13 Tipps gegen Cyberangriffe
Derzeit mehren sich die Fälle von Cyberangriffen auf Kundinnen und Kunden von Schweizer Banken. Betrügerinnen und Betrüger versuchen dabei, die Zugangsdaten für E-Banking-Profile zu ergaunern, um Geld im grossen Stil abzuziehen.
10. November 2023
Beim Internetbetrug werden alle Register gezogen. Beim sogenannten Phishing starten die Angriffe über betrügerische E-Mails oder gefälschte Webseiten. (Bild: Adobe Stock)
Gefälschte Angebote
11 Prozent gehen in der Schweiz beim Online-Shoppen Betrügern auf den Leim. Zudem sind sich 85 Prozent nicht bewusst, welche Gefahren im Internet lauern, so die AZ-Online mit Verweis auf das Nationale Zentrum für Cybersicherheit. Rabatttage wie in der Black-Friday-Woche liefern ein günstiges Umfeld für betrügerische Machenschaften. Es gilt die Devise: Prüfen Sie Angebote genau und kaufen Sie nur bei Händlern ein, die sie kennen.
Internetbetrüger wenden raffinierte Methoden an, um an das Geld anderer Menschen heranzukommen. Im Herbst 2023 kam es in der Schweiz bei verschiedenen Banken zu einer Häufung von Angriffen. Noch ist nicht in jedem Fall klar, wie die Attacken abgelaufen sind. Ausser Frage steht aber, dass Betrugstechniken wie Malvertising oder Phishing grossen Schaden anrichten können.
Die wichtigsten Angriffsmethoden im Überblick
Cyberkriminelle haben ein ganzes Arsenal an Betrugstechniken zur Verfügung. Derzeit sind Malvertising und Phishing hoch im Kurs.
Der Begriff setzt sich aus Malware (engl. für Schadsoftware) und Advertising (engl. für Werbung) zusammen und bedeutet so viel wie schädliche Werbung. Malvertising-Angriffe werden über Werbeanzeigen auf Suchmaschinen oder auf Social-Media-Plattformen ausgespielt. In der Schweiz waren jüngst schädliche Werbeanzeigen für Kundinnen und Kunden von Banken in Umlauf. Die Anzeigen können Links auf schädliche Webseiten enthalten oder Schadsoftware, welche die Geräte von Nutzerinnen und Nutzern infizieren. Damit können Angreifer Dateien beschädigen, Daten stehlen, verborgene Zugriffspunkte erstellen oder die Nutzeraktivitäten überwachen.
Das Wort setzt sich zusammen aus den englischen Begriffen Password, Harvesting (engl. für ernten) und Fishing. Die Angreifenden haben es etwa auf Passwörter für E-Banking-Konten abgesehen. Angegriffen wird über betrügerische E-Mails, gefälschte Webseiten, betrügerische Telefonanrufe oder SMS. Einmal im Besitz der Zugangsdaten können sich die Kriminellen beim E-Banking der getäuschten Personen anmelden und Geld abziehen.
Der Begriff setzt sich aus Malicious (engl. für schädlich, böswillig) und Software zusammen und wird in Deutsch mit Schadsoftware übersetzt. Betrüger versuchen die schädliche Software auf den Geräten der Zielpersonen zu installieren, um sie auszuspionieren und an persönliche Daten wie E-Banking-Passwörter zu gelangen. Träger der Schadsoftware sind oft E-Mails, welche einen dazu auffordern, eine angehängte Datei zu öffnen oder auf einen bestimmten Link zu klicken. Sobald man dies tut, wird die Schadsoftware auf dem Computer installiert und die Betrüger erhalten Zugang auf Gerät und Daten. Malware kann auch über schädliche Werbung verbreitet werden (s. Malvertising).
Täuschend echte Anzeigen und Webseiten
Ein Angriff könnte wie folgt ablaufen: Eine Bankkundin oder ein Bankkunde will sich beim E-Banking anmelden und tippt den Namen seiner Bank zusammen mit dem Begriff «Login» in das Suchfeld seiner Suchmaschine. Die Trefferliste enthält schädliche Anzeigen, die von Angreifern ins Werbenetzwerk des Suchmaschinenbetreibers geschmuggelt wurden. Von Laien sind sie von echten Treffern kaum zu unterscheiden.
Klickt ein Nutzer oder eine Nutzerin auf eine schädliche Anzeige, könnte das die Installation von Schadsoftware auf dem Gerät auslösen. Einmal installiert können die Betrüger die Nutzer ausspionieren und so in den Besitz des Zugangscodes für das E-Banking gelangen. Es gibt auch Varianten, bei denen man auf eine betrügerische Webseite einer Bank weitergeleitet wird. Diese sieht formal wie die echte Webseite der Bank aus. Die Betrüger haben sie aber nur zu einem Zweck angelegt: Sie wollen damit an die sensitiven Login-Daten der Nutzerinnen und Nutzer gelangen.
Auf gefälschten Seiten gehen die Daten an die Betrüger
Eine reine Phishing-Attacke könnte beispielsweise über eine vermeintliche Mail einer Bank laufen. Damit wird man aufgefordert, sich via Link beim E-Banking der Bank anzumelden. Die Mail enthält das Logo der Bank und die Absenderadresse ähnelt der richtigen Adresse der Bank. Aber der Link in der Mail enthält die Weiterleitung auf eine gefälschte Login-Seite. Die Seite sieht vielleicht ähnlich aus wie die echte Login-Seite der Bank, ist aber Teil des Betrugs. Wenn man sich auf einer solchen Seite mit seinen Zugangsdaten wie Kontonummer und Passwort anmeldet, gibt man die Daten an die Betrüger weiter.
