Sicherheit

Außergewöhnlicher Virenangriff aufs Bankkonto

Dienstag den 21.08.2012 um 08:09 Uhr

von Arne Arnold

Der Antiviren-Spezialist G-Data berichtet von dem besonders heimtückischen Banking-Trojaner Bebloh. Wenn dieser Schädling auf einem PC aktiv ist, kann er den sogenannten „Retouren-Angriff“ durchführen. Dabei manipuliert der Trojaner auf dem PC des Opfers die Online-Banking-Seite so, dass sie dem Kunden eine fehlgeleitete Überweisung auf sein Konto vorgaukelt. Ein Infofenster bittet dann um die Rücküberweisung des Betrags. Auch im Kontosaldo wird der zusätzliche Geldbetrag angezeigt. Überweist der Kunde den Betrag tatsächlich zurück, ist er Opfer der Masche geworden. Denn tatsächlich war das zusätzliche Geld nie vorhanden. Bemerkenswert an diesem Angriff ist, dass er komplett unabhängig vom verwendeten TAN-Verfahren funktioniert. Gegen solche Tricks schützen nur gesundes Misstrauen und eine Antiviren-Software.

Neue Kontonummern für Überweisungen
In diesem Jahr gibt es beim Banking und beim Bezahlen im Internet ein paar Neuerungen, darunter die IBAN-Kontonummern.

IBAN: Im Februar 2012 hat das EU-Parlament die europaweite Einführung der IBAN-Kontonummern beschlossen. Spätestens ab Februar 2014 gelten die neuen, 22-stelligen Kontodaten, die eine Kombination aus Bankleitzahl und Kontonummer darstellen. Obschon bis zum Umstellungstermin noch Zeit ist, werden Sie wohl bereits im Laufe dieses Jahres von Firmen aufgefordert, Ihre Kontodaten zu aktualisieren. Denn Unternehmen müssen ihren gesamten Zahlungsverkehr inklusive Lastschrifteinzügen umstellen.

Das neue System soll den internationalen Geldtransfer vereinfachen. Da sich das System von Kontonummer und Bankleitzahl schon innerhalb Europas teils stark unterscheidet, wurde das IBAN-System so entwickelt, dass es die Unterschiede ausgleicht.

Die meisten Banken verraten Ihnen Ihre IBAN-Nummer auf Ihren Kontoauszügen. Achten Sie darauf, dass jedes Ihrer Unterkonten eine eigene IBAN hat. Die neue Nummer können Sie aber auch berechnen lassen. Dafür müssen Sie nur Ihre Kontonummer und Bankleitzahl auf der Website www.iban-rechner.de eingeben.

Verbesserte Bezahlverfahren im Internet
Neues Schutzverfahren beim Bezahlen im Internet
eingeführt.
Vergrößern Neues Schutzverfahren beim Bezahlen im Internet eingeführt.

Schutz für die Kreditkarte: Die Internetkriminellen wenden ihre Phishing- und Virentricks nicht nur gegen das Online-Banking, sondern stehlen auch – und leider oft erfolgreich – Kreditkartennummern. Darum haben die großen Kreditkartenanbieter Visa und Mastercard ein neues Schutzverfahren beim Bezahlen im Internet eingeführt, das sie „Verified by Visa“ und „Mastercard Secure Code“ nennen. Wenn Sie daran teilnehmen möchten, müssen Sie Ihre bestehende Kreditkarte auf der Internetseite Ihrer Bank dazu anmelden. Sie vergeben ein Passwort und nennen der Bank zudem ein geheimes Wort oder einen Namen. Wenn Sie später in einem Online-Shop Waren bezahlen, werden Sie bei der Eingabe der Kreditkartennummer nach dem neuen Passwort gefragt. Außerdem erscheint auf dieser Seite auch das geheime Wort. So wissen Sie, dass Sie in diesem Moment mit Ihrer Bank verbunden sind.

Schutz beim Online-Shopping: Schon seit einiger Zeit bieten Internet-Shops das Bezahlverfahren Giropay an. Bezahlen Sie damit, werden Sie nach Ihrer Bankleitzahl gefragt. Danach leitet Sie der Shop weiter zum Online-Banking Ihrer Bank. Dort tätigen Sie die Überweisung wie gewohnt mit PIN und TAN über Ihr Girokonto. Der Händler erhält unmittelbar nach erfolgreicher Eingabe eine Zahlungsgarantie der Bank und kann Ihnen somit die Waren umgehend zusenden. Weitere Infos zu Bezahlverfahren im Internet finden Sie auf dieser Seite .



Übrigens: Nicht nur beim Online-Shopping gibt es neue Bezahlverfahren. Im Laufe dieses Jahres sollen viele Kunden der Sparkasse neue EC-Karten mit integrierter Funktechnik erhalten. Diese sollen es ermöglichen, schnell und berührungslos, etwa an der Supermarktkasse, zu bezahlen. Zunächst sollen aber nur Beträge von maximal 20 Euro bezahlt werden können. Dafür müssen die Karten vorher am EC-Automaten aufgeladen werden.

