Angriffe auf das Online-Banking

Das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor neuer Schadsoftware, mit deren Hilfe Bankkunden beim Online-Banking ausgespäht werden und in der Folge geschädigt werden können.

Werden Sie misstrauisch wenn...

• unerwartete Handlungsempfehlungen erfolgen;
• eine eingegebene TAN als angeblich ungültig zurückgewiesen wird;
• die Eingaben mehrerer TAN gleichzeitig erwartet werden;
• die Aufforderung erfolgt, ein angeblich gesperrtes Konto müsse entsperrt werden und dazu wäre eine TAN einzugeben;
• unerklärliche Programmabbrüche erfolgen oder
• Wartungsarbeiten am Bankserver vorgegaukelt werden, die zu Umleitungen auf andere Server führen

Wenn solche Besonderheiten beim InternetBanking auftauchen, brechen Sie die Transaktion ab und melden Sie sich bei uns.

Werden Sie misstrauisch wenn...

• unerwartete Handlungsempfehlungen erfolgen;
• eine eingegebene TAN als angeblich ungültig zurückgewiesen wird;
• die Eingaben mehrerer TAN gleichzeitig erwartet werden;
• die Aufforderung erfolgt, ein angeblich gesperrtes Konto müsse entsperrt werden und dazu wäre eine TAN einzugeben;
• unerklärliche Programmabbrüche erfolgen oder
• Wartungsarbeiten am Bankserver vorgegaukelt werden, die zu Umleitungen auf andere Server führen

Wenn solche Besonderheiten beim InternetBanking auftauchen, brechen Sie die Transaktion ab und melden Sie sich bei uns.

Bei sogenannten "Phishing-Attacken" versuchen Betrüger im Internet mit gefälschten eMails und Internet-Sites geheime Informationen von Internet-Nutzern zu erschleichen: Eine eMail scheint von einem seriösen Anbieter zu stammen; der Absender und der Inhalt der eMail ist jedoch gefälscht (sogenannte "SCAM E-Mails"). Der Empfänger der eMail wird mit plausibel klingenden Worten aufgefordert, eine bestimmte (gefälschte) Web-Site zu besuchen und dort geheime Daten einzugeben. Dies erfolgt in der Regel als Link in der Phishing eMail. Die Phishing Web-Site hat meist eine sehr ähnliche Adresse und Oberfläche, wie die Web-Site des seriösen Anbieters. Gibt der Internet-Nutzer auf dieser Web-Site seine Daten ein, so kann der Betrüger diese Daten - meist zum finanziellen Nachteil des Internet-Nutzers- missbrauchen.

Bei solchen "Phishing-Attacken" werden z.B. Bankkunden aufgefordert, auf der nachgestellten eBanking Login-Seite Kundennummer und PIN einzugeben. In einem darauf folgenden Formular werden dann Informationen rund um die Bankverbindung des Kunden abgefragt: Z.B. Konto-Nummer, Kreditkarten-Nummer, PINs und TANs etc.

Beispiel eine Phishing-Mail

*****************************************************************************

Sehr geehrter Volksbank/Raiffeisenbank Kunde,

im Zuge unserer Systemumstellung vom 26. April 2004 ist noch ein Abgleich Ihrer Daten notwendig, um das Onlineangebot unserer Bank nutzen zu können. Gehen Sie hierzu bitte direkt auf unsere eBanking/eBrokerage Seite, zu erreichen unter www.vr-networld-***.*** und loggen Sie sich wie gewohnt in den Kundenbereich ein. Folgen Sie dort den Anwesiungen auf der Formularseite zum Datenabgleich. Wir bedanken uns für Ihre Zusammenarbeit und verbleiben mit der Hoffnung, dass Sie uns auch weiterhin treu bleiben.

Service Team der Volksbanken/Raiffeisenbanken Deutschland www.vr-networld-ebanking.net ******************************************************************************

Was kann ich tun?

Die Betrüger nutzen ein neues Medium für Ihre alten Tricks: So wie sie bisher versuchen geheime Informationen von Kunden in einem Telefongespräch zu erschleichen, nutzen sie jetzt das neue Medium Internet. D. h. die Grundregel für Kunden ist gleich geblieben: Gehen Sie vorsichtig mit Ihren eigenen, vertraulichen Daten um! Seien Sie kritisch im Umgang mit Internet-eMail und beim Surfen im Internet!