Auch Authentifizierungsprozesse mit zwei Faktoren, die über Smartphones laufen, bieten keine absolute Sicherheit vor solchen Angriffen. Im Besitz der persönlichen Login-Daten melden sich die Angreifer beim E-Banking an und lösen damit automatisch eine Meldung der zweiten Authentifizierungsinstanz aus – im Falle der Hypothekarbank Lenzburg eine Meldung der FinSign-App. Die Meldung landet dann auf dem Handy der echten Kontoinhaberin oder des echten Kontoinhabers. Merken diese nicht, dass sie getäuscht werden – etwa indem sie die Prüfziffer kontrollieren und feststellen, dass die Ziffern im E-Banking und in der FinSign-App nicht übereinstimmen (s. Tipps unten) – und akzeptieren sie die Anfrage, öffnen sie den Betrügern Tür und Tor für ihre Machenschaften.
Plötzlich tauchen neue Geräte auf
Weil die Angriffe über die Kundinnen und Kunden einer Bank laufen, ist es für Banken schwierig, sie rechtzeitig zu erkennen. Es gibt allerdings Hinweise für mögliche Phishing-Angriffe auf Kundenseite. Etwa wenn bei einem Kunden oder einer Kundin plötzlich ein neues Gerät im Authentifizierungsprozess auftaucht. Wurde es bewusst von der Kundin oder dem Kunden hinzugefügt oder stecken dahinter Betrüger? In kritischen Fällen kann eine Bank verdächtige Konten sperren, sodass der Zugang zwar noch aktiv ist, aber keine Transaktionen mehr ausgelöst werden können.
Die Hypothekarbank Lenzburg hat jüngst eine solche Massnahme im Sinne einer ausserordentlichen Sorgfaltspflicht zugunsten der Kundensicherheit ergriffen. Im Rahmen einer Prüfung mussten dabei die Fälle einzeln geklärt werden. Insgesamt sind missbräuchliche Transaktionen im Rahmen von Phishing-Angriffen für Banken aber schwierig zu erkennen. Umso wichtiger ist es deshalb, dass sich Bankkundinnen und Bankkunden persönlich schützen und alles daransetzen, dass ihre Daten nicht in die Hände von Internetbetrügern gelangen.
13 Tipps gegen Cyberangriffe
So können Sie sich schützen und die E-Banking-Sicherheit erhöhen.
|
1. |
Geben Sie «ebanking.hbl.ch» oder «www.hbl.ch» immer manuell in die Adressleiste des Browserfensters ein. Gehen Sie niemals über Google, Bing oder andere Suchmaschinen auf die Login-Seite des E-Bankings. |
|
2. |
Vergleichen Sie die Prüfziffer beim E-Banking-Login mit der Nummer der Authentifizierungsanfrage von FinSign. Diese müssen übereinstimmen. Falls nicht, stammt die FinSign-Anfrage vielleicht von einem Phishing-Angreifer. |
|
3. |
Klicken Sie nie auf Links oder scannen Sie QR-Codes in einem E-Mail, das angeblich von der Hypothekarbank Lenzburg kommt. Die Bank verschickt keine Mails mit Systemlinks oder QR-Codes. |
|
4. |
Laden Sie die HypiBanking-App nur in den offiziellen Stores herunter. |
|
5. |
Beenden Sie die Verbindung sofort, wenn eine Systemunterbrechung oder eine ungewöhnliche Fehlermeldung auftreten. |
|
6. |
Melden Sie verdächtige Push-Nachrichten von FinSign umgehend dem E-Banking-Support (e-banking@hbl.ch oder 0800 813 913). |
|
7. |
Beenden Sie Ihre Session im E-Banking immer über den Knopf «Abmelden». |
|
8. |
Ändern Sie das Passwort regelmässig (ein- bis zweimal pro Jahr oder mehr), benutzen Sie das gleiche Passwort nicht für mehrere Applikationen und bewahren Sie es an einem sicheren Ort auf. |
|
9. |
Halten Sie Ihr Betriebssystem und Ihre Browser immer aktuell. |
|
10. |
Aktivieren Sie Antivirus-Software und stellen Sie sicher, dass diese aktuell ist. |
|
11. |
Installieren Sie neue Software auf Ihrem Computer immer nur aus vertrauenswürdigen Quellen (gilt für alle Arten von Downloads). |
|
12. |
Prüfen Sie allenfalls den Einsatz von Ad-Blockern, um sich vor Malvertising-Angriffen zu schützen. |
|
13. |
Für Firmenkunden: Wenden Sie bei Zahlungen das Vieraugenprinzip an. Eine Person erfasst die Zahlungen und eine andere Person gibt die Zahlungen frei. Wichtig ist, dass beide Personen separate und voneinander getrennte Geräte verwendet. Falls Ihre Firma das Vieraugenprinzip noch nicht praktiziert, empfehlen wir Ihnen, sich bei unserem E-Banking-Support zu melden (e-banking@hbl.ch oder 0800 813 913) und für Ihr Geschäftskonto eine Autorisierungsreferenz mit Kollektivunterschrift zu verlangen. |
Themen
«Hypi»-InsightsArtikel teilen
Weitere Formen des Internetbetrugs
Hier finden Sie eine Übersicht über zahlreiche weitere Formen des Internetbetrugs, vor denen Sie sich schützen müssen.