thomas martong, http://martong.net
  • Home
  • FAQ
  • Kontakt
  • Drinks
  • Impressum
  • Home
  • Abo-Fallen
  • Banking
  • Raubkopien
  • Malware
  • Links

Worum geht es?

Neben kleineren oder größeren Betrügereien oder der ein- oder anderen Abzocke im Internet haben es manche Banden gerade auf den Online-Banking-Nutzer abgesehen. Es ist ja auch viel leichter, leichtgläubigen Internet-Nutzern mit wenig Aufwand das Geld aus der Tasche zu ziehen, als es einfach mal mit Arbeit zu versuchen. Auch das "Bezahlen" im Internet mit fremden Kreditkartendaten scheint neuerdings richtig in Mode zu kommen.

Mit welchen Mitteln dabei zu Werke gegangen wird, möchte ich ein wenig beleuchten:

Phishing

Eine Phishing-Attacke (engl. Kofferwort, setzt sich der gängigen Meinung nach zusammen aus "fishing" und "password", also etwa "Fischen nach Passwörtern") beginnt meist mit einer eher unpersönlich gehaltenen E-Mail ("Sehr geehrter Kunde" anstatt des Namens), die angeblich von deiner Bank stammen soll.

Unter einem Vorwand sollst du auf einen Link in der E-Mail klicken, der dich dann auf die Webseite deiner Bank führen soll. Auf dieser zugegebener Maßen meist täuschend echt nachgemachten Seite wirst du dann unter dem Vorwand z.B. eines "neuen Sicherheitskonzeptes" dazu aufgefordert, deine Zugangsdaten und eine (oder mehrere) ungenutzte TAN in ein Eingabefeld einzugeben.

Das wirst du natürlich nicht tun, aber es gibt tatsächlich leichtgläubige Internetnutzer, die ihre Daten preisgeben. Was dann folgt, ist eventuell noch eine Fehlermeldung, eine Bestätigung oder die Weiterleitung auf die echte Seite der Bank. Mit den "abgefischten" Daten allerdings...

Und wie kann ich mich schützen?

  • Keine Bank wird E-Mails an ihre Kunden versenden, welche die Aufforderung enthält, PIN und/oder TAN preiszugeben. Außerdem wird dich deine Bank kaum bitten, etwas "in ein Form einzutasten" oder "auszufullen". Gerade mangelhafte Grammatik ist höchst verdächtig! Erhältst du eine solche E-Mail, bleibt eigentlich nur eines: ab damit in den Papierkorb.
  • Bei den meisten Phishing-E-Mails kommt die HTML-Darstellung zum Einsatz. Hinter einem Link wie z.B. http://www.meine.bank.de kann etwas völlig anderes stecken. Viele Programme zeigen aber das tatsächliche Ziel beim Überfahren mit dem Mauszeiger in der Statusleiste an, du hast es vielleicht bei "meine.bank" schon ausprobiert.
    Also solltest du das Anzeigen und Senden von HTML-E-Mails deaktivieren. Auf den bunten Schnickschnack, der manchmal als Mail im Postfach landet, kannst du doch eigentlich gut verzichten, oder? Und die Empfänger von deinen versandten E-Mails können (oder möchten das sogar) auch.
  • Falls JavaScript in deinem E-Mail-Programm noch nicht deaktiviert ist, solltest du das jetzt tun. Mit einem kleinen Code-Schnipsel ist es z.B. möglich, genau den zuvor beschriebenen Statusleistentext zu ändern, so dass dann dort doch der Text zu "meiner.bank" angezeigt wird, obwohl das nicht richtig ist.
  • Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail sowie das aufmerksame Lesen der Phishing-E-Mails ist ebenfalls hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, "ein Form auszufüllen" oder "TAN einzutasten". Mangelhafte Grammatik und Orthographie sind zwar kein ausschließliches Merkmal für oder gegen Phishing, aber auf jeden Fall höchst verdächtig.
  • E-Mail-Programme wie z.B. Mozilla Thunderbird und neuere Versionen von Microsoft Internet Explorer, Mozilla Firefox oder Opera können vor Phishingseiten warnen.

Man-In-The-Middle / Man-In-The-Browser

Das zuvor beschriebene "Phishing" konntest du erkennen und bist auch nicht darauf hereingefallen. Allerdings bist du jetzt einer neuen Generation von Schadprogrammen, einer "Man-In-The-Middle"-Attacke, schutzlos ausgeliefert.

