Sicherheitshinweise

Online-Kunden, die ein Smartphone mit dem Betriebssystem Android nutzen, sind aktuell Ziel von Betrügern. Mit der vermeintlichen „Sicherheits-App RSA SecurID” schleusen Kriminelle eine Schadsoftware auf das Handy. Und mit dieser App können die Gauner mobileTANs abfangen, auf deren eigenes Handy umleiten und missbräuchlich für Transaktionen verwenden.

Der Betrug läuft in folgenden Schritten ab:

1. Schritt:

Zunächst wird ein ungeschützter Computer mit einem Trojaner infiziert. Meldet sich der Kunden auf diesem verseuchten Rechner zum Online-Banking an, wird ihm eine gefälschte Online-Banking-Seite eingeblendet (siehe Foto unten). Hier erhält der Kunde das Angebot für eine vermeintliche Sicherheits-App für sein Android-Smartphone. Dieses Angebot folgt aus einer angeblichen Zusammenarbeit mit RSA Security LCC. Um diese App auf dem Smartphone zu installieren, soll der Kunde seine Mobilfunknummer angeben.

2. Schritt:

Folgt der Kunde der betrügerischen Anweisung und gibt seine Mobilfunknummer an, senden ihm die Betrüger anschließend eine SMS mit einem Download-Link für die vermeintliche Sicherheits-App. Nach Download und Abschluss der Installation befindet sich nun anstatt einer Sicherheits-App eine Schadsoftware auf dem Smartphone.

3. Schritt:

Durch den vorab mit einem Trojaner infizierten heimischen Computer, haben die Betrüger nun nicht nur Zugriff auf das Konto des Kunden, sondern können durch die Schadsoftware auf dem Smartphone die mobilen TANs des Kunden auf ihr eigenes Handy umleiten und missbräuchlich für Transaktionen verwenden.

Zurzeit sind gefälschte E-Mails mit dem Betreff „Sicherheit im Online-Banking“ im Umlauf. Aufgrund einer Sicherheitsmaßnahme soll sich der Empfänger der E-Mail im Online-Banking anmelden.

So läuft der Betrug ab

Durch Klicken auf den Anmelde-Button in der E-Mail wird der Kunde auf eine Seite geleitet, die der Anmeldeseite des Postbank Online-Bankings zum Verwechseln ähnlich sieht. Diese Seite stammt nicht von der Postbank!

Gibt der Kunde auf dieser gefälschten Seite seine persönlichen Zugangsdaten zum Postbank Online-Banking ein, so wird er wiederum weitergeleitet.

Auch diese nächste Seite sieht den Seiten im Postbank Online-Banking sehr ähnlich. Dreist fragen hier die Betrüger alles ab, was sie sonst noch für ihre Gaunereien haben müssen: Vor- und Nachname, Geburtsdatum und Geburtsort, Giro-Karten-Nummer, Giro-Telefon-PIN und SparCard-Karten-Nummer sowie SparCard-Telefon-PIN.

Vor dem Hintergrund einer Verifikation Ihrer Daten mit TAN Eingabe, versuchen Betrüger mit gefälschten Vorschaltseiten im Online-Banking an Ihr Geld zu kommen.

So läuft der Betrug ab

Auf einem infizierten Computer wird nach Anmeldung zum Online-Banking eine gefälschte Seite eingeblendet. Hier wird der Kunde aufgefordert eine TAN einzugeben. Im selben Augenblick erhält der Kunde automatisch eine SMS mit einer mobileTAN.

Die Betrüger spekulieren darauf, dass der Kunde der Aufforderung zur TAN-Eingabe folgt, ohne den Prüftext in der gesendeten SMS sorgfältig zu lesen.

Mit Eingabe der TAN wird eine Transaktion mit einem bestimmten Betrag von dem Kundenkonto auf ein Fremdkonto transferiert.

Derzeit sind Phishing-Mails mit dem Betreff „Gerichtliche Untersuchung“ im Umlauf. In dieser Mail wird der Adressat aufgefordert, „Dokumente zur Voruntersuchung“ zu lesen, die er über einen Link downloaden soll.

Klicken Sie keinesfalls auf den Download-Link!