• Surfen Sie nicht mit administratriven Berechtigungen im Internet und lesen Sie so keine Internet eMails (Z. B. unter der Anmeldung mit dem MS Standardbenutzer "Administrator")
• Öffnen Sie niemals Dateianhänge die Sie nicht erwarten, auch wenn Ihnen der Absender vermeintlich bekannt vor kommt.
• Ignorieren Sie E-Mails, auch wenn Ihnen der angezeigte Absender bekannt ist, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden.
• Folgen Sie niemals Links in eMails, die sie unaufgefordert erhalten, auch nicht, wenn ihnen der Absender vermeindlich bekannt ist. Antworten Sie nicht auf solche eMails.
• Beachten Sie, dass E-Mails im Regelfall unverschlüsselt sind und mitgelesen werden können (vergleichbar einer elektronischen Postkarte). Vermeiden Sie es grundsätzlich persönliche Informationen oder vertrauliche Daten per eMail unverschlüsselt zu versenden.
• Achten Sie auf Veröffentlichugen Ihres Internet-Anbieters auf dessen Web-Sites!
• Ihre Bank wird Sie nie per eMail auffordern, Ihre persönlichen Daten und vertrauliche Informationen wie Bankkonto- oder Kreditkartennummern preiszugeben.
• Fragen Sie sich, ob die auf der Webseite geforderten Eingaben in Zusammenhang mit der von Ihnen gewünschten Aktion Sinn machen.
• Öffnen Sie sicherheitsrelevante Seiten immer in einer neuen Browser-Sitzung, nachdem Sie vorher alle Browser-Fenster geschlossen haben.
• Rufen Sie Ihre eBanking-Anwendung ausschließlich über die Ihnen bekannten Startseiten auf, z. B. über die Homepage Ihrer Bank
• Lassen Sie -falls möglich- ein Limit für die maximale Höhe von eBanking-Überweisungsbeträgen einrichten.
• Sollten Sie versehentlich eine zweifelhafte Internetseite besucht und Ihre Daten (eBanking PIN, eBanking TANs, Kreditkartennummern und PIN, EC-Kartennummer und PIN...) preisgegeben haben, so lassen Sie am sichersten die betroffene Karten und Konten sperren. Ändern Sie mindestens die PIN und sperren Sie betroffene TAN-Bögen. Wenden Sie sich in jedem Fall an Ihren Bank-Berater!

Stellen Sie bitte sicher, dass Ihr PC virenfrei ist.

Dies ist am besten durch einen regelmäßigen Virencheck mit einem der bekannten Virenscan-Programme zu erreichen.

Aktuelle Antiviren-Software erhalten Sie im Fachhandel.

Browser-Software

Bitte setzen Sie für eBanking/Brokerage nur vom Hersteller freigegebene Versionen der Internet Browser (Firefox, Mozilla, Netscape bzw. Internet-Explorer) ein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Internet Browser Firefox und Mozilla.

Achten Sie darauf, dass Sie die eingesetzte Browser-Software aus vertrauenswürdigen Quellen bezogen haben, so dass sichergestellt ist, dass es sich um unveränderte Originalsoftware handelt. Aus Sicherheitsgründen sollten Sie beim Microsoft Internet Explorer ActiveX deaktivieren.

Keine Chance für Computer-Schädlinge

Zurzeit sind verstärkt Schadprogramme im Einsatz, so genannte Trojaner. Eine Version dieser Trojaner ist in der Lage, die Onlinebanking-Anwendung zu manipulieren. Deshalb: Schützen Sie Ihren Computer vor ungebetenen Gästen, und beachten Sie unsere Sicherheitshinweise!

Trojaner, oder trojanische Pferde, können auf unterschiedliche Wege Ihren PC erreichen.

• Der klassische Fall ist ein vermeintlich harmloser Download, durch den sich der Trojaner auf der Festplatte installiert. Durch den Start des Downloads (beispielsweise einer Internet-Grußkarte) werden die Trojaner aktiv und entfalten Ihre schädliche Wirkung.
• Trojaner sind oft in E-Mails versteckt, die Betrüger an Bank-Kunden verschicken (Phishing Mails). Wer Datei-Anhänge anklickt, die in diesen gefälschten E-Mails integriert sind, riskiert, dass er einen Trojaner installiert.
• Oft sind diese E-Mails gefälschte Rechnungen, in denen Links auf Anhangsdateien wie "Rechnung.pdf.exe" enthalten sind. Meist bauen die Betrüger in den E-Mail-Betreffzeilen einen hohen psychologischen Druck auf - beispielsweise durch die Aufforderung, einen hohen Rechnungsbetrag zu zahlen.
• Trojaner (und andere Schadprogramme) können auch über Sicherheitslücken Ihres Browser-Programms auf Ihren PC gelangen. Sogar das bloße Anklicken einer Internet-Seite kann ausreichen, um ein schädliches Programm zu aktivieren.

