FORMAT - Die Online-Angriffe auf das Konto:
Aggressiver Phishing-Start in das Jahr 2007
Der Angriff kam vom organisierten Verbrechen - und das gleich auf 400.000 österreichische Onlinenutzer. Per Massenmail forderten angeblich die BA-CA und die Volksbank ihre Kunden Mitte Jänner auf, bis zu 20 TAN-Sicherheitscodes preiszugeben. Sonst, so die eindringliche Warnung, würde das Konto gesperrt.
Natürlich käme keine Bank auf die Idee, Passwörter per Mail abzufragen, schon gar nicht mehrfach. Es handelte sich stattdessen um den wohl aggressivsten Versuch zur massenhaften Konto-plünderung. Bei genauem Hinsehen wiesen die Mails auch einige gravierende Rechtschreib-und Grammatikfehler auf. So hieß es beim BA-CA-Phishing (einem Kunstwort aus Passwort und Fishing): "Um unsere Kunden von Betrüger zu schützen, hat unser Sicherheitsteam für neue Schutzmaßnahmen entschieden." Kein Wunder: Laut Polizei kommt ein Großteil der weltweit auf 70 bis 90 Gruppen geschätzten Szene aus dem fremdsprachigen Ausland, vor allem aus Osteuropa, aber auch aus den USA.
Im Schadensfall hilft schnelles Handeln
Doch ganz gleich, wie die Mails abgefasst sind, gibt es einen einfachen Rat: Löschen Sie die Mails. Und falls Ihnen doch ein Missgeschick passiert, greifen Sie sofort zum Telefon. BA-CA-EDV-Vorstand Robert Zadrazil: "Wenn man unmittelbar nach einer TAN-Weitergabe die Hotline der Bank anruft, passiert nichts." Das Konto wird dann sofort gesperrt - allein bei der BA-CA war dies im Jahr 2006 in über 460 Fällen nötig. Selbst im Schadensfall können die Überweisungen meist noch zurückgeholt werden. Bei der BA-CA gelang das in 80 Prozent der Fälle. Trotzdem entstand ein Schaden in sechsstelliger Euro-Höhe. Den genauen Betrag will die BA-CA nicht nennen. Jeder Geschädigte bekam aus Kulanzgründen Geld retour - allerdings musste oft ein Selbstbehalt getragen werden.
Andere Banken geben an, trotz der Attacken bisher keinen einzigen Schadensfall zu haben. Für Hans Zeger, Obmann der Arge Daten, spielen viele Institute aber das Problem bloß herunter: "Es sind eine ganze Reihe von Banken stark durch Phishing gefährdet. Und es gab bereits eine Wienerin, die 9.000 Euro verlor. Ein Steirer wurde um 31.300 Euro erleichtert. Und es sind sogar Schäden entstanden, obwohl alle Sicherheitsempfehlungen beachtet wurden."
Trojaner auf Spionagetour im PC
Es gibt nämlich nicht nur plumpe Versuche, die leichtfertigen Opfer zur Herausgabe von Codes zu verleiten, sondern auch raffinierte technische Methoden, die unter der Bezeichnung Pharming (Kunstwort aus Passwort und Farming) laufen. So werden seit Oktober 2005 auch in Österreich Spionageprogramme eingesetzt. Diese sogenannten Trojaner können sich durch das Öffnen einer infizierten Homepage unbemerkt auf dem Computer einnisten. Anschließend werden TAN-Codes abgefangen und an die Gangster unbemerkt weitergeleitet. Datenschützer Zeger: "Die Trojaner werden in Zukunft zu einer viel größeren Gefahr als Massenmails. Viele Banken haben keine Pläne, wie sie ihre Kunden gegen die technischen Formen des Datendiebstahls schützen können."
Die ganze Story können Sie im aktuellen FORMAT (Nr. 3/2007) nachlesen!