnellen Kauf gedrängt.
Online-Betrüger verfügen über Charme und Überzeugungskraft, daher müssen Nutzer immer achtsam sein.
Dietrich und Schlüssel
Um die Zwei-Faktor-Authentifizierung in einem Online-Banking-System zu umgehen, müssen Betrüger in der Regel den Bestätigungscode abfangen, der als SMS-Nachricht oder Push-Benachrichtigung oder per E-Mail gesendet wird.
Theoretisch wäre es auch möglich, die Biometrie des Nutzers zu fälschen, aber das klingt heutzutage noch nach Science-Fiction.
Manchmal klonen Cyberkriminelle die SIM-Karte des Nutzers. Doch die häufigste Methode ist das Abfangen von Einmalcodes.
Um sich Zugriff auf das Mobilgerät des Nutzers zu verschaffen, können Cyberkriminelle das Gerät stehlen. Aber es gibt auch andere Möglichkeiten.
Social Engineering: Der Betrüger gibt sich als Mitarbeiter einer Bank oder einer staatlichen Einrichtung aus und überzeugt den Nutzer, bestimmte Informationen (Bankdaten, Anmeldedaten etc.) preiszugeben, um z.B. das Benutzerkonto angeblich zu entsperren.
Vergessen Sie daher nicht: Ein Bankmitarbeiter kann Sie nur nach Ihrem Vor- und Nachnamen und Ihrem Codewort fragen. Falls Sie aufgefordert werden, dem angeblichen Bankmitarbeiter weitere Informationen mitzuteilen, könnte dies auf Betrug hinweisen.
Bösartige Anwendungen: Wenn Sie keinen Antivirus nutzen oder eine regelmäßige Aktualisierung des Antivirus vernachlässigen, laufen Sie Gefahr, Spyware, die Benutzeraktivitäten überwacht und Informationen darüber an Cyberkriminelle weiterleitet, einen Trojaner, mit dessen Hilfe Cyberkriminelle das infizierte Gerät verwalten können, oder ein anderes bösartiges Programm herunterzuladen.
Phishing: Klassisch: Der Nutzer erhält eine E-Mail mit der Aufforderung, Informationen in seinem Benutzerkonto zu aktualisieren. Die E-Mail enthält einen Link zu einer gefälschten Bank-Website. Der Nutzer öffnet den Link, ohne sicherzustellen, dass die Website echt ist, und gibt die Anmeldedaten für sein Benutzerkonto ein.
Außerdem können Betrüger gefälschte Fenster zur Eingabe von 2FA-Bestätigungscodes erstellen.
Nutzung öffentlicher WLAN-Netze: Hacker kompromittieren öffentliche WLAN-Netze, um sich Zugriff auf Benutzerdaten zu verschaffen. Dies ist möglich, wenn die Verbindung nicht sicher ist.
Wenn ich NUR die mobile Banking-App nutze, können meine Anmeldedaten gestohlen und mein Account kompromittiert werden?
Dies hängt von der Angriffsart und Ihrem Gerät ab. Einige Banking-Trojaner für Android sind in der Lage, den Inhalt auf dem Bildschirm zu lesen, die Zwischenablage zu verwalten, Screenshots zu erstellen und Codes aus SMS-Nachrichten und anderen Benachrichtigungen abzufangen. In einigen Banking-Apps ist die Erstellung von Screenshots verboten. In einigen Android-Versionen gibt es Einschränkungen beim Lesen des Inhalts auf dem Bildschirm. Es gibt also eine Reihe von Faktoren, die berücksichtigt werden müssen.
Was tun, wenn mein Online-Banking-Account gehackt wurde?
Wenn Sie seltsame Aktivitäten auf Ihrem Bankkonto bemerken, schlagen Sie Alarm – rufen Sie dringend den Support Ihrer Bank an und melden Sie die verdächtige Aktivität.
Wenn sich herausstellt, dass Ihr Benutzerkonto gehackt oder Ihre Bankkarte kompromittiert wurde:
- Blockieren Sie Ihr Bankkonto.
- Beantragen Sie eine neue Bankkarte.
