Keine Aktivierungsdaten herausgeben

Die Meldestelle Melani hat vor ein paar Monaten darauf hingewiesen, dass Kriminelle vermehrt mobile Authentifizierungsmethoden beim E-Banking im Visier haben. Nun gehen die Angreifer einen Schritt weiter und versuchen Opfer dazu zu bringen, eine Kopie des von der Bank erhaltenen Briefes, welcher Aktivierungsdaten für die die Zwei-Faktor-Authentifizierung (2FA) des E-Bankings enthält, an die Betrüger zu senden.

Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware (Malware) wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

Persönlicher Aktivierungsbrief nie(!) herausrücken

Seit Anfang August beobachtet die Meldestelle des Bundes vermehrt Angriffe, bei welchen die Kriminellen versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen. Diese Briefe werden in der Regel von der Bank per Briefpost an die Kunden versendet. Die Angreifer fordern das Opfer auf, den Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln. Wer dies macht, muss damit rechnen, dass sich die Kriminellen in das E-Banking des Opfers einzuloggen, indem ein weiteres Smartphone für die Zwei-Faktor-Authentifierzung eingesetzt wird. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking-Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

Empfehlung der Meldestelle

Im Umgang mit E-Banking empfiehlt die Meldestelle:

• Den Aktivierungsbrief der Bank mit niemandem „teilen“, auch nicht mit der Bank, selbst wenn man dazu aufgefordert wird. Im Zweifelsfall die Bank kontaktieren.
• Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (z.B. Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
• Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
• Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
• Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
• Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank.

Quelle: MELANI