Wie googeln in die Phishing-Falle führen kann
Um Online-Banking-Daten zu erbeuten, tricksen Cyberkriminelle immer öfter mit Internet-Suchmaschinen. Rufen Sie Ihr Banking-Portal nicht über die Browser-Suche auf! Das könnte in Abzocke enden. Aufklärungsinfos und einfache 10 Sicherheitsregeln stärken Ihren Schutz.
Zu den altbekannten Phishing-Methoden gehört, dass Kriminelle „gewinnversprechende“ Webseiten täuschend echt fälschen; sie veranlassen die Menschen mit unterschiedlichen Tricks zum Besuch ihrer betrügerischen Internetseite, um dort sensible Daten abzufischen. Mehrfach hat kartensicherheit.de schon darauf hingewiesen. Jetzt ist das Prinzip in einer neuen Variation aufgetaucht. Gefährdet sind besonders diejenigen, die digitales Banking hastig, mit halber Aufmerksamkeit nebenbei betreiben und vor allem: in Unkenntnis solcher kriminellen Möglichkeiten!
Google & Co. Grundwissen oder: So funktioniert das neue betrügerische Geschäftsmodell
Wussten Sie, dass Ihnen für Ihre Fragen ans Internet mehr als 40 Suchmaschinen zur Wahl stehen? Die gewaltige Marktmacht der populärsten Suchmaschinen – allen voran Google, das seit Jahren zu den drei wertvollsten Marken der Welt zählt – wird zusätzlich durch ein eigenes Werbesystem untermauert. Zu Google Ads beispielsweise kann sich jede:r kostenlos anmelden, um Anzeigen zu veröffentlichen. Die Inserent:innen sprechen potenzielle Kund:innen an, die in der Google-Suche oder auf Google Maps nach Angeboten ihres Interesses forschen. Ganz oben in der Google Suche ist dann das Inserat zu finden, klar gekennzeichnet als Werbung mit dem Wort „Anzeige“, bevor darunter die eigentlichen Suchergebnisse gelistet werden.
Und nun stellen Sie sich als Inserent:innen die Phishing-Bande vor: Deren betrügerische Werbeanzeige für eine Bank oder Sparkasse führt scheinbar zur Banking-Seite. Die Kund:innen, die die Webseite ihres Instituts gegoogelt hatten, gehen in Wirklichkeit auf einen betrügerischen Link ein. Mit einem fatalen Klick landen sie auf der Phishing-Seite, wo sie ihre Online-Banking Zugangsdaten eingeben sollen, teils auch noch weitere persönliche Informationen, und zur Phishing-Beute werden.
Technische Details oder: Wie die Täter:innen die Ausbeute für sich optimieren
Wer Anzeigen bei einem Suchmaschinenanbieter schalten will, der muss auch die Suchbegriffe vorgeben, mit denen die Menschen bei ihrer Recherche auf die Inserent:innen stoßen sollen. Das machen die Inserent:innen mit betrügerischen Absichten nicht anders; sie geben zum Beispiel den Namen eines großen Instituts als Suchbegriff an. Damit wird die Phishing-Seite der Betrüger:innen „angesprochen“, „gefunden“, sie wird vor den regulären Suchtreffern in der Ergebnisliste angezeigt. Im Grunde eine übliche Werbemechanik zur Steigerung der Wahrscheinlichkeit, dass der oben platzierte Link in der Liste aller Suchergebnisse bevorzugt angeklickt wird.
Die angebundenen Phishing-Seiten gestalten die Täter:innen in der bekannten Optik des jeweils gesuchten Instituts, so dass sich Opfer auf der originalen Instituts-Webseite wähnen. Verstärkt wird dieser Eindruck teilweise noch dadurch, dass die Täter:innen für ihre Phishing-Seiten eigene Internetadressen anlegen, fachsprachlich: Domänen registrieren. Diese Adressen sehen den Original-Domänen des betreffenden Instituts sehr ähnlich; häufig sind es sog. Vertipperdomänen, abweichend durch leicht zu übersehende Schreibfehler und andere Endungen als „.de“ (beispielsweise ".club").
Was konkret passiert oder: Bundesweit sind bereits zahlreiche Institute betroffen
Cyberkriminelle haben schon für eine ganze Reihe von Instituten in Deutschland entsprechende Suchmaschinen-Anzeigen geschaltet, um die Kund:innen zu diesen gefährlichen Webseiten zu lenken. In der Folge ist es leider auch schon zu Schadensfällen gekommen. Doch wie geht der Raubzug eigentlich genau weiter, wenn die Opfer zu einer dieser Phishing-Seiten gelangt sind? Es sind verschiedene kriminelle Gruppen aktiv, die im weiteren Verlauf ihrer Angriffe unterschiedliche Vorgehensweisen an den Tag legen.
