Aus aktuellem Anlass: InfoGuard CSIRT warnt vor E-Banking-Betrugsfällen

Das Computer Security Incident Response Team (CSIRT) von InfoGuard deckte in den letzten Wochen zahlreiche aktuelle Betrugsseiten für E-Banking-Systeme von Schweizer Banken auf. In Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC) ist es einerseits gelungen, eine proaktive und koordinierte Warnung an die betroffenen Banken auszusprechen. Andererseits haben wir die Unternehmen sogleich über Massnahmen zum erfolgreichen Entfernen der kopierten und gefälschten Webseiten informiert. Wie diese perfiden Angriffe im Detail ablaufen, die es augenscheinlich auf Privatkunden-Konten von Schweizer Banken abgesehen haben, und wie Sie sich effektiv schützen können, zeigt Ihnen unser Principal Cyber Security Analyst Stefan Rothenbühler in diesem Artikel.

Google Werbung als Eintrittsportal

Noch immer kursieren im Internet betrügerische Webseiten. Diese zielen darauf ab, Kundinnen und Kunden zur Eingabe von persönlichen Daten zu bewegen. Die verschiedenen Angriffe auf renommierte Schweizer Banken erfolgten in den letzten Wochen alle nach demselben Schema: Die Webseite bzw. Landing Page des E-Banking-Services der betroffenen Bank wurde fast gänzlich 1:1 kopiert und unter einer neuen, gefälschten Domain aufgeschaltet, welche der betroffenen Bank auf den ersten (und leider auch zweiten) Blick sehr ähnlich sieht.

Gefälschte Landing Page für E-Banking-Login (anonymisiertes Beispiel)

Glanzpunkt der Attacken – zumindest auf Sicht der Angreifer – folgte aber erst noch. Um nun die ahnungslosen Opfer auf die gefälschte E-Banking-Login-Seite zu locken, bedienten sich die Angreifer einer sehr raffinierten Methode: Sie setzten auf Google Ads, das mit Abstand populärste SEA (Search Engine Advertising) System der Welt von Google. Oder anders formuliert: Sie schalteten Werbeanzeigen, so dass die gefälschten Seiten noch vor den eigentlichen Suchresultaten angezeigt wurden. Die Chance, dass die unwissenden Opfer auf die zuoberst erscheinenden Suchresultate klicken, hat sich bestätigt. Heutzutage sind die URL-Felder im Browser so konstruiert, dass die eingegebenen Zeichenfolgen automatisch via hinterlegter Suchmaschine – in den allermeisten Fällen Google – gesucht werden. Nicht selten sind viele Leute so bequem, dass sie dies nutzen. Erschwerend kommt hinzu – und das höre ich leider auch aus meinem Umfeld noch immer (zu) oft –, dass nicht die eigentliche URL eingegeben, sondern einfach die Wörter «E-Banking» und der Name der Bank ins Adressfeld getippt und dann auf die erscheinenden Google-Resultate vertraut wird. Insbesondere im Falle von so heiklen und sensiblen Daten und Services wie das Beispiel von E-Banking sollte das aber unter keinen Umständen gemacht werden.

Unsere Empfehlung: Kontrollieren Sie die URL immer ganz sorgfältig. Und öffnen Sie das entsprechende E-Banking Ihrer Bank des Vertrauens ausschliesslich über deren offizielle Webseite.

Gefälschte Werbeanzeige, getarnt als Google Ad

Zur besseren Veranschaulichung haben wir Ihnen ein (anonymisiertes) Beispiel einer solchen gefälschten Google Werbeanzeige aufgeführt. Bei der einen Kantonalbank, welche übrigens sehr schnell auf die Warnung unserer CSIRT-Experten reagiert und für ihre Kundinnen und Kunden umgehend eine Warnung auf der E-Banking-Login-Seite aufgeschaltet hat, handelt es sich lediglich um ein Beispiel. In der Schweiz waren in den letzten Wochen mehrere Banken von diesen perfiden und höchst professionell ausgeführten Angriffen betroffen.

Effektiver Schutz vor Betrug beim Online Banking

In diesem Kontext stellt sich nun die dringliche Frage, wie man sich vor solchen Angriffen schützen kann. Wir möchten die Gelegenheit in diesem Artikel nutzen und die effektivsten Massnahmen zum Schutz vor Betrug im Online Banking aufzeigen. Und zwar sowohl aus Sicht von Endkunden, als auch aus Sicht von E-Banking-Servicedienstleitern.

Schutz für Endkunden

Als Benutzer von E-Banking können Sie sich wie folgt schützen:

• Geben Sie immer die vollständige URL der gewünschten Webseite in das Adressfeld ein. Und zwar selbständig. Suchen Sie nicht über Google.
• Alternativ: Öffnen Sie die Login-Seite Ihres E-Banking-Anbieters nur über die offizielle Webseite der entsprechenden Bank oder speichern Sie die URL in Ihren Favoriten ab.
• Verwenden Sie für das E-Banking ein separates Benutzerprofil in ihrem Windows oder zumindest einen separaten Browser – respektive den Inkognito-Modus.
• Wenn das Laden der Abfrage des zweiten Faktors länger dauert (PhotoTAN, etc.), empfehlen wir Ihnen die Session zu schliessen und diese in einem neuen Browser-Fenster erneut zu starten.
• Klicken Sie nie auf Links, die Sie per E-Mail zugeschickt bekommen. Die Gefahr, dass es sich um Phishing-Mails handelt, ist insbesondere in diesem Sektor sehr hoch.

Schutz für Anbieter von E-Banking-Services

Auch als Bank respektive Anbieterin von E-Banking-Services können Sie Massnahmen ergreifen, um Ihre Kundinnen und Kunden zu schützen. Es sind dies:

• Stellen Sie sicher, dass das Hinzufügen von neuen Geräten für PhotoTAN nur via Briefpost möglich ist.
• Lassen Sie Ihre E-Banking-Domains mit einem Typosquatting-Monitoring auf die Registration von gefälschten Domains überprüfen und monitoren.
• Untersuchen Sie die Logs Ihrer Webserver nach ungewöhnlichen Referrals. Oft binden die Angreifer Bilder in ihre gefälschten Webseiten direkt ein oder vergessen die Links zu ersetzen.
• Untersuchen Sie die Logs Ihrer E-Banking Web Application nach Sessions, welche eine längere Dauer zwischen Passworteingabe und PhotoTAN-Bestätigung aufweisen.
• Überprüfen Sie die E-Banking-Konten nach neu hinzugefügten Geräten für PhotoTAN.

Weitere interessante Informationen über Cyber Security und Cyber Defence speziell für Banken und Finanzdienstleister finden Sie in dieser kostenlosen Broschüre.

Cyber Threat Intelligence Service

Für Anbieter von E-Banking-Services ist es entscheidend, dass Sie Bedrohungen für Ihre Unternehmung, Netzwerke, Systeme, Applikationen und Services frühzeitig identifizieren. Unsere Security Analysten aus dem InfoGuard Cyber Defence Center unterstützen Sie sehr gerne und liefern Ihnen einerseits konkrete Empfehlungen für effektive Gegenmassnahmen und andererseits liefern sie Ihnen wichtige Erkenntnisse zur gezielten Prävention, Abwehr und Reaktion.

Interessiert? Unsere Spezialist*innen freuen sich über Ihre Kontaktaufnahme. Hinterlassen Sie beim Formular einfach das Stichwort «Cyber Threat Intelligence Service» und wir werden unmittelbar mit Ihnen Kontakt aufnehmen, um Ihre individuellen Bedürfnisse zu evaluieren und Sie bestmöglich zu unterstützen.