+
Die Betrugs-Mail, die unserem tz-Reporter zugesandt wurde. 

Betrüger wollten tz-Reporter abziehen

Neuer Internet-Betrug: So raffiniert und gefährlich ist er

  • schließen
  • Jörg Heinrich
    Jörg Heinrich
    schließen

Im Internet gibt es aktuell eine neue Betrugs-Masche. In einer E-Mail wird das potenzielle Opfer dazu aufgefordert, seine iTAN-Liste abzufotografieren und zurückzuschicken. 

So dreist – und leider auch so professionell – waren Internetkriminelle wohl noch nie. tz-Mitarbeiter Jörg Heinrich hat jetzt eine Spam-E-Mail bekommen, in der er aufgefordert wird, seine iTAN-Liste fürs Online-Banking abzufotografieren und an die Commerzbank zu schicken. Die Mail in fast perfektem Deutsch und im gut nachgeahmten Design der Bank wirkt so überzeugend und auch logisch, dass arglose Internetnutzer tatsächlich versucht sein könnten, darauf reinzufallen.

 

In der Mail geht es um die iTAN-Listen auf Papier, die spätestens 2018 tatsächlich abgeschafft werden. Wer davon bereits gehört hat, könnte den Schwindel durchaus für glaubhaft halten. Die Ganoven fordern den Empfänger dazu auf, die abfotografierte oder eingescannte Liste per Internet an die Commerzbank zu schicken, wo sie dann wegen der Beendigung des iTAN-Verfahrens „entwertet“ wird. Zusatzinfo: „Eine Entwertung in unseren Filialen ist derzeit nicht möglich.“ Kein Wunder: Die Commerzbank-Mitarbeiter würden sich über solch eine angebliche „Entwertung“ gehörig wundern.

Generell sollten Internetnutzer niemals auf die Links klicken, die in solchen Mails enthalten sind. Denn bereits durch den ersten Klick kann der Rechner mit einem Virus infiziert werden, der auf der damit aufgerufenen Seite wartet. Wir haben es auf einem professionell abgesicherten Mac-Computer dennoch versucht. Wer auf den Link „Weiter zur Entwertung“ drückt, wird auf eine Seite weitergeleitet, die nach Commerzbank aussieht, aber nicht von der Commerzbank stammt. Dies ist unter anderem an der komplizierten Adresse der Seite zu erkennen, die die Commerzbank so niemals verwenden würde. Auf dieser Seite ließe sich die iTAN-Liste hochladen, die auf diesem Weg bei den Ganoven landet.

Nur mit einer iTAN-Liste, die ohnehin nur mehr bei wenigen Banken im Gebrauch ist, können die Kriminellen noch längst kein Konto leerräumen. Hierzu wären auch die Zugangsdaten fürs Online-Banking nötig. Doch weil beim Hochladen der Liste ausdrücklich nach der E-Mail-Adresse gefragt wird, können die Täter nachfassen. Wer so unbedarft war, seine iTAN-Liste zu übermitteln, bekommt womöglich weitere Mails, in denen dann nach Zugangsdaten gefragt wird.

 

Die Internetkriminellen gehen sehr geschickt vor, sprechen den Empfänger sogar mit seinem richtigen Namen an. Dadurch wirkt die Mail umso glaubwürdiger. tz-Mitarbeiter Heinrich war früher sogar Kunde der Commerzbank. Ob die Täter das wissen oder es einfach mit beliebigen Banken versuchen, ist unklar. Die normalen Regeln in Sachen Spam und Computerviren – Rechner immer aktuell halten, keine Links anklicken, im Zweifel bei der eigenen Bank nachfragen – gelten auch in diesem Fall. Wichtigste Regel bleibt aber: Eine Bank würde NIEMALS einen Vorgang, der ein Konto betrifft, per E-Mail abwickeln. Das ist viel zu riskant, weil die Bank nie weiß, wer die Mail öffnet. Wer sich diese goldene Regel merkt, weiß, dass solche Mails grundsätzlich immer Spam sind. Klicken Sie in angeblichen Bank-Mails nie auf einen Link, laden und öffnen Sie keine Anhänge. Stattdessen: Mail löschen!

Hohe Dunkelziffer

Ein typischer TAN-Generator. 

Für die Münchner Polizei ist der Commerzbank-Trick, mit dem unser Computer-Experte Jörg Heinrich hereingelegt werden sollte, neu: Bislang liegt dem Polizeipräsidium der Landeshauptstadt noch keine entsprechende Anzeige vor. Grundsätzlich sind aber von diesen sogenannten „Phishing-Mails“ (engl. für angeln), mit denen Kontodaten „abgefischt“ werden sollen, alle großen Banken betroffen, „da hier die Trefferwahrscheinlichkeit am größten ist“, so Polizeisprecherin Claudia Künzel zur tz.