- Ändern Sie Ihre Passwörter für die Banking-App und für Ihr Benutzerkonto.
Beachten Sie: Ein echter Bankmitarbeiter wird Sie niemals am Telefon nach Bankkartennummern oder Passwörtern fragen, geschweige denn Ihnen während des Anrufs einen Bestätigungscode senden.
Scannen Sie alle Ihre Geräte mit einem Antivirus auf Spyware und weitere bösartige Programme und beheben Sie erkannte Bedrohungen.
Wenden Sie sich an die Strafverfolgungsbehörden.
Wichtig: Banken haften nicht für Schäden, die aufgrund von betrügerischen Transaktionen entstehen, weil der Nutzer vertrauliche Daten freiwillig preisgegeben oder Schadsoftware installiert hat. Seien Sie achtsam, um nicht auf betrügerische Tricks hereinzufallen.
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
Hier sind unsere Empfehlungen zur sicheren Nutzung von Online-Banking-Systemen:
- Aktualisieren Sie Ihren Antivirus regelmäßig, um zu verhindern, dass Spyware und andere bösartige Anwendungen auf Ihre Geräte gelangen. Täglich gehen beim Virenlabor von Doctor Web bis zu einer Million potenziell schädlicher Proben ein. Zum Glück erweisen sich nicht alle davon als Viren, aber denken Sie nur an diese Zahl! Alle Geräte benötigen einen guten Schutz.
- Nutzen Sie die Zwei-Faktor-Authentifizierung. Zurzeit ist dies das zuverlässigste Schutzverfahren und sollte nicht vernachlässigt werden.
- Sehen Sie davon ab, bei Zahlungen öffentliche WLAN-Netze zu nutzen. Wenn Sie öffentliche WLAN-Netze nutzen, prüfen Sie Sicherheitszertifikate von Websites und sehen Sie davon ab, Online-Banking in Cafés, Kinos, Flughäfen und an weiteren öffentlichen Orten zu verwenden.
- Nutzen Sie nur Websites, die über ein digitales Sicherheitszertifikat verfügen. Um Informationen über das digitale Zertifikat zu prüfen, klicken Sie auf das Schlosssymbol neben dem Namen der Website in der Adresszeile (siehe Screenshots in diesem Artikel). Stellen Sie sicher, dass die Adresse der Website in der Adresszeile richtig ist. Der Unterschied zwischen dem Namen der originalen Website und einer Fälschung könnte unauffällig sein – nur ein vertauschtes Zeichen, ein falscher Buchstabe. Geben Sie Ihre Bankdaten und 2FA-Bestätigungscodes nur auf originalen Websites ein.
- Stellen Sie sicher, dass die Authentifizierungsanfrage an die Bank und nicht an Betrüger gesendet wird.
- Klicken Sie nicht auf Links zu verlockenden Angeboten. Banken senden keine E-Mails mit Links – das tun nur Hacker. Auf Phishing können auch Nachrichten in Messengern und E-Mails hinweisen, die Geld oder Erfolg versprechen, einschüchtern, Mitleid erregen, zur Teilnahme an Wettbewerben auffordern etc.
- Bevor Sie eine Anwendung herunterladen und installieren, stellen Sie sicher, dass die Quelle zuverlässig ist, um keine Malware oder Spyware herunterzuladen. Achten Sie darauf, wie die Animation angezeigt wird, ob alle Schriftarten gleich sind und ob die Seite oder die Anwendung nur tatsächlich notwendige Daten abfragt. Beachten Sie: Wenn Sie Cyberkriminellen Ihre vertraulichen Informationen freiwillig übermitteln, wird die Bank das von Ihrem Konto abgebuchte Geld nicht zurückerstatten.
- Teilen Sie niemandem 2FA-Bestätigungscodes aus SMS-Nachrichten oder E-Mails mit. Auf diese Informationen sollten nur Sie zugreifen können.
#Bankkarte #Hackerangriff #Malware #Zwei-Faktor-Authentifizierung #Online-Banking #personenbezogene_Daten #gefälschte_Bank #Gesichtserkennung #SMS-Nachricht #Social_Engineering #Phishing
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.