Mobile-Banking - Diese Methoden werden zum Betrug genutzt | 2023

Online Banking Smartphone gefährlich 2023

Pharming, Phishing, Malware: Die häufigsten Angriffe beim Online-Banking und was Smartphone Banking zur Mobile-Banking-Sicherheit beachten sollten in 2023.

Was Smartphone- und Online-Banking-User wissen sollten | Gefahren 2023

Transaktionen schnell von unterwegs erledigen. Dazu wird mittlerweile gerne auf das Smartphone zurückgegriffen. Mit einer Mobile Banking App kann man bequem auf das eigene Konto zugreifen und Überweisungen tätigen. Mobile Banking ist, ähnlich wie das Online-Banking selbst, jedoch nicht ohne Risiken. Betrüger nutzen verschiedene Methoden, um an die Zugangsdaten für das Online-Banking zu gelangen. Schnell entsteht ein hoher finanzieller Schaden.

Diese Gefahren lauern beim Mobile Banking

1. Schadsoftware/Malware

Eine Angriffsmethode, insbesondere beim Online-Banking, ist der Einsatz von sogenannter Malware. Diese Schadsoftware zeichnet die Tastatureingaben des Nutzers auf und leitet sie an den Angreifer weiter. Getarnt als nützliches Computerprogramm oder App gelangt Malware wie ein trojanisches Pferd auf das Gerät des Nutzers und wird zum Ausspionieren von Bank- und Zugangsdaten verwendet. Der Angriff ist für den unvorbereiteten Nutzer nicht offen erkennbar. So kann etwa ein vorgetäuschter Verbindungsabbruch das Abfangen von Benutzereingaben verschleiern. Die Schadsoftware kann auf verschiedenen Wegen auf das Gerät gelangen. Der versehentliche Besuch einer schädlichen Webseite oder auch eine Sicherheitslücke im Betriebssystem des Gerätes, die durch einen Exploit ausgenutzt wird, können Gründe dafür sein.

2. Pharming

Eine weitere typische Angriffsmethode ist das Pharming. Ziel des Angriffs ist der DNS-Server einer Website. Über diesen wird der URL-Link einer Website in die zugehörige IP-Adresse übersetzt. Beim Pharming wird ein DNS-Server so manipuliert, dass die Adresse der Webseite nicht auf die gewünschte Seite, sondern auf die Seite des Betrügers weiterleitet. Die gefälschte Seite sieht der eigentlich gewünschten Seite täuschend ähnlich, da sie detailgetreu nachgebildet ist. Gibt der Nutzer dort seine Zugangsdaten ein, gelangt er jedoch nicht zu seinem Bankkonto, sondern gibt seine Daten an den Angreifer weiter.

3. Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff schaltet sich ein Dritter zwischen die Kommunikation zwischen Bank und Bankkunden. Diese wird abgefangen und der Zahlungsauftrag vor der Autorisierung durch den Nutzer manipuliert. Auf diese Weise wird dem Nutzer eine Autorisierung für einen Zahlungsauftrag erschlichen, den er gar nicht wollte.

4. Phishing

Die Angriffsvariante Phishing ist vielen Nutzern bekannt. Dabei wird mit verschiedenen Methoden versucht, an die Zugangsdaten eines Online-Banking-Nutzers zu gelangen. Dabei wird gerne auf E-Mails oder SMS zurückgegriffen, die den Eindruck erwecken, es handle sich um eine offizielle Nachricht der Bank des Nutzers, indem in der Absenderadresse der tatsächliche Name der Bank verwendet wird. Phishing kann auch per Telefon erfolgen. Beim sogenannten Voice-Phishing handelt es sich um automatisierte Telefonanrufe, bei denen der Betroffene unter einem Vorwand zur Preisgabe seiner Zugangsdaten verleitet werden soll.

5. Social Engineering

Beim Social Engineering wird die Gutgläubigkeit des Opfers ausgenutzt. Ein solcher Angriff zielt auf menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft oder Autoritätshörigkeit als Schwachstelle ab. So wird dem Opfer beispielsweise vorgegaukelt, es handele sich bei dem Anrufer um einen Systemadministrator, der die Zugangsdaten des Opfers benötigt, um eine angeblich bestehende Sicherheitslücke zu schließen. Das Opfer, das auf die Täuschung hereinfällt, handelt daher häufig in dem Glauben, Schaden abzuwenden. Damit die Identitätstäuschung des Angreifers gelingt, wird der Social-Engineering-Angriff regelmäßig sorgfältig vorbereitet. Im Vorfeld werden durch Phishing Daten ergaunert, um das Opfer zu täuschen. So berichten Opfer, dass Angreifer sie mit dem korrekten Namen des tatsächlich zuständigen Kundenbetreuers angerufen haben oder bereits über bestimmte Kontobewegungen Bescheid wussten.

Wie kann man einem Mobile-Banking-Angriff vorbeugen?

