+
Die Betrugs-Mail, die unserem tz-Reporter zugesandt wurde. 

Betrüger wollten tz-Reporter abziehen

Neuer Internet-Betrug: So raffiniert und gefährlich ist er

  • schließen
  • Jörg Heinrich
    Jörg Heinrich
    schließen

Im Internet gibt es aktuell eine neue Betrugs-Masche. In einer E-Mail wird das potenzielle Opfer dazu aufgefordert, seine iTAN-Liste abzufotografieren und zurückzuschicken. 

So dreist – und leider auch so professionell – waren Internetkriminelle wohl noch nie. tz-Mitarbeiter Jörg Heinrich hat jetzt eine Spam-E-Mail bekommen, in der er aufgefordert wird, seine iTAN-Liste fürs Online-Banking abzufotografieren und an die Commerzbank zu schicken. Die Mail in fast perfektem Deutsch und im gut nachgeahmten Design der Bank wirkt so überzeugend und auch logisch, dass arglose Internetnutzer tatsächlich versucht sein könnten, darauf reinzufallen.

 

In der Mail geht es um die iTAN-Listen auf Papier, die spätestens 2018 tatsächlich abgeschafft werden. Wer davon bereits gehört hat, könnte den Schwindel durchaus für glaubhaft halten. Die Ganoven fordern den Empfänger dazu auf, die abfotografierte oder eingescannte Liste per Internet an die Commerzbank zu schicken, wo sie dann wegen der Beendigung des iTAN-Verfahrens „entwertet“ wird. Zusatzinfo: „Eine Entwertung in unseren Filialen ist derzeit nicht möglich.“ Kein Wunder: Die Commerzbank-Mitarbeiter würden sich über solch eine angebliche „Entwertung“ gehörig wundern.

Generell sollten Internetnutzer niemals auf die Links klicken, die in solchen Mails enthalten sind. Denn bereits durch den ersten Klick kann der Rechner mit einem Virus infiziert werden, der auf der damit aufgerufenen Seite wartet. Wir haben es auf einem professionell abgesicherten Mac-Computer dennoch versucht. Wer auf den Link „Weiter zur Entwertung“ drückt, wird auf eine Seite weitergeleitet, die nach Commerzbank aussieht, aber nicht von der Commerzbank stammt. Dies ist unter anderem an der komplizierten Adresse der Seite zu erkennen, die die Commerzbank so niemals verwenden würde. Auf dieser Seite ließe sich die iTAN-Liste hochladen, die auf diesem Weg bei den Ganoven landet.

Nur mit einer iTAN-Liste, die ohnehin nur mehr bei wenigen Banken im Gebrauch ist, können die Kriminellen noch längst kein Konto leerräumen. Hierzu wären auch die Zugangsdaten fürs Online-Banking nötig. Doch weil beim Hochladen der Liste ausdrücklich nach der E-Mail-Adresse gefragt wird, können die Täter nachfassen. Wer so unbedarft war, seine iTAN-Liste zu übermitteln, bekommt womöglich weitere Mails, in denen dann nach Zugangsdaten gefragt wird.

 

Die Internetkriminellen gehen sehr geschickt vor, sprechen den Empfänger sogar mit seinem richtigen Namen an. Dadurch wirkt die Mail umso glaubwürdiger. tz-Mitarbeiter Heinrich war früher sogar Kunde der Commerzbank. Ob die Täter das wissen oder es einfach mit beliebigen Banken versuchen, ist unklar. Die normalen Regeln in Sachen Spam und Computerviren – Rechner immer aktuell halten, keine Links anklicken, im Zweifel bei der eigenen Bank nachfragen – gelten auch in diesem Fall. Wichtigste Regel bleibt aber: Eine Bank würde NIEMALS einen Vorgang, der ein Konto betrifft, per E-Mail abwickeln. Das ist viel zu riskant, weil die Bank nie weiß, wer die Mail öffnet. Wer sich diese goldene Regel merkt, weiß, dass solche Mails grundsätzlich immer Spam sind. Klicken Sie in angeblichen Bank-Mails nie auf einen Link, laden und öffnen Sie keine Anhänge. Stattdessen: Mail löschen!

Hohe Dunkelziffer

Ein typischer TAN-Generator. 

Für die Münchner Polizei ist der Commerzbank-Trick, mit dem unser Computer-Experte Jörg Heinrich hereingelegt werden sollte, neu: Bislang liegt dem Polizeipräsidium der Landeshauptstadt noch keine entsprechende Anzeige vor. Grundsätzlich sind aber von diesen sogenannten „Phishing-Mails“ (engl. für angeln), mit denen Kontodaten „abgefischt“ werden sollen, alle großen Banken betroffen, „da hier die Trefferwahrscheinlichkeit am größten ist“, so Polizeisprecherin Claudia Künzel zur tz.

