E-Banking: Betrüger haben es auf Aktivierungsbriefe abgesehen

Mobile Authentifizierungsmethoden stellen eine weitere Hürde für Betrugsversuche beim E-Banking dar. Kriminelle versuchen sich deshalb nun die Aktivierungsdaten für die Zwei-Faktor-Authentifizerung zu ergaunern.

» Von Luca Perler , 17.08.2017 10:45.

weitere Artikel

Bildergalerie

Kriminelle denken sich immer raffiniertere Wege aus, um mobile Authentifizierungsmethoden beim E-Banking zu umgehen. 2016 haben Angreifer damit begonnen, diese mittels Social Engineering und Schadsoftware – etwa dem Trojaner Retefe – auszuhebeln. Unabhängig vom verwendeten Betriebssystem waren bei Betrugsversuchen dieser Art Nutzerinnen und Nutzer der Dienste PhotoTAN, CrontoSign und SecureSign betroffen.

Seit rund zwei Wochen beobachte die Melde- und Analysestelle Informationssicherheit (Melani) vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Aktivierungsbriefe enthalten üblicherweise ein Mosaikbild, das beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizerungsmethode zugelassen. Banken schicken diese Dokumente in der Regel per Briefpost an ihre Kunden.

Mittels Social Engineering würden Angreifer nun versuchen, an diese Aktivierungsdaten zu gelangen, wie die Bundesstelle auf ihrer Webseite schreibt. Dabei fordern sie ihre Opfer auf, den Brief einzuscannen oder abzufotografieren und an sie weiterzuleiten. Mit diesen Informationen ist es den Betrügern unter Umständen möglich, sich ins E-Banking einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor-Authentifizierung aktivieren. Ist das gelungen, können sie sich jederzeit ins Online-Banking einloggen und von dem Konto Zahlungen in Auftrag geben.

Nächste Seite: Das gilt es zu beachten

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.