BAV_nur_Blog_logo.svg
E-Banking
  • Kontakt
  • Kontakt
E-Banking
BAV_Blog_logo.svg

Suchen

Häufig gesuchte Begriffe

Öffnungszeiten

Filialenübersicht

Notfall

Hypothek

Kontakt

Telefon

+41 44 933 54 00

Mo – Fr: 08.00 bis 17.30 Uhr

Filialenübersicht

Kontaktformular

Absenden

Standorte

Finden Sie eine Filiale, eine Beratung oder einen Bancomat in Ihrer Nähe.

Filialenübersicht

Rechner

Chat

Anfrage

Schritt 1/2
Später fortsetzen
Weiter

Produkteröffnung

Die Gefahr von Echtzeit-Phishing

07.01.2025 von Sandro Wälchli

bav_blog_echtzeitphishing.png

Der Kunstbegriff «Phishing» setzt sich aus «Password» und «Fishing» zusammen und beschreibt eine Methode, wie Cyberkriminelle versuchen, an Zugangsdaten wie Nutzernamen und Passwörter zu gelangen. Dabei werden in den meisten Fällen die bekannten Kanäle wie E-Mail oder gefälschte Webseiten verwendet.Mittlerweile werden Phishing-Angriffe aber nicht mehr nur mit E-Mails durchgeführt, sondern vermehrt auch via Telefon und SMS. Die Kriminellen geben sich dabei oft als Mitarbeitende einer Behörde (z.B. der Polizei) oder als Mitarbeitende einer Bank aus und geben vor, verdächtige Zahlungen auf einem Konto entdeckt zu haben. Die Kriminellen sprechen dabei oft einwandfreies Deutsch oder sogar Schweizerdeutsch und kennen sich im Banking aus.

 

Der Modus Operandi eines Echtzeit-Phishing-Angriffs

Das folgende Beispiel zeigt auf, wie ein Echtzeit-Phishing-Angriff in der Realität aussehen könnte.

bav_blog_echtzeit-phishing.png

 

1. Kontaktaufnahme

Das Opfer erhält eine SMS-Nachricht im Namen der Compliance-Abteilung einer Bank. Dabei geben sich die Kriminellen als (Fake)-Compliance-Mitarbeitende aus und erwähnen eine verdächtige Zahlung auf dem Konto, welche man möglichst schnell stoppen sollte. Dabei werde aber die Hilfe des Opfers benötigt.

2. Antwort

Das potenzielle Opfer ist schockiert über die Nachricht der vermeintlichen Compliance-Abteilung und antwortet auf die SMS-Nachricht.

3. Zweiter Kanal

Nach der Antwort reagieren die Kriminellen in der Regel sehr schnell und schicken dem Opfer einen Link zu einem gefälschten E-Banking-Portal. Das gefälschte Portal sieht täuschend echt aus. Das Opfer meldet sich am vermeintlichen E-Banking an.

4. Echtzeit-Phishing

Während sich das Opfer am gefälschten E-Banking anmeldet, stehlen die Kriminellen die Zugangsdaten und melden sich fast gleichzeitig beim echten E-Banking der Bank an. Das Opfer erhält durch die Anmeldung der Kriminellen die Multifaktor-Meldung auf dem Mobiltelefon und bestätigt die Anmeldung, da es davon ausgeht, sich selbst im richtigen E-Banking angemeldet zu haben.

5. Weiterer Kanal

Die Kriminellen erfassen anschliessend eine Zahlung und rufen das Opfer an. Dabei zeigen sie die verdächtige Zahlung und löschen diese. Das Opfer wägt sich somit in Sicherheit, da tatsächlich eine verdächtige Zahlung durch eine vermeintliche Bankmitarbeitern gelöscht wurde.

6. Weiterer Zugang

Die Kriminellen bleiben mit dem Opfer in Kontakt und versuchen, sich einen eigenen Zugang zum E-Banking zu verschaffen, z.B. durch die Registrierung von weiteren Geräten für die Multifaktor-Authentifizierung. Oft sagen die Kriminellen dem Opfer, dass es sich aus Sicherheitsgründen für einige Tage nicht mehr im E-Banking anmelden soll.

7. Schaden

Die Kriminellen verfügen nun über einen gültigen E-Banking Zugang und können Zahlungen erfassen, signieren und somit grossen Schaden für das Opfer anrichten.

 

Erfolgreicher Betrug dank Multikanal-Pishing

Das perfide an dieser Masche ist, dass mehrere Kommunikationskanäle verwendet werden. Man spricht dabei auch von Multikanal-Phishing. Durch die Verwendung von mehreren unterschiedlichen Kanälen steigt die Erfolgschance für die Kriminellen, denn das potenzielle Opfer geht eher davon aus, mit echten Behörden oder Bankmitarbeitenden zu kommunizieren, als wenn die Kommunikation nur über einen einzigen Kanal (z.B. E-Mail) geschieht. Durch die Verwendung mehrere Kanäle und die Kontaktaufnahme via Telefon stellt sich der Sachverhalt für das potenzielle Opfer «echter» dar.

Tipps gegen Echtzeit Phishing:

Folgende Tipps bieten einen guten Schutz gegen Echtzeit-Phishing:

  • Die E-Banking-URL immer manuell im Browser eingeben oder über die offizielle Bank-Website darauf zugreifen.
  • Nur offizielle Mobilebanking-Apps der eigenen Bank verwenden.
  • Niemals die Zugangsdaten (Username und Passwort) jemandem bekanntgeben.
  • Keine MFA-Meldungen (Multi-Faktor-Authentifizierung) bestätigen, wenn der Ursprung nicht klar ist.
  • Beim kleinsten Verdacht das Gespräch beenden und über die Hauptnummer die Bank kontaktieren.

Spannende Links zum Thema

  • Sicherheits-News

    Informieren Sie sich über aktuelle News zum Thema Datensicherheit.

    Mehr dazu

  • Kurse zum Thema Sicherheit

    «E-Banking - aber sicher!» bietet verschiedene Kurse zum Thema Sicherheit an. Die Kurse werden durch unsere Partnerin, die Hochschule Luzern, durchgeführt und helfen Ihnen Ihre digitale Sicherheit zu verbessern.

    Mehr dazu

  • Schutz vor Betrug

    Unter keinen Umständen erfragen wir von Ihnen vertrauliche Informationen. Betrüger versuchen dies immer wieder per E-Mail mit gefälschtem Absender oder Telefon. So beugen Sie vor:

    Mehr dazu

Sandro

Sandro Wälchli

Chief Information Security Officer

Als Chief Information Security Officer (CISO) bin ich verantwortlich für die Informationssicherheit bei der Bank Avera. Zudem bin ich Member of the Exercices and Training Chapter bei Swiss FC-CSC und Member of the Cyber Security Task Force beim Verband Schweizer Regionalbanken (VSRB).

Alle Artikel


Das könnte Sie auch interessieren