Bankraub im Digitalzeitalter So kommen Hacker an Ihr Geld

Für kriminelle Hacker sind Bankkunden ein beliebtes Ziel. Hier erfahren Sie, wie die Angreifer vorgehen - und wie Sie sich schützen können.
Kreditkarten

Kreditkarten

Foto: DENIS CHARLET/ AFP

Bankraub kann sich auch im Jahr 2017 lohnen. Mit erfolgreichen Attacken auf die Nutzer von Onlinebanking sei im Netz das größte Geld zu machen , heißt es beim IT-Sicherheitsunternehmen Kaspersky. Im dritten Quartal des vergangenen Jahres hätte mehr als die Hälfte aller registrierten Phishing-Attacken Kunden von Finanzunternehmen wie Banken und Kreditkartendienstleister betroffen.

Die Kriminellen setzen verschiedene Werkzeuge ein, um ans Geld ihrer Opfer zu kommen. Beim erwähnten Phishing werden Nutzer durch einen Link in einer E-Mail oder einer Kurznachricht auf eine gefälschte Webseite geführt. Auf den teils täuschend echt aussehenden Seiten sollen sie Nutzername und Passwort fürs Onlinebanking eingeben. Damit kommen die Kriminellen an Zugangsdaten der Kunden, die sie für Betrugsversuche verwenden können.

Neben Phishing-Nachrichten sind Trojaner eine beliebte Angriffsmethode. Sie werden ebenfalls per E-Mail und auf ähnlichen Wegen verschickt, können aber auch auf infizierten Internetseiten lauern. Einmal aktiv, erlauben Banking-Trojaner Angreifern meistens einen Fernzugriff auf betroffene Computer. Dort können Schadprogramme beispielsweise Finanzdienst-Zugangsdaten mitlesen.

Trojaner für Mobilgeräte können im Hintergrund laufen und Bank- und Kreditkartendaten mitschneiden, beispielsweise beim Kauf von Apps oder auch bei der Nutzung von Onlinebanking-Apps.

Verbraucher können sich vor Betrugsversuchen im Stil der E-Mail-Maschen am besten schützen, wenn sie verdächtige oder unaufgefordert angekommene Nachrichten nicht einfach öffnen. Erst recht sollte man in Nachrichten nicht auf Links klicken, die angeblich von einer Bank kommen. Besser ist es, sich die Seite der Bank als Lesezeichen abzulegen und sich direkt dort händisch einzuloggen - so vermeidet man auch, auf ähnlich aussehende, aber woandershin führende Links reinzufallen. Viele Banken verzichten außerdem bewusst darauf, Nachrichten mit Log-in-Links zu verschicken.

Gegen Trojaner, die im Hintergrund das Surfverhalten überwachen, hilft die Vorsichtsmaßnahme des Direktaufrufs allerdings nicht. Allgemein ist es daher sinnvoller, alle Programme immer auf dem neuesten Stand zu halten und aktuelle Sicherheitssoftware zu nutzen.

Ist man einmal auf einer manipulierten oder Fake-Seite gelandet, kann es unter Umständen schon zu spät sein - bei raffinierten Angriffen reicht manchmal schon der Seitenaufruf, damit ein Gerät infiziert wird. In anderen Fällen wird es erst gefährlich, wenn man etwa seine Daten irgendwo eintippt. Im Zweifel gilt: Hat man etwa ein Formular ausgefüllt und vielleicht nur nicht abgesendet, sollte man trotzdem immer davon ausgehen, dass die Daten bei Kriminellen gelandet sind.

Angriff auf mobile Geräte

Bei Smartphones und Tablets gibt es weitere Angriffswege. Einige Kriminelle stellen online gefälschte Apps zur Verfügung, die vermeintlich vom Anbieter stammen. Wer diese Apps installiert, spielt Schadsoftware auf, über die die Angreifer ebenfalls an wichtige persönliche Daten gelangen können. Hier hilft es nur, darauf zu achten, die richtige App-Version zu erwischen. Dazu sollten Apps nicht über Drittseiten, sondern über die offiziellen App-Stores heruntergeladen werden.

