1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen
Live-TV
Neueste Videos
Im Fokus
Spionage - Einflussnahme im GeheimenKrieg in der UkraineIran-Israel-Konflikt

"Phishing" ist erst der Anfang

Rolf Wenkel21. Oktober 2005

Online-Banking wird nicht nur bei Kunden immer beliebter, sondern auch bei Kriminellen. Deren Methoden werden immer raffinierter.

https://p.dw.com/p/7K7h
Gefälschte E-Mails fordern zur Eingabe geheimer Konto-Daten auf.Bild: dpa

Der Bundesverband deutscher Banken (BdB) hat ermittelt, dass vier von zehn deutschen Bankkunden ihre Überweisungen, Daueraufträge und Kontoabfragen inzwischen über das Internet abwickeln.

Mit "Phishing", einem Kunstwort aus den Wörtern "Password" und "Fishing", versuchen Internet-Kriminelle Bankkunden zur Preisgabe ihrer Geheimzahlen für das Internet-Banking zu bewegen. Um fremde Bankkonten abzuräumen, brauchen sie die Persönliche Identifikationsnummer (PIN) und eine für jeden Vorgang einmal zu vergebende Transaktionsnummer (TAN).

Betrüger werden professioneller

"Normalerweise beginnt 'Phishing' mit einer E-Mail, die der Anwender angeblich von seiner Bank bekommt und die ihn auffordert, auf eine Webseite zu gehen und dort irgendwelche wichtigen Einstellungen vorzunehmen", sagt Jürgen Schmidt, Redakteur vom deutschen Computermagazin "c't". Auf dieser Seite, die natürlich gefälscht ist, soll er dann eine PIN und eine TAN eintragen, manchmal auch mehrere. "Die landen dann nicht bei der Bank, sondern bei dem Betrüger, der damit unrechtmäßig Geld vom Konto seines Opfers abbucht", so der "c't"-Redakteur.

Zunächst waren die "Phishing"-Versuche der Betrüger leicht zu durchschauen. Die E-Mails, mit denen zur Preisgabe von Geheimnummern aufgefordert wurde, waren fehlerhaft und in schlechtem Deutsch geschrieben. Doch inzwischen sehen die gefälschten Seiten immer professioneller aus und sind nicht immer als Fälschungen erkennbar.

Verdächtige E-Mails ignorieren

Kerstin Altendorf vom Bundesverband deutscher Banken (BdB) rät Kunden auf solche E-Mails nicht zu reagieren: "So kann man 'Phishing' ausschalten." In Deutschland werde sich keine Bank mit ihren Kunden per E-Mail in Verbindung setzen und die Kunden zu der Preisgabe von PIN und TAN auffordern.

Deshalb solle man E-Mails grundsätzlich nicht vertrauen, "auch wenn sie noch so echt aussehen", sagt Jürgen Schmidt. Wer seine Bankgeschäfte im Internet abwickeln will, solle immer direkt zu der Internet-Seite der Bank gehen. "Auf keinen Fall Links in unerwünscht zugesandten E-Mails anklicken." Das gleiche gelte für Bilder und Dateien.

Phishing beim Online-Banking, Deutsche Bank Seite
Online-Banking-Kunden großer Kreditinstitute sind auch in Deutschland Zielscheibe von betrügerischen E-Mails.Bild: dpa

Denn Internet-Kriminelle werden immer raffinierter und schleusen über an E-Mails angehängte Programmdateien oder präparierte Bilder so genannte Trojaner ein. Ein Trojaner-Program "lauscht dann im Hintergrund und versucht dazwischen zu funken, wenn der Anwender das nächste Mal auf seine Online-Banking-Seite geht", erklärt Jürgen Schmidt. Gibt er dort seine PIN und TAN ein, werden die von dem Trojaner mitprotokolliert, die Transaktion wird abgebrochen und die Zugangsdaten an den Betrüger geschickt.

Inzwischen ist sogar ein Fall aus dem Baltikum bekannt geworden, bei dem ein Hacker die Online-Sitzung eines Bankkunden direkt übernehmen und selbst Überweisungen tätigen konnte. Bei Experten heißt so etwas "man in the middle attack". Gegen diese Attacke eines Dritten - in der Mitte zwischen Bank und Kunden - gibt es zur Zeit noch keinen wirkungsvollen Schutz.

Postbank-Kunden als Opfer

Eine der ersten europäischen Banken, deren Kunden gezielt per E-Mail angeschrieben wurden, war die Postbank. Die Postbank hat inzwischen reagiert und ihr System auf so genannte iTAN-Nummern umgestellt. Bei Bankgeschäften mit iTAN kann der Kunde nicht mehr selbst entscheiden, welche der Transaktionsnummern des TAN-Blocks er eingeben kann. Damit eine höhere Sicherheit gegeben ist, teilt das Programm, das die Überweisung durchführt, dem Kunden mit, welche Transaktionsnummer er eingeben soll, zum Beispiel die Nummer , die auf dem Block an elfter Stelle steht. "Das erschwert Internet-Kriminellen das Ausspionieren der Transaktionsnummern", sagt Kerstin Altendorf vom BdB.

Im Vergleich zum Kreditkartenbetrug habe "Phishing" bislang nur geringe finanzielle Schäden angerichtet, so die Meinung in der Branche. Bisher geprellte Kunden sind auch bislang immer von den Banken entschädigt worden. Wer den Verdacht hat, "Phishing"-Opfer geworden zu sein, sollte so schnell wie möglich die Bank informieren. Für den Extremfall rät Kerstin Althaus vom DbD das Online-Konto durch dreifache Falscheingabe der PIN - der Geheimnummer – zu sperren: "Dann kommen auch keine Internet-Kriminellen daran."

Den nächsten Abschnitt Mehr zum Thema überspringen

Mehr zum Thema

Kriminelle im Internet

Die Betrugswelle im Internet reißt nicht ab: Mit gefälschten E-Mails haben Unbekannte in den vergangenen Tagen versucht, Geheimnummern von Kunden der Postbank und der Deutschen Bank zu ergattern. (23.08.04)
23. August 2004

Der Spion, der aus dem Rechner kam

Der Spion, der aus dem Rechner kam

Vor einem Jahr legte der Internet-Wurm Sasser binnen Minuten Millionen Rechner weltweit lahm. Nun steht sein Erfinder vor Gericht und sagt, er sei ein Überzeugungstäter im Dienst der Allgemeinheit. (5.7.2005)
4. Juli 2005

Bundesverband deutscher Banken (BdB)

Broschüre mit Sicherheits-Tipps gegen "Phishing"
http
Weitere Beiträge anzeigen