Beim Klick auf den Download-Link installiert sich ein Trojaner der Zeus-Familie auf dem PC, der die Zugangsdaten zum Online-Banking auslesen kann, bspw. durch Protokollierung der Tastatureingaben im Browser. Wird der Download-Link auf einem mobilen Endgerät (Smartphone oder Tablet) angeklickt, werden zusätzlich Schadprogramme installiert, die SMS-Nachrichten weiterleiten.

Aktuell versuchen Online-Betrüger durch Versenden von Phishing-Mails mit der Betreffzeile „Ihr Konto wurde limitiert“ an persönliche Daten sowie an Kreditkartendaten von Postbank Kunden zu gelangen.

Mit der Phishing-Mail wird dem Kunden vorgetäuscht, Unbefugte könnten versucht haben, auf sein Konto zuzugreifen. Das müsse er „verifizieren“, denn nur so sei sicherzustellen, dass sein Konto „nicht von Dritten missbraucht werden kann“. Der Kunde wird aufgefordert, einen Link anzuklicken und die weiteren Anweisungen zu befolgen. Sollte er dieser Aufforderung nicht innerhalb von 48 Stunden nachkommen, so sei es „leider notwendig, sein Konto dauerhaft zu sperren“.

Durch Anklicken des Links in der E-Mail gelangt man auf eine Seite, die der Anmeldeseite zum Postbank Online-Banking zum Verwechseln ähnlich sieht. Diese Seite stammt aber nicht von der Postbank!

Gibt der Kunde auf dieser gefälschten Seite seine persönlichen Zugangsdaten zum Postbank Online-Banking ein, so wird er wiederum weitergeleitet.

Auch diese nächste Seite ist dem Postbank Online-Banking sehr gut nachempfunden. Dreist fragen hier die Betrüger alles ab, was sie sonst noch für Ihre Gaunereien haben müssen: Geburtsdatum und Geburtsort des Kunden, EC-Karten-Nummer und Personalausweisnummer. Und zu einer „Identitätsprüfung“  wollen sie schließlich auch noch sämtliche Kreditkartendaten (Kreditkartennummer, Kartenprüfnummer, Ablaufdatum sowie das 3D-Secure Passwort).

So läuft der Betrugsversuch ab

Eine große Sicherheitslücke in der Multimedia-Schnittstelle „Stagefright“ bedroht derzeit Millionen Smartphones mit dem Betriebssystem Android. Cyberkriminellle können über diese Schwachstelle mit manipulierten MMS-Nachrichten Schadcode auf die betroffenen Mobilgeräte einschleusen, um dann Daten zu stehlen, Ton und Video aufzunehmen oder um auf gespeicherte Fotos zuzugreifen. Diese Sicherheitslücke machen sich nun Online-Betrüger im Namen der Postbank zunutze.

In einer nicht von der Postbank stammenden E-Mail mit dem Betreff „Stagefright-Virus bedroht Ihr Konto“ wird vor „Stagefright“ gewarnt. Zugleich wird der Adressat aufgefordert, dem Link in der E-Mail oder dem Link im Anhang zu folgen: So könne er eine Software erhalten, „die den Virus vom Android-Betriebssystem entfernt“.

Folgt man dem Link, so gelangt man auf eine Seite, die der Anmeldeseite zum Postbank Online-Banking zum Verwechseln ähnlich sieht. Auf dieser Seite soll der Nutzer seine E-Mail Adresse, den Benutzernamen/die Kontonummer und sein Passwort/die PIN eingeben. Diese Seite stammt nicht von der Postbank!

Derzeit verbreiten Betrüger Trojaner über E-Mail-Anhänge oder Werbebanner, die sich trickreich auf dem PC einklinken. Von dort aus manipulieren sie das Online-Banking und versuchen, Geld auf Fremdkonten zu überweisen.

So läuft der Betrugsversuch ab

Auf einem durch einen Trojaner infizierten Computer wird nach der Anmeldung zum Online-Banking eine gefälschte Online-Banking-Seite mit der Anzeige „Bitte warten Sie noch eine Minute“ eingeblendet. Diese Einblendung stammt aber nicht von der Postbank! Die Täter verwenden diese Seite um den Kunden-PC mit ihrem eigenen System zu verbinden. Dieses betrügerische System antwortet nun im Namen der Postbank. Am „anderen Ende“ befindet sich jedoch ein Betrüger. Der weitere Dialog findet also mit ihm statt.

