Erfreulich: Dramatischer Rückgang beim Banken-Phishing

Identitätsdiebstahl im Umfeld von Online-Banking ist laut des aktuellen Cybercrime-Lageberichts auf dem Rückzug. Vor allem beim Phishing. Das Bundeskriminalamt gibt deshalb aber noch lange nicht Entwarnung.

Einen Rückgang des Phishings auf 723 Fälle meldet die polizeiliche Kriminalstatistik des Bundeskriminalamtes (BKA) für das Jahr 2018. Das ist ein Rückgang von fast 50 Prozent innerhalb eines Jahres, im Vorjahr lag die Zahl noch bei 1425, und eine Reduktion um fast 90 Prozent gegenüber dem Höchststand von 2014 mit beinahe 7000 Fällen.

Laut Bundeslagebild Cybercrime 2018, welches das BKA in Kooperation mit dem German Competence Centre against Cyber Crime (G4C) erstellt hat, gehen die Ermittler bei diesem Delikt von einer sehr geringen Dunkelziffer aus, da die Standardprozesse der Banken eine Erstattung nur in den Fällen erlauben, in denen Kunden eine polizeiliche Strafanzeige gestellt haben.

Schwerpunkt „klassisches“ Phishing

Im ersten Halbjahr 2018 wurde kaum Malware eingesetzt, um Identitätsdaten zu entwenden. Die Täter verlegten sich hauptsächlich auf das klassische Phishing, bei dem Opfer über E-Mail kontaktiert und zur Preisgabe dieser Daten verleitet werden. In der zweiten Hälfte des Jahres 2018 stieg die Fallzahl zum Phishing mittels Malware wieder an, unter anderem wurden häufigere Angriffe mittels der Malware „Trickbot“ in Deutschland registriert.

Als weitere Variante nutzten die Kriminellen das sogenannte SIM-Swapping bzw. SIM-Jacking. Hierbei handelt es sich um einen Account Take Over, bei dem die Täter die Mobilfunk-Rufnummer des Kunden auf eine eigene SIM-Karte übertragen lassen und darüber Nachrichten, wie beispielsweise Mobile-TANs, empfangen oder Passwörter für E-Commerce-Plattformen und Banking-Apps neu vergeben können.

Bundesweit tätige Gruppe ausgehoben

Anfang 2019 gelang den Ermittlern ein bedeutender Schlag gegen die kriminelle Phishing-Szene. Sie konnten eine bundesweit operierende Gruppe zerschlagen, welche sich seit 2018 illegal Online-Zugangsdaten von Kunden verschiedener Bankinstitute verschafft hatte, Ersatz-SIM-Karten angefordert und diese anstelle der rechtmäßigen SIM-Karten hatte aktivieren lassen.

So konnten die Täter TANs anfordern und selbst Überweisungen ausführen oder Zahlungen in Online-Shops autorisieren. Sie sollen auf diese Weise rund 1,5 Mio. Euro erbeutet haben. Laut BKA sei auch das pushTAN-Verfahren, das unter anderem beim mobilen Online-Banking der Sparkassen zum Einsatz komme, auf ähnliche Weise angegriffen worden.

Keine Entwarnung

Das BKA betont allerdings: Technische Angriffe gegen Mobile Banking Apps seien in Deutschland bislang noch nicht erfolgreich gewesen. Ein Risiko sei das mobile Banking jedoch trotzdem. So gebe es neben den Apps der Banken zunehmend freie multibankfähige Apps, die es ermöglichen, Konten bei verschiedenen Banken zu verwalten. Diese seien häufig mit einer zweiten Anwendung, der TAN-App kombiniert, die eine Transaktionsnummer generiert, um die in der Banking-App getätigte Transaktion abzusichern.

Weil viele Nutzer den Schutzbedarf mobiler Geräte unterschätzen, nehmen Angreifer diese TAN-Apps vermehrt ins Visier. Über manipulierte Apps, E-Mails, Chat- oder Kurznachrichten versuchen die Täter die Smartphone-Nutzer auf gefälschte Webseiten mit Eingabeaufforderungen zu locken, um dort Passwörter, Banking-TANs oder Kreditkartennummern abzugreifen.

Aus diesem Grund geben die Ermittler trotz der 2018 weiter rückgängigen Fallzahlen keine Entwarnung. Auch IT-Security-Dienstleister wie Kaspersky sehen FinTechs und Mobile-Banking weiterhin im Fokus von Cyberkriminellen. hj