E-Banking-Hacker werden immer gewiefter. In den vergangenen Wochen sind Fälle bekannt geworden, in denen es Kriminellen gelang, ihre Opfer zu betrügerischen Zahlungen zu verlocken. Selbst die neueren Sicherheitsmassenahmen beim bequemen E-Banking befreien nicht davon, auf der Hut zu sein.
Viele Banken setzten seit Längerem mobile Authentifizierungsmethoden ein, seis beim Login, seis beim Visieren einzelner Zahlungen. Beim Mobile-Tan-Verfahren zum Beispiel sendet die Bank einen Bestätigungs-Code via SMS an den Kunden. «Kriminelle versuchen schon seit einigen Jahren, mittels Smartphone-Malware die SMS-Bestätigungs-Codes auf dem Smartphone des Kunden abzufangen und danach für E-Banking-Betrug zu verwenden», heisst es am Dienstag in einer detaillierten Mitteilung der Melde- und Analysestelle Informationssicherung des Bundes (Melani).
Die IT-Entwickler haben deshalb alternative Authentifizierungsmethoden entwickelt, die bereits im Einsatz sind. Dem Kunden wird beim Login oder zum Visieren einer Zahlung ein sogenannter QR-Code oder ein Mosaik im E-Banking-Portal angezeigt, worauf er dieses Symbol per Smartphone-App einscannt. Photo-Tan, Cronto-Sign und SecureSign heissen drei dieser neueren Authentifizierungsmethoden, die von Schweizer Banken inzwischen verwendet werden.
«Prinzipiell» gelten diese Methoden als sicher, hält Melani fest. Das heisst für die IT-Sicherheitsbehörde aber nicht, dass man nicht dennoch aufpassen muss. Denn: «Melani hat Kenntnis von aktuellen E-Banking-Betrugsversuchen auf Authentifizierungsmethoden wie Photo-TAN, Cronto-Sign oder Secure-Sign», heisst es in der Mitteilung weiter.
Kunden liessen sich «in vielen Fällen durch Social Engineering täuschen und visieren Zahlungen auch dann, wenn sie den Vorgang als betrügerisch erkennen könnten», so die IT-Sicherheitsbehörde. Dies zum Beispiel dann, wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt wird oder wenn bereits beim Login-Vorgang Zahlungsdaten eingeblendet werden.
Also Augen auf, warnt Melani. Wenn beim Login schon eine Zahlung visiert sein will, stimmt etwas nicht. Und weiter empfiehlt die Behörde: Bei der Visierung von Zahlungen immer Text, Empfänger und Betrag zu überprüfen und Apps nie aus unbekannten Quellen herunterzuladen.
Und wenn vor oder nach dem E-Banking-Login irgendwelche suspekten «Sicherheitsmeldungen» oder «Fehlermeldungen» aufpoppen: «Kontaktieren Sie unverzüglich Ihre Bank!»