Welche Gefahr besteht für das Onlinebanking?

Im Internet kursieren viele Trojaner. Einige stammen von Betrügern, die es auf das Geld von Onlinebanking-Kunden abgesehen haben. Dafür haben sie Trojaner programmiert, von denen es unterschiedliche Varianten gibt.

• Es gibt Trojaner, die die Banking-Sitzung des Nutzers "beobachten" und die Eingabe von Zugangs- und Transaktions-Nummern PIN und TAN kopieren. Oft unterbricht der Computer-Schädling die PIN/TAN-Eingabe des Nutzers und sendet die abgefangenen Daten übers Internet an den Betrüger.
• In einem anderen Fall manipuliert der Trojaner die Internetbanking-Transaktion während der Anwendung, indem er zum Beispiel das Zielkonto ändert. Der Kunde erkennt dies nicht daran, dass die Transaktion abgebrochen wird, sondern erst, indem er die Umsatzanzeige kontrolliert.
• In einem aktuellen Fall blendet der Trojaner beim Start der Internetbanking-Anwendung gefälschte Seiten ein, beispielsweise eine Eingabemaske für Kontonummer, PIN und Transaktions-Nummer.

Zur Identifizierung gegenüber unserem eBanking-Rechner benötigen Sie von uns PIN und TAN.

Die PIN (Persönliche Identifikations-Nummer) dient für Sie als Ihr "elektronischer Ausweis" um über unseren Internet-Rechner Zugang zu Ihrem Konto zu erhalten. Sie müssen die erhaltene PIN vom Vorgabewert auf einen individuellen Wert abändern. Verwenden Sie für Ihre individuelle PIN-Nummer dabei keine einfachen, leicht zu erratende Begriffe wie den eigenen Vornamen, Geburtsdaten oder ähnliche Wörter. Unter Verwendung der PIN-Nummer erhalten Sie Zugriff auf Ihre Kontendaten. Sie können mit Ihrer PIN Informationen über Ihren aktuellen Kontenstand bzw. über Kontoumsätze abfragen. Alle Vorgänge im Internet-Banking die zu einem Geschäftsvorgang führen, wie z.B. Überweisungen, Bestellungen werden zusätzlich noch durch die Eingabe einer TAN-Nummer (Transaktions-Nummer) abgesichert. Die TAN-Nummer übernimmt dabei die Funktion einer "elektronischen Unterschrift". Wir bieten Ihnen zwei verschiedene TAN-Verfahren:

sm@rt-TAN Plus: hier erzeugen Sie für jede Transaktion mit Hilfe Ihrer Kontokarte und einem TAN-Generator eine TAN

mobile TAN: hier erhalten Sie Ihre TAN per SMS auf Ihr Mobiltelefon

Jede TAN-Nummer kann dabei nur für 1 Vorgang verwendet werden. Nach Abschluß des Vorgangs wird die verwendete TAN-Nummer ungültig. Durch die Verwendung von PIN und TAN ist sichergestellt, dass nur Sie von Ihrem Konto Bankgeschäfte per eBanking durchführen können bzw. vertrauenswürdige Informationen abfragen können.

Unsere Mitarbeiter werden Sie keinesfalls, weder per E-Mail noch telefonisch,

dazu auffordern, Ihre Zugangsdaten in Verbindung mit Ihrer persönlichen PIN und/oder TAN preiszugeben.

Geheimhaltung

Bitte achten Sie unbedingt darauf, dass Sie Ihre PIN immer unter Verschluß halten und kein unberechtigter Dritter Zugriff auf diese Daten bekommt. 

Automatische Zeitüberwachung

Verlassen Sie die eBanking-Anwendung bitte immer ordnungsgemäß über den Navigationspunkt "Abmelden" (links oben).

Sollten Sie einmal vergessen haben, die Anwendung zu beenden, oder längere Zeit Ihren Rechner unbeaufsichtigt lassen, keine Angst: Die eingebaute Zeitsperre bricht das Programm ab, sobald fünfzehn Minuten lang keine Eingabe erfolgte.