„Bei unserem Fachkommissariat K122 wurden im Jahr 2017 bislang 31 Phishing-Anzeigen für den Großraum München bearbeitet“, so Künzel. Die Dunkelziffer dürfte aber wesentlich höher sein.

„Die meisten Leute erkennen zwar, dass es sich bei der erhaltenen Mail um eine Phishing-Mail handelt, teilen dies aber nur selten der Polizei mit. Erst wenn es tatsächlich zu einem Schaden gekommen ist, wird dann meistens auf Anraten der Bank hin Anzeige erstattet“, erklärt die Polizeisprecherin.

Die Chancen, die Täter zu er­wischen, stehen schlecht: „Aufgrund der zahlreichen Möglichkeiten, sich anonym im Internet zu bewegen bzw. seine Spuren zu verschleiern, gestalten sich weiterführende Ermittlungen in dieser Hinsicht eher schwierig, insbesondere wenn das Ganze in Richtung Ausland geht“, so Künzel. „Erschwerend kommt hinzu, dass die Banken unter Berufung auf das Bankengeheimnis Auskünfte überwiegend nur gegenüber den Staatsanwaltschaften erteilen, was die weiteren polizeilichen Ermittlungen unnötig verzögert. Auch die derzeit immer noch fehlende Speicherung von Vorratsdaten stellt ein großes Ermittlungshindernis dar.“

TAN-Listen

Die Banken versuchen mit Transaktionsnummern (TAN) das Internet-Banking sicherer zu machen. Folgende Verfahren gibt es:

Papiergebundene Verfahren: Hier ist es für Betrüger verhältnismäßig leicht, die TAN zu missbrauchen. So kann etwa eine Schadsoftware im Computer Kontonummer und Auftragssumme Ihres Auftrags ändern, ohne dass Sie oder die Bank etwas merken. Bestätigen Sie diesen im Hintergrund manipulierten Auftrag, kann ihr Geld bei der Überweisung „umgeleitet“ werden.

TAN per SMS: Der Sicherheitsvorteil einer solchen „smsTAN“ oder „mTAN“ ist, dass die Bank für jeden Auftrag eine neue Transaktionsnummer erzeugt, die die Auftragsdaten (Kontonummer, Betrag usw.) als auch Datum und Uhrzeit mit einbezieht. Zusätzlich wird die TAN auf einem anderen Weg (Mobilfunk) übermittelt als Ihr Online-Bankauftrag (Internet). Das heißt aber, dass Sie keinesfalls ein Smartphone gleichzeitig für das Internet-Banking und als Empfangsgerät für die TAN nutzen sollten.

TAN-Generator: Einige Institute wie die Sparkasse München (Foto) arbeiten mit diesen kleinen Geräten, die (je nach Bank) chipTAN oder smartTAN heißen. Der Sicherheitsvorteil eines TAN-Generators liegt darin, dass er als unabhängiges Gerät nicht über das Internet oder Mobilfunk angegriffen und manipuliert werden kann.

Auch interessant

Mehr zum Thema

Meistgelesene Artikel

Neue Version des Billig-iPhones SE: Apple soll Kampfpreis planen
Wem das aktuelle iPhone 8 oder gar das iPhone X zu teuer ist, der kann wohl schon bald eine erneuerte Version des Günstig-iPhones SE erstehen. Zumindest wenn man einem …
Neue Version des Billig-iPhones SE: Apple soll Kampfpreis planen
Facebook und Google wichtig für die Meinungsbildung
Der rasche Austausch und die schnelle Verbreitung von Informationen sind das Erfolgsrezept sozialer Medien. Facebook und Google sind zu wichtigen Meinungsbildnern …
Facebook und Google wichtig für die Meinungsbildung
Facebook Container isoliert auch Instagram und Messenger
Mehr Daten-Kontrolle gewünscht? Der Firefox Browser bietet seinen Nutzern dafür den Facebook Container an. Der Tracking-Schutz ist nun auf Instagram, WhatsApp und den …
Facebook Container isoliert auch Instagram und Messenger
BGH schafft Klarheit: Werbeblocker im Internet zulässig
Im Web wird nahezu jede Seite von Werbung begleitet. Werbeblocker versprechen Abhilfe. Die Programme unterdrücken Werbeeinblendungen und sorgen bei Anbietern …
BGH schafft Klarheit: Werbeblocker im Internet zulässig

Kommentare