24. Aug 2004 09:34
Kunden deutscher Banken wurden am Wochenende erneut Opfer einer so genannten «Phishing»-Attacke. Dabei locken Betrüger per E-Mail auf Websites, um dort dann die Daten zu stehlen.
Besitzer von Konten bei Postbank und Deutscher Bank wurden am Wochenende Opfer einer so genannten «Phishing»-Attacke. In Spam-Manier vornehmlich an deutsche Adressaten versandt, forderten Tausende gefälschte E-Mails dazu auf, sich auf angebliche Websites der Institute einzuloggen. Dort warteten allerdings die Server der Betrüger, um Kontonummer, Geheimzahl (PIN) sowie eine Transaktionsnummer (TAN) zu erhalten, mit denen voller Zugriff auf die Bankkonten möglich ist. Wer diese dann dort eingab, sah sich schnell mit einem leeren Konto konfrontiert.
Im Gegensatz zu früheren «Phishing»-Angriffen gaben sich die Betrüger diesmal hoch professionell: Sie trugen sich Internet-Adressen ein, die dem Original glichen - «postbanks.info» sowie «deutsche-bnk.info». Außerdem waren die Seiten recht perfekte Nachbauten der Originale - einziger Unterschied: Normalerweise wird keine TAN beim Einloggen verlangt. Beide «Phishing»-Websites wurden inzwischen auf Betreiben der betroffenen Institute von den jeweiligen Providern abgeschaltet; nach den Tätern wird gefahndet. Es sei allerdings erfahrungsgemäß schwierig, diese zu ermitteln, hieß es aus der Pressestelle der Postbank gegenüber dem IT-Nachrichtendienst «Heise».
In ihren E-Mails gaben sich die «Phishing»-Betrüger besonders dreist: Sie erläuterten in den Schreiben, wie sich die User vor solchen Angriffen schützen könnten. Man rechnete offenbar damit, dass die Opfer diese nicht lesen würden. Weder Deutsche Bank noch Postbank kommunizieren mit ihren Kunden auf diese Art per Mail und fordern diese zur Eingabe von Zugangsdaten auf; dennoch verlockte das offizielle Aussehen der Schreiben offenbar viele Nutzer. Unklar ist, wie viele auf den «Phishing»-Betrug hereinfielen - potenziell betroffene Nutzer sollten schnell ihre PIN ändern und die TANs sperren lassen.Bester Weg zu einem sicheren Online-Banking ist das Eingeben der Bankadresse von Hand oder das Selektieren eines entsprechenden Bookmarks - Links in dubiosen E-Mails sollte man hingegen nie folgen. Problematisch ist auch, dass bestehende Lücken in Browsern wie dem Internet Explorer ein Fälschen der Adresszeile möglich machen, so dass der Benutzer nicht weiß, wo er sich tatsächlich befindet. Deshalb gilt der manuelle Banking-Start als der sicherste. «Phishing»-Attacken sind nicht selten - so wurden kürzlich bereits Kunden der Postbank attackiert.