Im nächsten Schritt wird der Kunde aufgefordert über seinen chipTAN-Generator eine TAN zu generieren. Auf der gefälschten Seite werden dem Kunden ein Startcode und danach Transaktionsdetails angezeigt. Der Kunde wird aufgefordert, diese Daten in den chipTAN-Generator einzugeben. Abschließend soll er die auf seinem chipTAN-Generator angezeigte TAN in das Eingabefeld eintippen. Mit dieser TAN können die Täter nun eine Überweisung durchführen oder ein weiteres Autorisierungsverfahren einrichten. Damit haben die Täter vollen Zugriff auf das Konto des Kunden.

Hier finden Sie ähnlich gefälschte Webseiten, die auf Betrug mit der mobileTAN abzielen:

Ein Paket ist auf dem Weg zu Ihnen. Nichts Besonderes im Zeitalter des Online-Shoppings. Doch gefährlich, wenn die Paketankündigungsnachricht gar nicht vom Paketdienst kommt.

Cyberkriminelle versenden derzeit massenhaft gefälschte E-Mails unter dem Namen von Dienstleistern wie DHL und UPS, in denen angebliche Pakete angekündigt werden.

Die täuschend echt aussehenden E-Mails haben zumeist einen Betreff wie: „Paketankündigung zu Ihrer Sendung…", „Informationen betreffend Ihren Versand…“ oder „DHL Sendungsverfolgung“. Außerdem enthalten sie einen Link, über den man „die Sendung verfolgen“ kann, oder einen Dateianhang mit „detaillierten Empfängerinformationen“. Doch Vorsicht! Sobald der Empfänger diesen Link anklickt oder den Dateianhang öffnet, wird ein Trojaner auf dem Computer installiert, der bankenunabhängig die Zugangsdaten zum Online-Banking auslesen kann.

So können diese E-Mails aussehen:

Angeblich von der Postbank stammende E-Mails fordern zur Installation einer „SSL-Zertifikat App” auf. Bei der App handelt es sich um einen Trojaner für Android-Smartphones, der unter anderem PIN und mTANs fürs Online-Banking stehlen will.

Wer dem Link am Ende der Mail mit einem Android-Phone folgt, wird angeleitet, eine App zu installieren, die (auf Kommando) in der Lage ist, SMS aus dem Handy auszulesen und an Dritte weiterzuleiten.

Nach Abschluss der Installation wird die PIN des Online-Banking-Zugangs angefordert – angeblich für die „Authentifizierung des EV-SSL-Zertifikat[s] mit der Bank”.

Die Täter haben nun alles für den elektronischen Bankraub. Mit Ihrer Online-PIN haben sie Zugang zu Ihrem Bankkonto und mit der App können sie sich die mobileTAN für eine Schadüberweisung einfach auf ein eigenes Handy leiten.

Beispiel einer gefälschten E-Mail:

Online-Banking-Kunden, die ein Smartphone mit dem Betriebssystem Android nutzen, sind derzeit das Ziel von dreisten Betrügern. Der Betrugsversuch läuft folgendermaßen ab:
Die Online-Banking-Kunden erhalten eine SMS an Ihre Mobilfunknummer. In der SMS wird dem Kunden vorgegaukelt, dass er einen Bonus von 50 Euro erhält, wenn er für sein Konto (die korrekte Kontonummer wird in der SMS genannt) eine App installiert.

Über einen Link in der SMS kommt der Kunde dann auf eine gefälschte Webseite, die der Postbank Webseite nachempfunden ist und es wird automatisch eine App installiert, die Schadsoftware enthält. Von da an können die Kriminellen eingehende SMS mit der mobileTAN abfangen, auf ihr eigenes Handy umleiten und Transaktionen durchführen.

So sieht die gefälschte Postbank Webseite aus:

Derzeit sind neue Phishing-Mails zum Thema SEPA im Umlauf. Die Empfänger der E-Mails werden darin aufgefordert, eine neue, unbekannte Mobilfunknummer zu hinterlegen oder eine bereits unbekannte hinterlegte zu bestätigen.

Der Link in der Nachricht führt auf eine gefälschte Seite des Postbank Online-Bankings. Gibt der Bankkunde dort seine Login-Daten preis, geraten diese in die Hände der Betrüger. Diese können dann ihre eigene Mobilfunknummer im Online-Banking des Bankkunden hinterlegen.