• Szenario 1:
Gibt jemand seine Banking-Zugangsdaten auf der Köder-Webseite ein, wird ein Fehlercode und eine vermeintliche Instituts-Telefonnummer eingeblendet, an die sich das Opfer wenden soll. In Wirklichkeit führt diese Rufnummer jedoch zu einer Art Call-Center der Kriminellen. Nun soll das Opfer erst einmal den Fehlercode ablesen. Dieser Fehler erweist sich freilich als so brenzlig, dass das Opfer die „hilfsbereiten“ Fachleute zur Fernwartung auf seinen Rechner lassen soll. Folgt das Opfer dieser Aufforderung, übernehmen die Täter:innen vollends die Steuerung. Sie starten den Webbrowser, rufen die Webseite einer Kryptobörse auf und legen dort im Namen des Opfers ein Bitcoin-Konto an. Anmeldename und Passwort geben die Betrüger:innen ein, die Eingabefelder für die weiteren persönlichen Daten darf dann das Opfer ausfüllen. Auf diese Weise erhalten die Täter:innen die Kontrolle über dieses Bitcoin-Konto, das sie nun als ihr Geldbotenkonto verwenden. Außerdem gibt es auch Hinweise, dass die Opfer dazu verleitet werden, Gutscheine zu kaufen, die dann von den Kriminellen eingelöst werden.
• Szenario 2:
Die Opfer werden auf der Phishing-Seite aufgefordert, neben den Online-Banking-Anmeldedaten (Anmeldename und PIN) auch ihr Geburtsdatum und ihre Kartennummer einzugeben. Außerdem wird der Anruf vorgeblicher Institutsmitarbeiter:innen angekündigt.
Wenn Kund:innen diesen Aufforderungen nachkommen, können fortan von fremder Hand Anmeldungen beim Online-Banking stattfinden, gefolgt von Überweisungen oder Änderungen des Online-Banking-Limits – alles scheinbar im Namen des Opfers. Parallel können die Betrüger:innen Kontakt mit dem Opfer aufnehmen, um die Person zur Freigabe der Transaktion per pushTAN-App zu verleiten oder sich eine smsTAN bzw. chipTAN nennen zu lassen.
Insbesondere pushTAN-Nutzer:innen werden gerne ins Visier genommen, um die vollständige Kontrolle über das Generierungsverfahren zu erlangen. Die Betrüger:innen bestellen dazu im Online-Banking neue pushTAN-Registrierungsdaten, die per SMS an die Mobilfunknummer des Opfers gesendet werden. Dann kontaktieren sie das Opfer und verleiten es dazu, ihnen die Registrierungsdaten bzw. den entsprechenden Link weiterzugeben.
Einfache 10 Sicherheitsregeln für Ihr Online-Banking
1. Nutzen Sie die Adressleiste Ihres Browsers und nicht das Suchfeld, um die Webadresse Ihrer Bank oder Sparkasse einzugeben.
2. Installieren Sie einen bestimmten Browser ausschließlich fürs Online-Banking, während Sie zum täglichen Surfen einen anderen Browser einsetzen.
3. Schließen Sie zuerst alle anderen Browser, bevor Sie mit dem Online-Banking beginnen. Allein Ihr (exklusiver) Banking-Browser sollte dann geöffnet sein.
4. Während des Online-Bankings sollten Sie niemals parallel eine andere Webseite öffnen.
5. Melden Sie sich erst von der Banking-Seite ab und danach schließen Sie den Browser. Niemals die Banking-Sitzung durch Beenden des Browsers verlassen!
6. Man kann es nicht oft genug betonen: Bitte achten Sie auf ein aktuelles Antiviren-Programm auf ihrem Gerät! Bitte wählen Sie sich nicht im öffentlichen WLAN-Bereich in Ihren Online-Banking-Account.
7. Verwenden Sie einen Browser ohne installierte Erweiterungen (Add-Ons).
8. Checken Sie die Sicherheitseinstellungen Ihres Browsers (in den „Einstellungen“ unter „Datenschutz & Sicherheit“). Folgende Häkchen sollten aktiv sein: Bei „Berichtigungen“ das Merkmal „Warnen, wenn Websites versuchen, Add-Ons zu installieren“. Im Bereich „Sicherheit“ die folgenden drei Merkmale: „Gefährliche Inhalte blockieren“, „Gefährliche Downloads blockieren“, „Vor unerwünschter und ungewöhnlicher Software warnen“.
9. Haben Sie bereits Daten auf der Phishingseite eingegeben oder mit vermeintlichen Institutsmitarbeiter:innen telefoniert? Veranlassen Sie sofort die Sperrung Ihres Online-Banking-Zugangs. Dazu melden Sie sich entweder direkt beim Ansprechpartner Ihres kontoführenden Instituts oder Sie nutzen den kostenfreien Rund-um-die-Uhr-Service des Sperr-Notruf 116 116.
Im Schadensfall erstatten Sie bitte bei der Polizei Anzeige; das Aktenzeichen sollte Ihrem Institut mitgeteilt werden.
10. Falls Sie im Banking-Kontext auf eine betrugsverdächtige Suchmaschinen-Anzeige oder Webseite stoßen, machen Sie bitte einen Screenshot. Selbst wenn Sie diesen Nachweis nicht in eigener Sache brauchen, helfen Sie bei der Schadensbegrenzung und Aufklärung mit, wenn Sie solche Beweismittel an Ihre Bank oder Sparkasse weiterleiten.