Sicherheitstechniken beim Online-Banking im Überblick
Die PIN ist die persönliche Identifikationsnummer, mit der Sie sich zusammen mit Ihrem Benutzernamen einloggen.
TAN steht für Transaktionsnummer. Sie benötigen diese beim Online-Banking, um eine Überweisung zu legitimieren. Die TAN ist nur einmal gültig.
iTAN bedeutet indizierte TAN. Dabei sind alle TAN-Nummern auf der persönlichen Liste durchnummeriert. Bei einer Überweisung fragt die Bank eine ganz bestimmte TAN-Nummer ab.
mTAN ist die mobile TAN. Die Bank sendet sie passend zu einer Überweisung auf das Handy. Dieses müssen Sie zuvor einmal bei der Bank anmelden.
Der TAN-Generator wird auch sm@rt TAN oder chipTAN genannt. Aktuelle Geräte empfangen Daten über einen Licht-code von der Internetseite der Bank. Für den Empfang sind die Geräte mit Fotozellen ausgerüstet. Bei eingesteckter EC-Karte spuckt das Gerät eine TAN aus.
HBCI steht für (Homebanking Computer Interface). Es arbeitet mit einer passwortgeschützten Chipkarte.
Fin-TS steht für Financial Transaction Services. Dabei handelt es sich um eine Weiterentwicklung des in die Jahre gekommenen HBCI. Gleichzeitig unterstützt Fin-TS das PIN/TAN-System über Internetseiten.
IBAN steht für International Bank Account Number (Internationale Bankkontonummer). Die IBAN ist eine internationale, standardisierte Form für Bankkontonummern und die neue einheitliche europäische Girokontonummer. Sie setzt sich im elektronischen Format aus maximal 34 Stellen mit folgendem Aufbau zusammen: zweistelliger ISO-Ländercode des Staates, in dem das Konto geführt wird, zweistellige Prüfziffer, bestehende nationale Bankleitzahl, bestehende Kontonummer.
Die BIC (Bank Identifier Code) ist eine international standardisierte Bankleitzahl, die ein Kreditinstitut eindeutig identifiziert.

Dienstag den 21.08.2012 um 08:09 Uhr

von Arne Arnold

Kommentieren Kommentare zu diesem Artikel (15)
  • hans10 12:07 | 28.10.2012

    Zitat: kalweit
    Das sollte bei allen Geräten der Fall sein. Ich behaupte mal, 90% der Nutzer klicken das nur genervt durch.


    ... und damit liegt das Risiko beim Nutzer und nicht bei der Bank.

    Gegen Dummheit gibt es bis heute noch kein Medikament.

    Antwort schreiben
  • kalweit 12:01 | 28.10.2012

    Zitat: hans10
    bekommt man erst die TAN-Nummer, nachdem


    Das sollte bei allen Geräten der Fall sein. Ich behaupte mal, 90% der Nutzer klicken das nur genervt durch.

    Antwort schreiben
  • magiceye04 11:54 | 28.10.2012

    Man hat es auch nicht für möglich gehalten, dass die EC-Karten-Lesegeräte an der Supermarktkasse lediglich durch Anschluß ans LAN-Kabel oder sogar über WLAN einfach mal zur Herausgabe der Kartendaten+PIN überredet werden können.
    Technisch ist grundsätzlich erstmal ALLES möglich.
    In der Regel ist es nur der Aufwand, der sich nicht lohnt, weil es noch Millionen Kunden mit deutlich unsichereren Verfahren gibt. Aber wenn sich die heute als sicher geltenden Verfahren erst mal flächendeckend durchgesetzt werden, dann werden auch die irgendwann geknackt.

    Antwort schreiben
  • kalweit 11:50 | 28.10.2012

    Zitat: hbrand
    Ich sehe hier absolut keine technische Möglichkeit


    Das hat man von allen Verfahren davor auch behauptet. Es ist nur eine Frage der Zeit, bis sich eine Lücke findet. Das Problem ist auch nicht die potentielle Lücke, sondern der fest zementierte Glaube, dass nicht sein kann was nicht sein darf.

    Antwort schreiben
  • hans10 11:50 | 28.10.2012

    Zitat: magiceye04
    ... Werden auf dem TAN-Generator der Postbank denn alle Überweisungsdaten angezeigt, so dass man überprüfen kann, ob die TAN auch wirklich für die gewünschte Überweisung genutzt wird? ....


    ... beim TAN-Generator der Volksbank (Smart-TAN) bekommt man erst die TAN-Nummer,
    nachdem die Abfragen des Tangenerators (Kontonummer, Bankleitzahl und Betrag) bestätigt wurden.

    Antwort schreiben
1453683