Wenige Tage später geht dem Bankkunden per Post ein Aktivierungsschreiben zu, in dem er aufgefordert wird, die neue, unbekannte Mobilfunknummer zu aktivieren. Kommt der Bankkunde dieser Aufforderung nicht nach, wenden sich die Betrüger kurze Zeit später aufs Neue per Briefpost oder E-Mail an den Bankkunden und fordern ihn erneut auf, die neue Mobilfunknummer zu aktivieren. Kommt der Bankkunde dieser Aufforderung nach und aktiviert die neue Mobilfunknummer, können die Täter frei über das Konto verfügen.

So sieht die Phishing-Mail aus:

Betrüger versuchen, mit gefälschten Vorschaltseiten im Online-Banking an Ihr Erspartes zu gelangen. Dabei gaukeln Ihnen die Gauner mit Hilfe einer Schadsoftware vor, auf Ihrem Konto sei versehentlich eine Gutschrift eingegangen (z. B. vom Finanzamt). Diese Gutschrift sei jedoch ein Irrtum und Sie sollen dieses Geld sofort zurücküberweisen.

In den meisten Fällen setzen die Täter den Kunden mit dem Vorwand unter Druck, dass Konto könnte erst wieder freigeschaltet werden, wenn sie die Rücküberweisung umgehend vornehmen.

Die Umsatzanzeige ist durch eine Schadsoftware manipuliert und gaukelt die Gutschrift einer „Fehlüberweisung“ vor, die tatsächlich gar nicht eingegangen ist. Manchmal wird sogar neben der Position „Gutschrift“ ein Button „Retouren“ angezeigt, den es im echten Postbank Online-Banking nicht gibt. Klickt der Kontoinhaber auf diesen Button, so wird er direkt zur Überweisung weitergeleitet. Die Schadsoftware füllt das Überweisungsformular automatisch mit den Empfängerdaten der Betrüger aus. Wenn der Kontoinhaber diese Überweisung freigibt, überweist er aus dem eigenen Konto Geld an die Betrüger.

Im Anschluss zeigt die manipulierte Umsatzanzeige die Fehlgutschrift und die tatsächlich durchgeführte Überweisung an.
Sollten Sie ein solches Bild in Ihrem Online-Banking angezeigt bekommen, ist schnelles Handeln gefragt. Rufen Sie bitte sofort die Postbank unter der Rufnummer 0800 1008906 an.

Derzeit versuchen Betrüger mit Hilfe gefälschter E-Mails, Bankkunden das Passwort für Ihren BestSign-Zugang zu entlocken, um damit Überweisungen in die eigene Tasche zu veranlassen.

Aktuell ist die folgende unten gezeigte Phishing-Mail mit Betreff „Postbank BestSIGN” im Umlauf, deren Absender nicht die Postbank ist.

Bankkunden werden mit dieser E-Mail aufgefordert, anhand einer Datei, die als E-Mail-Anhang mitgeschickt wird, ihr BestSign-Passwort zu ändern. Im unten gezeigten Formular sollen dabei sowohl das bisherige als auch das neue Passwort für den BestSign-Zugang und die Zugangsdaten für das Postbank Online-Banking eingegeben werden. Geben Sie Ihr BestSign-Passwort nur in Verbindung mit einer Transaktion an Ihrem Handy ein, die Postbank wird niemals Ihr BestSign-Passwort an anderer Stelle abfragen.

Erneut versuchen Internet-Betrüger mit äußerster Gerissenheit an das Geld von Bankkunden zu gelangen. Diesmal mit gefälschten Vorschaltseiten.

So läuft der Betrugsversuch ab

Auf  einem infizierten Computer wird nach Anmeldung zum Online-Banking die gefälschte Seite, zum Beispiel die eines Mobilfunkanbieters, eingeblendet. Dem Kunden wird auf dieser Seite vorgegaukelt, die Bank habe ihren Mobilfunkanbieter gewechselt und deshalb müsse die Mobilfunknummer „geprüft” werden, die der Kunde zum mobileTAN-Verfahren hinterlegt hat.