Ein "Trojanisches Pferd" (umgangssprachlich auch "Trojaner") setzt sich auf deinem Computer fest und erkennt, dass der Browser geöffnet ist und eine Online-Überweisung getätigt werden soll. Dann werden während des Überweisungsvorgangs die gesendeten und empfangenen Daten des Empfängers und des Betrages der Überweisung in Echtzeit verändert. Dir wird allerdings nur die von dir eingegebene Transaktion auf dem Bildschirm angezeigt und nicht, dass einem dir garantiert unbekannten Empfänger ein von dir ungewollt hoher Geldbetrag überwiesen wurde.

Verschiedene Versionen dieses Trojanischen Pferdes können im Internet käuflich erworben werden. Kaum zu glauben: Die anzugreifenden Banken lassen sich bequem aus einer Liste auswählen, der Angriff richtet sich gegen verbreitete Versionen von Microsoft Windows, den Internet Explorer und Mozilla Firefox.

Da laufend neue Versionen dieser Trojaner entwickelt werden, sind Virenscanner als Schutzmaßnahme kaum geeignet. Die Malware wird derzeit kaum von einem Virenscanner erkannt, da eine Unmenge an Signaturen in die Antiviren-Programme eingepflegt werden müssten. Auch die von einigen Banken angepriesenen "sicheren iTANs" bieten keinen Schutz gegen diese Art der Abzocke.

Und wie kann ich mich schützen?

Die Antwort auf diese Frage ist ziemlich einfach: keine Online-Überweisungen per World Wide Web mehr tätigen! Wenn das nicht in Frage kommt, helfen nur die üblichen Hinweise:

  • Angegriffene Betriebssysteme sind die gängigen Versionen von Microsoft Windows. Versionen, deren Support abgelaufen ist (siehe Malware) würde ich persönlich keinesfalls mehr für das Online-Banking benutzen. Für die Nachfolger sind unbedingt die automatischen Updates zu aktivieren, so dass bekannte Sicherheitslücken zeitnah (naja...) gepatcht werden können.
  • Die Angriffe richten sich, wie erwähnt, gegen gängige Browser. Also: einen alternativen Browser wie Opera, Safari oder andere nutzen, und wenn es nur für das Online-Banking selbst ist.
  • Für Windows XP gilt: Arbeiten und erst recht Surfen im Internet nur als eingeschränkter Benutzer! Und das grundsätzlich, also auch wenn es einige "Umstände" bereitet.
  • Windows 7: Schieberegler für die Benutzerkontensteuerung auf die höchste Stufe schieben (Startmenü öffnen und "uac" in das Suchfeld eintippen).
  • Die Antivirensoftware immer aktuell halten, vielleicht hilft sie ja doch in dem einen oder anderen Fall.
  • Vor dem Klick auf Links die "Software" Brain 1.0 installieren ;-)
  • Keine Webseiten aufrufen, bei denen von vorn herein damit gerechnet werden kann, dass durch den Besuch hinterher andere "Besucher" auf der Festplatte zu finden sind.

Online-Banking - etwas sicherer

Kartenleser und Chipkarte:

Die von mir favorisierte Möglichkeit ist, das signaturgestütze HBCI/FinTS-Verfahren mit Chipkarte zu nutzen.

Benötigt wird eine Homebanking-Software, ein Chipkartenleser mit eigenem PIN-Pad und eine Bank, die dieses Verfahren unterstützt. Auch hier sind noch theoretische Angriffe möglich, indem die Banking-Software durch Malware manipuliert wird. Ein derartiger Fall ist aber bislang nicht bekannt (geworden?).

Linux-Live-System:

Da zurzeit ausschließlich Systeme mit Microsoft Windows betroffen sind, bietet es sich an, für das Online-Banking ein Linux-Live-System zu verwenden. Der Computer wird anstatt von der Festplatte mit einem Linux-Betriebssystem von einer CD gestartet.

Nach dem Start steht immer ein "sauberes" System zur Verfügung, welches zudem für Malware aus der Windowswelt unempfindlich ist.

Informationen z.B. zu dem empfehlenswerten "Linux Mint" bekommst du im Linux Mint Forum (englisch). Alternativ kannst du aber auch bei den Ubuntu-Users nachlesen (deutsch). Linux Mint basiert auf Ubuntu, so dass vieles entsprechend übertragen werden kann.

Auch Heise (c′t magazin) hat sich mit dem speziell für sicheres Onlinebanking konzipierten Live-System "Bankix" diesem Thema gewidmet.

