Neue Phishing-Angriffe! Kunden dieser Banken müssen aufpassen!
In der digitalen Welt, die sich ständig weiterentwickelt, ist es ein regelmäßiges Spiel von Katz und Maus zwischen Verbrauchern und Cyberkriminellen. Besonders groß ist die Gefahr für Bankkunden, insbesondere für die der Sparkasse und ING. Phishing-Angriffe nehmen stetig zu und erfordern von Euch schnelle Reaktionen und höchste Wachsamkeit. nextpit fasst die Lage für Euch zusammen.
Aktuelle Betrugsmaschen: So tappen Bankkunden in die Falle
Die Verbraucherzentrale hat aktuell Berichte über gefälschte Anfragen von Sparkasse- und ING-Kunden erhalten. Diese Mails erscheinen im ersten Moment harmlos und verlangen oft eine Aktualisierung Eurer Kontodaten. Die Betrüger versuchen, das Vertrauen der Empfänger zu gewinnen, indem sie vermeintliche Service-Anfragen formulieren. Hier ein typisches Beispiel:
- Eine E-Mail der Sparkasse fordert Euch auf, Eure Kontodaten zu aktualisieren, um den „besten Service“ zu gewährleisten. Klickt Ihr auf den Link, gelangt Ihr auf eine täuschend echte, aber gefälschte Website, die Eure Daten abgreifen möchte.
- Ähnlich gefährlich ist eine Nachricht von der ING, die Euch droht, Euer Konto zu sperren, wenn Ihr innerhalb von 48 Stunden nicht reagiert.
Die Phishing-Mails zeichnen sich durch eine Vielzahl technischer Raffinessen aus, wie etwa gefälschte Senderadressen und ansprechende Designs. Umso wichtiger ist es, die Mails genau zu überprüfen: Rechtschreibung, Grammatik und die persönliche Ansprache sind Indikatoren für Betrug. Wenn die Mails keinen direkten Bezug zu Eurem bisherigen Konto aufweisen, solltet Ihr äußerst skeptisch werden.
Der Zustand von Phishing 2024
In diesem Jahr haben Kriminelle wiederholt große Unternehmen ins Visier genommen. Die Liste der betroffenen Institutionen wächst, und Ihr könnt sicher sein, dass größere Anbieter mehr Opfer anziehen. Einige bekannte Unternehmen, die bereits von Phishing-Angriffen betroffen sind, umfassen:
- 1&1
- Booking.com
- Comdirect
- Commerzbank
- Consorsbank
- Deutsche Bahn
- Deutsche Bank
- DHL
- Disney+
- DKB
- FedEx
- Hypovereinsbank
- ING
- IONOS
- Klarna
- LBB
- McAfee
- N26
- Netflix
- PayPal
- Postbank
- Santander
- Schufa
- Sparkasse
- Targobank
- Telekom
- TF Bank
- VR-Bank
- WEB
Die Masche ist stets ähnlich: zunächst eine gefälschte Benachrichtigung, gefolgt von einem Link zu einer Phishing-Seite. Hier wird Euch oft gedroht, dass Euer Konto gesperrt wird, wenn Ihr nicht sofort handelt.
Phishing erkennen und verhindern
Eure Wachsamkeit ist der erste Schritt zur Abwehr gegen Phishing. Achtet auf folgende Punkte, um Euch abzusichern:
- Überprüft den Absender: Ist die E-Mail-Adresse legitim?
- Seht Euch den Inhalt genau an: Gibt es Schreibfehler oder unprofessionelle Formulierungen?
- Vertraut keiner E-Mail, die Euch zu einer dringenden Handlung auffordert.
Zusätzlich solltet Ihr immer die Zwei-Faktor-Authentifizierung (2FA) aktivieren, um Eure Konten besser zu schützen. Diese zusätzliche Sicherheitsebene macht es Angreifern erheblich schwerer, auf Eure Daten zuzugreifen. Bleibt wachsam und informiert Euch regelmäßig über die neuesten Phishing-Methoden, um nicht Opfer dieser gefährlichen Maschen zu werden!
Habe den Mist jetzt schon 2x von der ING bekommen sollte innerhalb 48 aktualisieren sonst kein Zugriff mehr.
Das Problem ist, dass viele Banken für das Einloggen bis heute kein 2FA anbieten, sondern immer nur für Überweisungen mit photoTAN & Co. arbeiten. Diese "Alle 90 Tage prüfen"-Methode ist doch für die Katz wie man sieht.
