Cyberangreifer haben es auf E-Banking-Aktivierungsbriefe abgesehen

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes warnt vor immer dreister vorgehenden Internetbetrügern. Die Angreifer versuchten Opfer dazu zu bringen, eine Kopie des von der Bank erhaltenen Aktivierungsbriefes an die Betrüger zu senden.
17.08.2017 10:49

Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt beziehungsweise abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen.

Bereits Ende 2016 hatte MELANI in einem Newsletter darauf hingewiesen, dass Kriminelle vermehrt mobile Authentifizierungsmethoden beim E-Banking im Visier haben. Mit der neusten Masche gingen die Cyberkriminellen nun einen Schritt weiter, heisst es in einer Mitteilung vom Donnerstag.

Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen seit rund zwei Wochen, an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

Tut man das, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking-Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

Um dies zu verhindern, empfiehlt der Bund verschiedene Sicherheitsmassnahmen. So solle der Aktivierungsbrief mit niemanden, auch nicht mit der Bank, geteilt werden. Vorsicht sei weiter beim Login-Vorgang geboten. Hier müsse darauf geachtet werden, dass es sich nicht bereits um die Visierung einer Zahlung handle.

Zudem warnt MELANI davor, Apps aus unbekannten Quellen zu installieren. Zu berücksichtigen seien nur offizielle App-Stores wie Google Play oder Apple App Store. Wer beim Login in das E-Banking dennoch Unregelmässigkeiten feststelle, solle unverzüglich die Bank kontaktieren, rät der Bund weiter.

(SDA)