rating service  security service privacy service
2007/01/16 Phishing - Analysen der Onlinebanking-Studie dramatisch bestätigt
Bestätigt wurden die Analysen der Onlinebanking-Studie - Kurz nach Veröffentlichung meldete sich Phishing-Opfer mit mehr als 9.000 EUR Schaden - Opfer war Kunde bei einem Banksystem das in der Studie unterdurchschnittlich abgeschnitten hat - Straffreiheit für "Finanzmanager" - Banken versuchen Phishingproblem kleinzureden, statt zu lösen - Phishingartige Spammails erleichtern betrügerische Aktivitäten

Platz zwei in der Hitliste der Geschädigten

Mit dem Betrag von deutlich über 9.000 EUR verdrängte das neue Opfer eine Wienerin vom zweiten Platz der Hitliste der Phishing-Geschädigten, sie hatte knapp über 9.000 EUR Schaden. Unangefochten Erster ist ein steirisches Opfer mit 31.300 EUR Schaden, an vierter Stelle steht ein Kärntner Ehepaar mit 7.500 EUR Schaden.

Der Schaden entstand, obwohl das Opfer alle Sicherheitsempfehlungen beachtete (es benutzte für das Onlinebanking ein professionell gewartetes Behördennetzwerk), keine fremde oder dubiose Website aufrief und dort TANs eingab und die Bank sofort bei Erkennen ungewöhnlicher Vorgänge verständigte.

Die Bank verwendete noch das veraltete Standard-TAN-System, bei dem TANs in beliebiger Reihenfolge eingegeben werden dürfen und offenbar war es dem Angreifer gelungen mittels Trojaner einen eingegebenen TAN auszuspähen und zu nutzen.

Bisher weigerte sich die Bank den Schaden zu bezahlen, obwohl das verwendete Onlinebanking-System nicht mehr dem Stand der Technik entspricht und das Verhalten der Bankangestellten nach Meldung des Vorfalls zumindest fahrlässig war.


Straffreiheit für "Finanzmanager"

Der Empfänger der Phishing-Überweisung war zwar rasch ausgeforscht, doch war das Geld längst per Geldtransfer ins Ausland überwiesen. Da der Empfänger angab in gutem Glauben das Geld abgehoben und weitergeleitet zu haben, wurden alle Ermittlungen gegen ihn eingestellt.

Angeheuerte "Finanzmanager", "Finanzagenten", "Zahlungsverkehrs-Agents" und sonstige Phishing-Helfer haben wenig zu befürchten. Sie können neben einem schönen Körberlgeld auch mit Straffreiheit rechnen. Es genügt guten Glauben vorzuschützen.


Banken reagiern auf Phishing nicht angemessen

Die Phishing-Schäden bewegen sich zwar im Vergleich zum gesamten Onlinebanking-Volumen unter der Promillegrenze, trotzdem sind sie für die einzelnen Opfer schwerwiegend.

Während die Banken versuchen das Phishing-Problem kleinzureden und zu psychologisieren, nimmt die Zahl der Angriffe weiterhin zu. In den letzten Wochen waren fast alle größeren Banken Ziel derartiger Attacken, in den letzten Tagen allein Raiffeisen, BA-CA, Cittbank und Volksbank.

Hintergrund der erfolgreichen Phishing-Attacken ist einerseits der bei den Banken teilweise chaotisch organisiserte Geschäftsprozess "Onlinebanking", andererseits die steigende Verunsicherung der Kunden.

Die jüngst erschienene Onlinebankingstudie zeigte gravierende Lücken beim Telefonsupport ("wenn Sie nicht auf unsere Seite kommen, schalten Sie die Sicherheitseinstellungen aus"), aber auch in der Transparenz des Geschäftsprozesses. Laufende Änderungen im Onlinebankingprogramm, mangelnde Verfügbarkeit des Angebots, Abstürze während der Nutzung und schlicht ein fehlendes Konzept, wann tatsächlich PINs oder TANs einzugeben sind, fördern Phishingattacken. Die verschiedenen Banken haben höchst unterschiedliche Regeln, wann sie PIN und TAN verlangen und ändern diese Regeln auch immer wieder.