Virtueller Computer:

Eine andere Möglichkeit ist die Installation eines virtuellen Computers, welcher unter Windows gestartet und auf welchem wiederum ein Linux-System installiert wird. Hier bieten sich kleine Distributionen wie z.B. Puppy-Linux oder Damn Small Linux an.

Eine Software für einen virtuellen Computer ist z.B.VirtualBox. Anleitungen zur Installation und Einrichtung spare ich mir an dieser Stelle, Google liefert diesbezüglich eine Unmenge an Treffern.

Linux:

Anstatt einer Live-CD oder eines virtuellen Computers kann natürlich auch ein Linux-System auf der Festplatte installiert werden. Mit Hilfe eines Bootmanagers wird dann wahlweise Linux oder Windows gestartet. Wie das funktioniert? Befrage Google...

Diese Variante hat auch einen großen Vorteil: Sollte Windows einmal streiken (was ja gar nicht mal so abwegig ist), kann über Linux trotzdem auf die Daten zugegriffen werden. Auch eine Datensicherung kann durchgeführt oder z.B. die komplette Systempartition gesichert und bei Bedarf wieder zurückgeschrieben werden.

Kreditkarten

Immer wieder werden heutzutage fremde Kreditkartennummern benutzt, um damit Betrügereien zu begehen. Manchmal werden diese Daten achtlos weggeworfenen Abrechnungen entnommen, allerdings machen auch immer häufiger Listen mit gültigen Kartendaten im Internet die Runde.

Wenn du möchtest, kannst du einmal versuchen, festzustellen, ob deine Kreditkartennummer irgendwelchen öffentlich zugänglichen Datenquellen zu entnehmen ist.

Achtung: Sollte dieses der Fall sein, ist dringend anzuraten, dass du dich schnellstens mit der ausstellenden Bank in Verbindung setzt, damit die Karte gesperrt wird!

Bei der nachfolgenden Suche werden "Leerzeichen" oder "Bindestriche" nicht berücksichtigt, da alle Kombinationen abgefragt werden. Die Zahlen können also sowohl bei der Kartennummer als auch beim Gültigkeitsdatum hintereinander eingegeben werden.

Kreditkartennummer:
Gültig bis:

Finanzagenten

Suchst du einen gut bezahlten Nebenjob? Einen, bei dem du nicht viel zu tun hättest? Ein wenig Geld transferieren oder im Auftrag einer Firma Gegenstände auf einer bekannten Online-Plattform versteigern?

Dann werde Finanzagent.

Falsch! Das mit dem Finanzagenten ist natürlich nur ein Scherz. Du würdest dich strafbar machen und zudem noch den ein oder anderen Euro zum Fenster hinaus werfen.

Zugegebener Maßen gehen die Betrüger bei der "Anwerbung" recht geschickt zu Werke, wie beispielsweise ...

... die Firma im Ausland, die hier keine Bankverbindung hat:

Die werbende "Firma" ist im Ausland tätig und möchte angeblich erst einmal in Deutschland Fuß fassen. Daher hat sie ein kleines Problem mit dem Geld. Ein Konto wird benötigt, auf welches die "Einnahmen" überwiesen werden können. Abzüglich einer Provision soll das Geld dann z.B. per "Western Union" (soll hier als Beispiel dienen) an eine Person im Ausland transferiert werden.

Du bekommst einen (seitenlangen) Vertrag und bist sogar sozialversichert.

Hört sich gut an, hat aber leider einen Haken: Du wirst ganz bestimmt nicht darauf hingewiesen, dass das Geld, welches auf deinem Konto eingeht, zuvor einem arglosen Online-Banking-Nutzer abgefischt worden ist (siehe oben, "Phishing").

Ein paar Tage später, nachdem du das Geld per "Western Union" transferiert hast, bemerkt der rechtmäßige Eigentümer die Abbuchung von seinem Konto, erstattet Strafanzeige und bucht den Betrag zurück.

Damit keine Missverständnisse entstehen: IMHO ist "Western Union" eine absolut seriöse Firma, deren Service gerade in Notfällen eine große Hilfe sein kann und die mit den Betrügereien nicht das Geringste zu tun hat.

Aber zurück zu dir: Neben der Anzeige, die dich wegen der leichtfertigen Geldwäsche erwartet, bist du auch das Geld los - schade.

Wie du dir vielleicht denken kannst, wird der Empfänger des Geldes, die Person im Ausland, nie ermittelt werden können. Genauso wenig wie die Kontaktperson "deiner Firma".