Betriebssystem und Virenschutz regelmäßig aktualisieren

Den Zahlungsdienstnutzer trifft nach § 675l BGB eine allgemeine Pflicht zur Sicherung seiner IT-Infrastruktur. Dies bedeutet, dass er seinen Computer oder sein Smartphone mit entsprechender Software zur Abwehr typischer Angriffsarten ausstatten muss. Die Anforderungen sind je nach Gerät unterschiedlich. Beim Online-Banking am Computer sollte dieser über ein aktuelles Antivirenprogramm verfügen. Darüber hinaus sollten sowohl das Betriebssystem als auch die Antivirensoftware regelmäßig durch Sicherheitsupdates aktualisiert werden.

Alternative Legitimations- und Übertragungsverfahren

Beim Online-Banking besteht die Möglichkeit, den FinTS- oder EBICS-Standard zu nutzen. Hierbei handelt es sich um Online-Banking-Softwareprodukte, bei denen der Nutzer über standardisierte Legitimations- und Übertragungsverfahren mit dem Zahlungsdienstleister kommuniziert. Dies empfiehlt sich insbesondere für Unternehmen und Nutzer mit großvolumigen Aufträgen.

Vorsicht walten lassen

Bei Verdachtsmomenten, die auf einen Online-Banking-Angriff schließen lassen, sollte im Zweifelsfall die Nutzung von Online- oder Mobile-Banking eingestellt und eine sofortige Kontosperrung bei der Bank veranlasst werden. Hier gilt das bekannte Sprichwort: Vorsicht ist besser als Nachsicht. Stellen Sie beim mTAN-Verfahren Abweichungen zwischen dem gewünschten Zahlungsauftrag und dem in der SMS angegebenen Zahlungsauftrag fest, sollten Sie den Vorgang unbedingt abbrechen. Gleiches gilt, wenn Sie auf einer Website, per E-Mail oder telefonisch aufgefordert werden, mehrere TANs für einen Zahlungsauftrag einzugeben.

Keine sicherheitsrelevanten Änderungen am Gerät vornehmen

Insbesondere beim Mobile Banking, also der Nutzung des Smartphones für das Online-Banking, sollten keine Geräte verwendet werden, deren Hard- oder Software verändert wurde. Apple-Geräte sind aufgrund ihres geschlossenen Systems, bei dem jede Anwendung vor der Veröffentlichung auf Schadsoftware geprüft wird, besonders sicher. Dieser Schutz geht jedoch verloren, wenn ein sogenannter Jailbreak, also eine Veränderung der Software, durchgeführt wird. Ähnlich verhält es sich bei Geräten mit dem Betriebssystem Android. Auch hier ist Software, die über den systemimmanenten Play Store bezogen wird, verifiziert. Mittels Side-Loading kann jedoch auch hier ungeprüfte Software aus unbekannten Quellen installiert werden, was ein Sicherheitsrisiko darstellt. Software für Smartphones sollte daher grundsätzlich nur von offiziellen Quellen heruntergeladen werden.

Leichtfertigen Umgang mit sensiblen Daten vermeiden

Das für das Online-Banking verwendete Gerät sollte vor dem Zugriff Dritter geschützt werden. Am Computer kann dies durch die Einrichtung eines Passworts geschehen. Beim Smartphone sollte das Entsperren des Displays mit einem Passwort gesichert werden. Darüber hinaus sollten alle sensiblen Daten und die zur Autorisierung verwendeten Geräte sicher verwahrt werden.

Schaden durch Mobile-Banking-Angriff - Was kann man tun?

Grundsätzlich haftet die Bank dem Zahlungsdienstnutzer nach § 675u Satz 2 BGB, wenn sie nicht autorisierte Zahlungsaufträge ausführt. Kann der Zahler also nachweisen, dass er einen entsprechenden Auftrag nicht autorisiert hat, steht ihm ein Erstattungsanspruch zu. Verstößt der Zahlungsdienstnutzer jedoch grob fahrlässig gegen seine Pflicht aus § 675l BGB, angemessene Vorkehrungen gegen nicht autorisierte Zugriffe zu treffen und die Bank im Falle einer missbräuchlichen Verwendung unverzüglich zu unterrichten, kann die Bank die Erstattung berechtigterweise verweigern.

Suchen Sie einen Anwalt für Bank- und Kapitalmarktrecht?

Kontaktieren Sie die Kanzlei Hermann Kaufmann und vereinbaren Sie einen persönlichen Beratungstermin. Als Fachanwaltskanzlei für Bank- und Kapitalmarktrecht verfügen wir über die nötige Expertise, um Sie professionell und individuell zu beraten und Ihr Recht notfalls auch vor Gericht durchzusetzen.

Dieser Artikel ist stark vereinfacht und dient lediglich zu Informationszwecken. Eine individuelle Beratung mit einem Rechtsanwalt ist zu empfehlen!