Durch "Sicherheitswarnungen", teilweise sogar mit persönlicher Anrede, werden Kunden verleitet vertrauliche Daten bekannt zu geben. Die Strategien der Angreifer sind vielfältig, simpel und wirksam. Vorzugsweise außerhalb der Servicestunden wird dann ein Kunde aufgefordert aus "Sicherheitsgründen" alle seine noch gültigen TANs in eine Website einzugeben, damit sie gesperrt würden oder es wird ihm erklärt, dass er ab sofort auch bei Start des Onlinebankings oder beim Ansehen der Kontoumsätze einen TAN benötigte.

Dem Laien bleibt nichts anderes übrig als diese "verschärfte" Sicherheit zu akzeptieren und die verlangten Daten einzugeben, war er doch schon mehrmals in der Vergangenheit mit überraschenden Änderungen des Onlinebankingprogramms konfrontiert.


Phishingartige Spammails erleichtern betrügerische Aktivitäten

Bedauerlich ist auch, dass manche Banken durch Spammails, in denen aufgefordert wird auf irgendeine Website zu Klicken Phishingattacken in geradezu fahrlässiger Weise erleichtern.

In einem typischen Mail (inklusive Schreibfehler) wurde verlangt: "Sie verwenden warscheinlich ein E-Mail-Programm dass die grafische (oder auch HTML-) Version unserer E-Mail nicht darstellen kann. Da wir moechten, dass sie die E-Mail im korrekten Format lesen koennen, bitte wir Sie die folgende Web-Seite zu besuchen: http://www.***<einebank>***.at/de/154/"

Ob das Mail tatsächlich von der Bank war, konnte gar nicht so ohne weiters festgestellt werden. Als Reply-Adresse wird zwar eine Bank-Mailadresse genannt, Reply-Adressen sind aber bei Phishern und Spamern im Regelfall gefälscht. Der Return-Path, der wesentlich schwerer zu fälschen ist, verweist auf die Mailadresse "mail.system@networx.at", die offenkundig nichts mit der Bank zu tun hat. Auch der absendende Mailserver mabuse.networx.at steht in keinem Zusammenhang mit der Bank. Selbst die Schreibfehler entsprechen täuschend echt einem Phishingmail. Ein offenkundiges Spammail, diesmal - zufälligerweise - im Auftrag der Bank.

Bei einer derartigen Vorgangsweise ist es eine Zumutung vom Bankkunden zu verlangen, offizielle Spammails von betrügerischen Spammails zu unterscheiden. Diese Versendepraxis der Banken sollte schleunigst abgestellt werden.

Es wäre ein Minimalgebot der Sorgfalt, dass die Banken nur mehr signierte Mails verschicken. Selbst Banken, die den Einsatz der "digitalen Signatur" auf die Fahnen geschrieben haben und ihren Kunden aufzwingen wollen, verschicken Mails unsigniert.


Banken sind zum Handeln gefordert

Mit der umfassenden Onlinebanking-Studie liegt erstmals eine "Roadmap" am Tisch, die es den Banken erlaubt die Phishingbedrohung drastisch zu reduzieren.

Mit Umsetzung der in der Studie aufgelisteten Vorschläge und Empfehlungen könnte das Phishingrisiko um weit mehr als 90% reduziert werden (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...). Diese Vorschläge wären zum Teil ohne zusätzliche oder nur mit geringen Kosten umzusetzen.

Die Studie wurde durch eine Förderung des Bundesministeriums für soziale Sicherheit, Generationen und Konsumentenschutz ermöglicht.


Einige Tipps für Konsumenten

Schon mehrfach hat die ARGE DATEN Tipps für die Konsumenten zusammengestellt, wie sie sich gegen Phishing schützen können (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...):
- kein Reagieren auf Bank-eMails
- keine Eingabe von PIN/TAN auf unbekannten Seiten
- regelmäßige Prüfung des Sicherheitszertifikates der Bank
- regelmäßige Kontrolle der Kontobewegungen
- Transaktionen immer nur vom eigenen Computer aus machen
- Reduktion des Überziehungsrahmens

Ergänzend wird empfohlen, das Konto bei jenen Banken, die technisch veraltete Onlinebanking-Lösungen verwenden, zu kündigen.

mehr --> Onlinebanking - technische Alternativen zu wenig beachtet
mehr --> Onlinebanking - Sicherheitsfalle Telefonsupport?
mehr --> Phishing - Haftung und Informationspflichten unzureichend gere...
mehr --> Presseinformation anläßlich der Vorstellung der Studie am 12.12.2006
mehr --> Studie bestellen
Archiv --> Umfassende Studie zum Thema Onlinebanking erschienen
Archiv --> Information zur Zertifikatsprüfung

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2016webmaster