Andere Schadsoftware übernimmt komplett die Kontrolle über das Smartphone. So konnten Forscher auch das lange als sicher geltende PhotoTAN-Verfahren knacken. Der Angriff funktionierte bei einer bestimmten PhotoTAN-Variante, bei der die Banking- und die PhotoTAN-App auf demselben Gerät installiert waren.

Mehr zur Sicherheit bei TAN-Verfahren finden Sie hier:

Um sich möglichst gut gegen Angriffe aufs Smartphone zu schützen, sollte man stets die neuesten Versionen des Betriebssystems und der installierten Apps aufspielen. Immer wieder werden mit den Updates kurzfristig auch kritische Sicherheitslücken geschlossen.

Kreditkartenbetrug

Viele Kriminelle haben sich über die Jahre auf Kreditkartenbetrug spezialisiert. Karteninhaber können auf verschiedene Arten Opfer werden. Beispielsweise wenn ihre Daten durch sogenanntes Skimming erbeutet werden. Dabei wird der Magnetstreifen der Karte durch manipulierte Geräte ausgelesen. Die zugehörige PIN wird oft durch versteckt installierte Kameras abgelesen.

Eine andere Methode ist das Vertauschen der Karte, etwa bei Zahlungen in Geschäften oder in Restaurants. Auf diesem Weg gelangt der Angreifer direkt an die Karte, die er dann etwa für Bestellungen oder Offline-Einkäufe nutzen kann.

Auch über gefälschte Webshops kommen Kriminelle an Kreditkartendaten. Nutzer sollten wissen, dass seriöse Anbieter bei Onlinebestellungen nie nach der PIN fragen. Außerdem ist es wichtig, darauf zu achten, dass Transaktionen verschlüsselt werden. Das lässt sich am https:// und einem kleinen Schloss links in der Browserzeile erkennen. Noch vertrauenswürdiger ist eine Bankseite, wenn neben dem Schloss noch der Bankname auftaucht, da auch Betrüger Wege finden, an das Schloss zu kommen.

Gegen eine weitere Methode des Kreditkartenbetrugs können Nutzer dagegen wenig unternehmen. Sind die Kreditkartendaten bei einem Onlinedienst nicht ausreichend gesichert und wird das Unternehmen Opfer eines Cyberangriffs, können sämtliche Zahlungsdaten erbeutet werden. Eigentlich müssen die Daten verschlüsselt sein, aber es kommt immer wieder vor, dass Kriminelle ganze Kartensätze in die Hände bekommen. Diese werden dann oft im Internet zum Kauf angeboten.

Chef-Masche

Eine weitere Angriffsmethode ist das sogenannte Social Engineering. Dieses vergleichsweise aufwendige Verfahren wird hauptsächlich bei Firmen eingesetzt. Berühmt geworden ist zuletzt die sogenannte Chef-Masche. Dabei gibt sich ein Krimineller per E-Mail oder SMS als ranghohes Firmenmitglied aus und fordert die rasche Überweisung einer hohen Summe.

Dieses Vorgehen erfordert vom Täter einen hohen Rechercheaufwand. Um glaubwürdig zu klingen, muss er sich mit den Hierarchien des Unternehmens vertraut machen, die Namen und Befugnisse von Mitarbeitern recherchieren und zum Beispiel seinen Betrugsversuch starten, wenn der Vorgesetzte etwa auf einer Auslandsreise ist.

Bei der Chef-Masche setzt der angebliche Boss die Untergebenen stark unter Druck. Die Mitarbeiter werden zur Geheimhaltung verpflichtet. Die nötigen Zahlungsaufträge sind bereits vorbereitet, eine nötige zweite Unterschrift wird gefälscht.

Ist die Masche erfolgreich, ist sie wohl den Aufwand wert: Kriminelle erbeuteten mit dem Trick beispielsweise bei FACC, einem österreichischen Hersteller von Flugzeugteilen , mehr als 40 Millionen Euro. Der Autozulieferer Leoni verlor ebenfalls rund 40 Millionen Euro.

Die Wiedergabe wurde unterbrochen.