-
Staff
vor 2 Monaten Link zum KommentarWitzig, dass du es erwähnst. Ich musste heute Morgen an genau diese Problematik denken. Wieso gibt es keine 2FA bei Banken? Das ist meiner Meinung nach die pragmatischste Lösung, um dem Phishing oder anderen Sicherheitsproblemen etwas entgegenzuwirken.
Mich erinnert das an die Absicherung unserer Smartphones. Face-ID und Fingerabdruck scheinen ja auf den ersten Blick recht sicher, wenn jedoch ein Fremder in solch ein Gerät vordringen will, benötigt er im Endeffekt trotzdem nur den altbackenen, einfachen Zahlencode.
Ja genau, am besten noch mit nur 4 Ziffern.
"Wieso gibt es keine 2FA bei Banken?"
Gibt es ja eigentlich. Du meldest dich an und brauchst, um Geld zu versenden, eine zweite Methode, z. B. den TAN-Generator. Nur für die Anmeldung würde meines Erachtens nach eine 2FA keinen Sinn machen, weil du ja außer Kontostand und Bewegungen checken nichts tun kannst. Die Gefahr besteht ja auch darin, dass heute viele Online Banking am Smartphone machen und da bringt dann auch die 2FA nicht viel, wenn das alles auf einem Gerät erfolgt und zusammenläuft.
Die 2FA ist beim Online-Banking bereits seit Inkrafttreten der zweiten europäischen Zahlungsdiensterichtline (PSD2) 2019 verpflichtend vorgeschrieben:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/PSD2_200819.html
Die Ausführung dieser Vorschrift lässt aber oft zu wünschen übrig. So scheint es bei manchen Banken möglich zu sein, die 2FA zu deaktivieren. Bei meiner Bank sind zwei Faktoren zudem nicht grundsätzlich immer erforderlich, sondern nur immer wieder mal. Angeblich soll das der Bequemlichkeit der Kunden dienen. Ich halte es eher für eine Schwächung der Sicherheit und würde mir wünschen, dass zumindest auf eigenen Wunsch hin eine permanente Aktivierung der 2FA möglich ist. Gefunden habe ich diese Möglichkeit noch nicht und die Telefonhotline ist nur schlecht und mit langen Wartezeiten zu erreichen.
Anders als in dem Artikel beschrieben, würde ich nicht raten, solche Mails besonders gut zu prüfen, z.B. auf Rechtschreibfehler, sondern grundsätzlich nicht darauf zu reagieren, zumindest die darin enthaltenen Links nicht anzuklicken oder anzutouchen. Das kann schon reichen, um eine Malware zu installieren. Die Fälschungen werden immer besser, und eine fehlerfreie Mail in perfektem Deutsch bedeutet keinesfalls, dass es keine Fälschung ist. Im Zweifelsfall kann man sich im Kundenportal einloggen, wo viele Banken ein unabhängiges Benachrichtigungsystem installiert haben, das nur der Bank selber zugänglich ist. Dabei gibt man keine Daten an Dritte weiter.
Selbst eine Kontosperrung würde ggf. i.d.R. weniger Schaden anrichten, als die Freigabe der Kontodaten an Dritte, die es dann plündern, solange das möglich ist.
Erlebt habe ich eine Kontosperrung aufgrund unterlassener Aktualisierung (die angeblich erforderlich gewesen wäre) aber selber noch nie.
Es gab auch schon Angriffe, die den 2 Faktor ausgespäht haben. Diese sind aber zumindes für den Angreifer aufwändiger.
Hat man die Vermutung, eventuell auf einen Pishing-Angriff reingefallen zu sein, sollte man selber aber möglichst schnell eine Kontosperrung bei seiner Bank veranlassen, um den Schaden möglichst zu begrenzen.
Aber auch bei 2FA muss man aufpassen. Die Bank würde nie nach Wiederherstellungscodes fragen. Betrüger könnten in Zukunft auch danach fragen.
<<< Nur für die Anmeldung würde meines Erachtens nach eine 2FA keinen Sinn machen >>>
Aber als zusätzliche Sicherheit bei der Anmeldung.
@route9:
Der Zahlencode kann bei nötigen sechs Ziffern oder mehr aber auch sehr sicher sein, zumal wenn nach drei Fehleingaben eine zeitliche Sperre eintritt, oder sogar eine weiter noch längere Zahlenfolge (PUK) erforderlich wird. Er funktioniert im Gegensatz zum Fingerabdruck aber auch mit nassen Händen oder Handschuhen.
