E-Banking: Angreifer zielen auf mobile Authentifizierungsmethoden

Melani warnt vor einer neuen Betrugsmasche beim E-Banking. Offenbar gelingt es Hackern unterdessen, mobile Authentifizierungsmethoden mit QR-Codes und Mosaik mit Social-Engineering-Methoden auszuhebeln.

» Von Jens Stark , 29.11.2016 15:27.

weitere Artikel

Anwender von E-Banking sollten aufpassen. Wie die Melde- und Analysestelle Informationssicherung des Bundes (Melani) berichtet, erhält sie in den letzten Wochen häufiger Meldung von Fällen, bei denen es Hackern gelang, mittels Social Engineering die Opfer dazu zu animieren, betrügerische Zahlungen im E-Banking zu visieren.

Dabei gelingt es Hackern auch verbesserte Verfahren zu den per SMS verschickten mTAN-Codes auszuhebeln. Bei diesen mTAN-Alternativen wird dem Benutzer beim Login oder zum Visieren einer Zahlung ein QR-Code oder Mosaik im E-Banking-Portal angezeigt. Der Anwender kann diesen mit einer App auf seinem Smartphone oder einem weiteren Gerät einscannen.

Je nach Produkt wird das Login oder die Visierung der Zahlung direkt in der App bestätigt oder diese generiert einen Code, welcher der Kunde dann im E-Banking Portal eingeben muss. Produkte, mit einer solchen Authentifizierungsmethode, welche  von Schweizer Banken verwendet werden, sind unter anderem PhotoTAN, CrontoSign oder SecureSign.

Prinzipiell gilt diese Authentifizierungsmethode als sicher. Kunden lassen sich jedoch in vielen Fällen durch Social Engineering täuschen und visieren Zahlungen auch dann, wenn sie den Vorgang als betrügerisch erkennen könnten, beispielsweise wenn in der App ein offensichtlich falsches Empfängerkonto angezeigt wird oder wenn bereits beim Login-Vorgang Zahlungsdaten eingeblendet werden.

Melani hat laut eigenen Angaben Kenntnis von aktuellen E-Banking-Betrugsversuchen auf Authentifizierungsmethoden wie PhotoTAN, CrontoSign oder SecureSign. In der Schweiz ist derzeit zum Beispiel die seit Langem bekannte Schadsoftware Retefe in der Lage, mittels Social Engineering E-Banking Kunden dazu zu animieren, betrügerische Zahlungen via PhotoTAN, CrontoSign oder SecureSign zu visieren.

Nächste Seite: Menanis Empfehlungen

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.