... die ausländische Firma, die hier etwas versteigern lassen möchte:

Eine (ausländische) "Firma" benötigt einen Mitarbeiter, der für sie Waren auf einer Online-Plattform versteigert. Der Waren-Versand soll dann durch die "Firma" selbst erfolgen. Das auf deinem Konto eingehende Geld...

Den Rest kannst du dir wohl denken. Natürlich werden die Waren nicht geliefert und du hast, neben den Strafanzeigen wegen Betrugs und Geldwäsche, auch noch die Käufer an der Backe, die von dir ihr Geld zurück haben wollen.

... die Masche mit der Liebe:

In einem Chat oder in einem Flirtportal lernst du ein nettes Mädel kennen, die wahrscheinlich im osteuropäischem Raum beheimatet ist. Dann erreichen dich ihre E-Mails. Sie flirtet mit dir, schickt dir Fotos, schreibt, dass sie ganz verrückt nach dir ist und sie dich besuchen möchte.

Dazu braucht sie allerdings Geld. Wenn du glaubst, dass du ihr das jetzt schicken sollst, dann wäre das zu einfach.

Im Gegenteil, ihre Tante, Freundin, oder wer auch immer würde ihr ja das Geld schicken, ist aber dazu leider aus welchem Grund auch immer nicht in der Lage. Also wird dir das Geld überwiesen, du hebst es ab und...

Eigentlich hättest du ihr das Geld auch gleich selbst anweisen können, weg ist es so oder so, allerdings hättest du dir die Strafanzeige erspart.

Da wäre dann noch die Sache...

... mit der viel zu hohen Überweisung:

Du freust dich, weil du meinst, etwas zu einem Schnäppchenpreis ersteigert oder erworben zu haben? Oder du hast etwas versteigert oder verkauft für einen Preis, der alle deine Erwartungen übertrifft?

Dann freu' dich nicht zu früh!

Spätestens, wenn dein Konto eine den Preis deutlich übersteigende Überweisung aufweist oder du einen derartigen Scheck erhältst mit der Bitte, das "irrtümlich" zu viel gezahlte Geld zurück zu erstatten, solltest du sehr, sehr vorsichtig werden.

Denn was dürfte passiert sein? Das Geld wurde abgefischt, der Scheck gefälscht. In beiden Fällen bist du dein Geld los, solltest du es wunschgemäß ins Ausland transferieren.

... mit dem Auto aus dem Ausland:

Die Masche ist eigentlich so blöd, dass man meinen sollte, darauf fällt doch niemand herein. Wenn da nicht die Sache mit der Gier wäre.

Du hast also ein Auto (oder was auch immer) in England oder Irland erstanden oder ersteigert für einen Preis, der um ein vielfaches günstiger ist als der, den du für ein vergleichbares Fahrzeug hierzulande zahlen müsstest. Der arme Kerl von Verkäufer hatte den Wagen vom Festland mitgenommen, ohne daran zu denken, dass da auf der falschen Seite gefahren wird und er ja eigentlich ein Lenkrad auf der rechten Seite benötigt.

Die Kleinigkeiten von wegen Zoll und Einfuhr werden für dich geregelt. Darum kümmert sich eine Firma. Klasse Service.

Dann überweise oder transferiere mal schnell eine Anzahlung ins Ausland, damit es losgehen kann mit der Verschiffung. Auf der Webseite der "Transportfirma" kannst du dir ja jederzeit den Status ansehen.

Oh, Mist, im Hafen von Amsterdam ist irgendetwas schiefgelaufen, jetzt musst du aber unbedingt noch mal eine Kleinigkeit nachlegen, sonst kommt der Wagen da nicht frei. Trotzdem läuft aber alles wie am Schnürchen, in ein paar Tagen steht das Ding vor deiner Haustür.

Wie es weitergeht, muss wohl nicht näher erläutert werden - das Geld ist natürlich weg. Die tolle Webseite des "Transportunternehmens" mit Statusabfrage und allem drum und dran - gefälscht oder nur für diesen Zweck erstellt. Den Verkäufer und das Fahrzeug - gibt es nicht.

Solltest du so also irgendwann etwas vergleichbares vorhaben, überweise das Geld doch bitte gleich an mich, du sparst Gebühren und bedanken würde ich mich auch ;-)

BTW, du hast ganz sicher auch nichts von einem bisher unbekannten Verwandten in Afrika geerbt. Und den ehemaligen Präsidenten, der seine Millionen nach Deutschland transferieren, dabei deine Hilfe benötigt und dich sehr großzügig entlohnen möchte, den wirst du auch nie kennenlernen.