Bei einem physischen Angriff durch mehrere Personen ist es aber schwieriger, jemanden zur Herausgabe des Zahlencodes zu zwingen (insbesondere nach drei Fehlversuchen), als gegen seinen Willen seinen Fingerabdruck oder ein Bild seines Grsichts zu verwenden.
Beides kann man, zumindest wenn man der Darstellung in Filmen glauben darf, sogar noch Leichen abringen, was bei einem Zahlencode unmöglich sein dürfte.
Es sei denn der Täter hat dir mal über die Schulter geschaut oder er kennt dein Geburtsdatum (ist ja bei sehr vielen der 6-stelige Code: tt.mm.jj). Ich denke auch an die Bankomatkarte. Ich kenne viele, die da in der Öffentlichkeit, zB an der Zapfsäule aber auch am Handy (Wischcode) unbedacht viel zu viel von sich preisgeben etc... Wenn alles so sicher wäre, wie du meinst, dann wäre die Kriminalstatistik aber auch eine ganz andere.
Dass die Kriminalstatistik ist, wie sie ist, ist ja nicht alleine dadurch begründet, dass noch übermäßig häufig Zahlencodes für die Authenthfizierung verwendet werden, und durch das Ausspähen solcher Zugangscodes. Vielmehr sehe ich es als nicht bewiesen an, dass alleine der Zugriff auf biometrische Authentifizierung zu einer erheblichen Senkung von Betrugsversuchen führen würde.
Fingerabdrücke lassen sich an Bankautomaten in ähnlicher Weise erbeuten wie Zahlencodes und schon vor Jahren wurde in Zeitschriften gezeigt, wie sich Fingerabdrücke z.B. von Gläsern zur Erzeugung eines künstlichen Fingers, der zur Entsperrung geeignet ist, verwenden lassen.
Die Verfahren zur biometrischen Entsperrung mögen sich verfeinert haben und insbesondere die 3D-Gesichtserkennung erheblich schwieriger zu umgehen sein als in der Vergangenheit, für unmöglich halte ich das aber nicht.
Auch wer einen Zugangscode für einen Bankautomaten erbeutet, braucht ja auch noch die EC-Karte, um etwas damit anzufangen. Ein solcher Angriff erfordert also zusätzlich einen Diebstahl.
Bei einer 3D-Gesichterkennung müssten Angreifer dann ggf. ihr Opfer eben zwingen in die Kamera eines Geldautomaten zu blicken. Das käme wahrscheinlich seltener vor, wäre aber für die Opfer viel traumatischer und das Delikt wäre schwerer (Raub statt Diebstahl). Ob das die Kriminalstatistik verbessern würde, ist also diskussionswürdig.
Statt alternativ könnte man aber biometrische Verfahren als zusätzliche Faktoren verwenden, also einen Fingerabdruck oder einen Gesichtsscan zusätzlich zu einer Pin erforderlich machen. Das würde die Sicherheit erhöhen, und den Aufwand für Angriffe ebenfalls. Allerdings eben auch die Wahrscheinlichkeit, dass eine Authentifizierung scheitert. Wenn neben einer PIN zusätzlich ein Fingerabdruck erforderlich ist, und der nicht aktzeptiert wird, weil der Finger nass ist, oder verbrannt, ist eine Authentifizierung eben gar nicht mehr möglich.
@Rene H:
Zumal Betrüger schon nach einer Anmeldung den Kontostand einsehen können. Eine hervorragende Entscheidungsgrundlage, ob sich weitere Bemühungen überhaupt lohnen würden.
Wobei ich bei meiner Bank dann einen Hinweis erhalte, dass sich jemand von einem bisher unbekannten Gerät angemeldet hat. So eine Warnung ist dann nicht gerade hilfreich, wenn man plant, jemandem das Konto zu plündern.
Für das Einloggen reicht ja auch FaceID und ein Passwort. Eine Überweisung muss ich mit einer zweiten App bestätigen.
Ja, aber wie oben beschrieben sind noch nicht alle Banken (oder aber auch manche Kunden) so fortschrittlich und arbeiten tw noch mit den veralteten TAN-Zahlenlisten.
Als ich damals bei meiner jetzigen Bank Online-Banking einrichten ließ, wollte ich unbedingt einen TAN-Generator. Die Dame bei der Bank wollte mir das dann unbedingt ausreden, weil das ja "nur alte Leute machen". Die Leute, die da arbeiten, haben oftmals selbst absolut keine Ahnung.
<<< mit den veralteten TAN-Zahlenlisten >>>
Das ist m.W. seit vielen Jahren nicht mehr zulässig.
Face-ID am PC?
am PC muss ich oft den Login mit der App auf dem Handy bestätigen