Das Wort „Phishing” ist vielen Menschen nur im Zusammenhang mit E-Mails bekannt. Aber es gibt auch andere Arten von Phishing, wie der aktuelle Fall zeigt.

Betrüger versenden Schreiben, die kaum von Originalschreiben der Bank zu unterscheiden sind. Die Briefe sind korrekt adressiert, im Schreiben selbst werden weitere Kundendaten wie Kontonummer, Bankleitzahl und sogar das korrekte Geburtsdatum genannt. Mit dem Schreiben wird der Kunde aufgefordert, aus Sicherheitsgründen über eine Internetseite (in diesem Fall www.postbank-sicherheit.com) sein Girokonto zu verifizieren. Auch wird ein angeblicher Verifizierungscode genannt.

Wichtiger Hinweis: Folgen Sie in keinem Fall der Aufforderung, den Link im Internet einzugeben.

Die Zieladresse (www.postbank-sicherheit.com) leitet nach Eingabe der richtigen Kombination von Kontonummer und Verifizierungscode (aus dem Brief) auf eine Seite weiter, auf welcher bereits sämtliche Kundendaten voreingetragen sind und nur noch die Telefon-Geheimzahl (Telefon-Banking-PIN) eingetragen werden soll. Nach Eintrag der Telefon-Banking-PIN gelangt man auf eine Ausgangsseite.

Erneut versuchen Betrüger mit Hilfe gefälschter E-Mails, Bankkunden sensible Kunden- und Kreditkartendaten zu entlocken.

Aktuell ist folgende Phishing-Mail im Umlauf – diese stammt nicht von der Postbank:

Willkommen zu Postbank,

Sehr geehrte Kunden,

Aufgrund von sicherheitstechnischen Mängeln in diversen größeren Onlineshops in Deutschland sind wir gezwungen, unsere Kunden einer Kartenverifizierung zu unterziehen. Wenn Sie eine Mastercard besitzen, empfehlen wir Ihnen, diese Kartenverifizierung sofort durchzuführen um eine allfällige Kartensperrung zu verhindern.

Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem Schutz zu sperren.

Bitte laden Sie sich das Formular im Anhang zu dieser E-Mail und öffnen Sie sie in einem Web-Browser.

Einmal geöffnet, werden Sie mit den Schritten auf Ihr Kartenkonto Wiederherstellung bereitgestellt werden.

Wir bitten um Ihr Verständnis, da wir auf Ihr Konto Sicherheit arbeiten.

Herzlichen Dank für Ihr Verständnis

Harald Fischer
Postbank Sicherheitsteam Deutschland
© 2014 Postbank

So sieht das gefälschte Eingabeformular aus, das als Anhang der E-Mail an die Betroffenen geschickt wird:

Bankkunden werden mit dieser E-Mail aufgefordert, entweder über einen Link oder anhand einer Datei, die als E-Mail-Anhang mitgeschickt wird, persönliche Daten und/oder Ihre Kreditkartendaten einzugeben.

Betrüger versuchen derzeit Online-Banking-Nutzer abzuzocken, die das chipTAN comfort-Verfahren nutzen.

Bei chipTAN comfort muss bei jeder Transaktion die Bankkarte in ein spezielles Lesegerät gesteckt werden, das anschließend auf den so genannten Flickercode gehalten wird. Durch das Blinken wird für die anstehende Transaktion eine passende Transaktionsnummer (TAN) generiert.

So funktioniert der Betrug

Auf dem Rechner des Kunden wird ein Trojaner installiert. Dieser Trojaner zeigt nach dem Anmelden im Online-Banking eine gefälschte Seite an. Auf dieser Seite wird dem Kunden gesagt, dass der chipTAN-Generator synchronisiert werden muss. Hierzu soll der Nutzer das Gerät auf einen Flickercode halten und die generierte TAN in ein Formular eintippen. Gibt der Kunde die TAN wie aufgefordert ein, wird eine Überweisung ausgeführt – auf das Konto des Betrügers.

Die Daten zu der betrügerischen Überweisung werden auf dem chipTAN-Gerät angezeigt, doch darauf sind die Betrüger vorbereitet: Mit einer Abfrageliste fordern sie den Kunden auf, die Daten der vermeintlichen Test-Überweisung auf Bildschirm und dem chipTAN Gerät zu vergleichen und zu bestätigen.