Die Angriffsart beginnt mit dem unbewussten Installieren eines schädlichen Trojaners auf dem E-Banking-Computer zu Hause. Loggt sich ein Kunde dann in sein E-Banking-Konto ein, erscheint eine Meldung, dass ein neues «E-Security-Zertifikat» installiert werden müsse.
Der Kunde wird aufgefordert, den Typ seines Smartphones, sowie die Telefonnummer anzugeben. Angeblich für die Bestätigung via Sicherheits-SMS. In Tat und Wahrheit haben die Kriminellen jetzt alles, was sie für einen Angriff auf das Smartphone brauchen:
Mit dem SMS wird ein Link gesendet. Klickt ihn der Kunde auf dem Smartphone an, wird auf dem Handy ebenfalls eine schädliche Software installiert. Sie ist genau auf das Betriebssystem des Handys angepasst und erlaubt es den Angreifern, die für das E-Banking notwendigen SMS abzufangen. Sie können dann während einer E-Banking-Session Geld vom Konto abbuchen.
Zweifelhaftes E-Banking sofort stoppen
Die Bundesstelle für Informations-Sicherheit MELANI empfiehlt allen E-Banking-Kunden Folgendes zu unternehmen:
- den E-Banking-Vorgang keinesfalls fortzusetzen.
- die Verbindung zum E-Banking zu schliessen (Logout-Button).
- unverzüglich mit der Bank in Kontakt zu treten.
Ausserdem weist MELANI darauf hin, dass Schweizer Banken ihre Kunden niemals durch Bildschirm-Einblendungen oder per SMS dazu auffordern, neue Sicherheitselemente zu installieren.
«Kassensturz» hackte E-Banking-Systeme
«Kassensturz» hat im Mai 2011 die in der Schweiz weitverbreitetsten E-Banking-Systeme getestet. Das Test-Ergebnis war brisant: Den Hackern gelang es in drei von fünf Konten einzudringen. Die sicheren Systeme waren damals diejenigen mit SMS-Bestätigung für eine Zahlung.