„Bei unserem Fachkommissariat K122 wurden im Jahr 2017 bislang 31 Phishing-Anzeigen für den Großraum München bearbeitet“, so Künzel. Die Dunkelziffer dürfte aber wesentlich höher sein.

„Die meisten Leute erkennen zwar, dass es sich bei der erhaltenen Mail um eine Phishing-Mail handelt, teilen dies aber nur selten der Polizei mit. Erst wenn es tatsächlich zu einem Schaden gekommen ist, wird dann meistens auf Anraten der Bank hin Anzeige erstattet“, erklärt die Polizeisprecherin.

Die Chancen, die Täter zu er­wischen, stehen schlecht: „Aufgrund der zahlreichen Möglichkeiten, sich anonym im Internet zu bewegen bzw. seine Spuren zu verschleiern, gestalten sich weiterführende Ermittlungen in dieser Hinsicht eher schwierig, insbesondere wenn das Ganze in Richtung Ausland geht“, so Künzel. „Erschwerend kommt hinzu, dass die Banken unter Berufung auf das Bankengeheimnis Auskünfte überwiegend nur gegenüber den Staatsanwaltschaften erteilen, was die weiteren polizeilichen Ermittlungen unnötig verzögert. Auch die derzeit immer noch fehlende Speicherung von Vorratsdaten stellt ein großes Ermittlungshindernis dar.“

TAN-Listen

Die Banken versuchen mit Transaktionsnummern (TAN) das Internet-Banking sicherer zu machen. Folgende Verfahren gibt es:

Papiergebundene Verfahren: Hier ist es für Betrüger verhältnismäßig leicht, die TAN zu missbrauchen. So kann etwa eine Schadsoftware im Computer Kontonummer und Auftragssumme Ihres Auftrags ändern, ohne dass Sie oder die Bank etwas merken. Bestätigen Sie diesen im Hintergrund manipulierten Auftrag, kann ihr Geld bei der Überweisung „umgeleitet“ werden.

TAN per SMS: Der Sicherheitsvorteil einer solchen „smsTAN“ oder „mTAN“ ist, dass die Bank für jeden Auftrag eine neue Transaktionsnummer erzeugt, die die Auftragsdaten (Kontonummer, Betrag usw.) als auch Datum und Uhrzeit mit einbezieht. Zusätzlich wird die TAN auf einem anderen Weg (Mobilfunk) übermittelt als Ihr Online-Bankauftrag (Internet). Das heißt aber, dass Sie keinesfalls ein Smartphone gleichzeitig für das Internet-Banking und als Empfangsgerät für die TAN nutzen sollten.

TAN-Generator: Einige Institute wie die Sparkasse München (Foto) arbeiten mit diesen kleinen Geräten, die (je nach Bank) chipTAN oder smartTAN heißen. Der Sicherheitsvorteil eines TAN-Generators liegt darin, dass er als unabhängiges Gerät nicht über das Internet oder Mobilfunk angegriffen und manipuliert werden kann.

Auch interessant

Mehr zum Thema

Meistgelesene Artikel

Bildschirmdiagonale: Halb so groß wie Sitzabstand
Ein neuer Fernseher soll her. Aber wie groß ist groß genug? Und was kann man bei der Auswahl des Gerätes noch beachten - etwa um Strom zu sparen?
Bildschirmdiagonale: Halb so groß wie Sitzabstand
Smart Home-Systeme für Licht: Nützlich oder moderner Schnickschnack?
Fast jeder Bereich des Lebens kann vernetzt werden, so auch die Lichtsteuerung in den eigenen vier Wänden. Ist das wirklich sinnvoll oder kann man sich das Geld sparen?
Smart Home-Systeme für Licht: Nützlich oder moderner Schnickschnack?
Netzneutralität: Experten befürchten Folgen in Deutschland
Mit der Aufhebung der Netzneutralität ermöglicht die US-Telekomaufsicht eine Ungleichbehandlung von Daten. Gegen Bezahlung werden etwa Internetdienste bevorzugt …
Netzneutralität: Experten befürchten Folgen in Deutschland
Apple bringt leistungsstarke Pro-Ausgabe des iMac
Der Mac Pro kommt wieder auf den Markt. Für die Neuauflage hat ihn Apple mit einigen Extras ausgestattet. Damit soll der All-in-one-Rechner vor allem Grafik- und …
Apple bringt leistungsstarke Pro-Ausgabe des iMac

Kommentare