Heute müssen sich Bankkunden beim E-Banking meist mit einem Zweitgerät – zum Beispiel einem Smartphone – zusätzlich identifizieren. Oft geschieht das mit Mosaiken oder QR-Codes. Das sind Muster, die per Smartphone ab dem Computer-Bildschirm fotografiert werden. Dieses System galt lange als sehr sicher.
Doch bereits Ende 2016 gelang es Hackern, diese Authentifizierungmethode zu überlisten. Sie veränderten die Daten von Zahlungen so, dass Geldüberweisungen statt an den berechtigten Empfänger an die Betrüger weitergeleitet wurden (siehe Linkbox «Mehr zum Thema»).
Mosaikbild öffnet Tür und Tor
Nun informierte die Melde- und Analysestelle Informationssicherung des Bundes (Melani) über eine neue Masche: Seit rund zwei Wochen beobachte man vermehrt Angriffe, bei welchen Kriminelle versuchten, an Aktivierungsbriefe von Banken zu gelangen. Die Betrüger fordern die Opfer auf, dieses Schreiben einzuscannen oder zu fotografieren und an sie zu übermitteln.
Mit dem Mosaikbild, dass sich auf diesen Briefen befindet, wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen. Einmal im Besitz dieses Bildes, können sich die Betrüger jederzeit ohne das Wissen des Opfers für das E-Banking-Portal registrieren, sich dort einloggen und Zahlungen ausführen.
Wer ist betroffen?
Hilfreiche Links
Vorsichtig sollten alle Benutzerinnen und Benuzter von PhotoTAN, CrontoSign und SecureSign sein. Egal, ob sie ein Smartphone mi iOS- oder Android-Betriebssystem haben.
Was gilt es zu beachten?
Melani rät im Umgang mit E-Banking:
- Der Aktivierungsbrief von der Bank ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
- Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
- Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
- Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. «rooten», „«jailbreaken»).
- Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald solche Aktualisierungen vorhanden sind.
- Sollten Sie beim Login ins E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank.
Weitere Details dazu finden Sie hier.
