Online-Banking: Pharming ist gefährlicher als Phishing

Auf der vorher­gehenden Seite haben wir Sie mit der Phis­hing-Proble­matik vertraut gemacht - Pass­wörter und Zugangs­daten werden aller­dings zuneh­mend auch über Spio­nage­pro­gramme ausge­späht, die sich unbe­merkt auf dem Rechner des Nutzers einnisten. Inzwi­schen werden sogar Webbrowser so mani­puliert, dass sich beim Surfen mani­pulierte Webseiten dazwi­schen schalten. Diese Vari­ante wird als Phar­ming bezeichnet. Dabei mani­pulieren Hacker zum Beispiel durch DNS-Spoo­fing den DNS-Server, der für die Umwand­lung der IP-Adresse der Bank zuständig ist, Bank­kunden werden dann auf eine gefälschte Website gelotst, die die der betref­fenden Bank imitiert, selbst wenn sie die rich­tige Web-Adresse eingeben oder den Link aus den Book­marks auswählen. Tätigt der Online-Banking-Kunde dann eine Über­wei­sung, gibt er seine Daten direkt an den Hacker weiter.

Online-Banking: Pharming ist gefährlicher als Phishing
Bild: teltarif.de Andere Schäd­linge nutzen wie herkömm­liche Compu­ter­viren auch soge­nannte Bot-Netze, um E-Mails an Hundert­tau­sende oder gar Millionen von Mail-Adressen zu versenden. Anders als bisher tragen diese Spam-Mails jedoch keinerlei schäd­lichen Code in sich und werden daher von den Viren­scan­nern nicht erkannt. Gefahr für das PC-System droht erst, wenn der Nutzer auf einen Link in der E-Mail klickt, der ihn auf eine Webseite führt, von der bei entspre­chender Browser-Einstel­lung der bösar­tige Code auto­matisch herun­ter­geladen wird.

Auch eine SSL-Verbin­dung - ange­zeigt durch das Schlüs­sel­symbol im Browser-Fenster - bietet keinen verläss­lichen Schutz der Online-Banking-Session. SSL stellt ledig­lich einen sicheren Tunnel zwischen dem PC des Nutzers und dem Bank-Portal dar, schützt aber nicht die Endpunkte dieser Verbin­dung. Deshalb können Trojaner die Infor­mationen schon abfangen, bevor sie via SSL verschlüs­selt werden.

Weitere Schutz-Maßnahmen

Um sich vor Spio­nage­pro­grammen zu schützen, sollten die Nutzer niemals Pass­wörter, Geheim­num­mern und Kredit­kar­ten­num­mern auf ihrem Rechner spei­chern. Zudem sollten die Pass­wörter regel­mäßig geän­dert werden und aus einer Kombi­nation aus Groß- und Klein­buch­staben sowie Ziffern und Sonder­zei­chen bestehen. Wenn die Verbin­dung während einer Online-Banking-Session abbricht - ein mögli­ches Anzei­chen für ein einge­nis­tetes Troja­nisches Pferd -, sollte der Nutzer sofort seine Bank infor­mieren. Es ist ratsam, sich danach sofort wieder einzu­loggen und die PIN zu ändern oder durch mehr­fache Falsch­ein­gabe der PIN den Onli­nezu­gang zu sperren. Gene­rell sollten die Nutzer die Vorgänge auf ihrem Konto über­prüfen. Eben­falls empfeh­lens­wert ist die Nutzung und regel­mäßige Aktua­lisie­rung einer Anti-Viren-Soft­ware und einer Fire­wall.

Für die eigenen Bank­geschäfte sollten die Kunden auch keines­falls in Internetcafés oder an andere öffent­lich zugäng­liche Computer gehen. In öffent­lichen Netz­werken lässt sich nämlich unter Umständen der Daten­ver­kehr mitloggen - und damit können auch die Zugangs­daten abge­griffen werden. Wer dennoch in Internetcafés surft, sollte nach Been­digung der Online-Session unbe­dingt den Cache des Brow­sers löschen, um alle persön­lichen Daten zu entfernen. Auch die Verwen­dung eines VPNs ist an öffent­lichen WLAN-Hotspots ratsam. Hundert­pro­zen­tigen Schutz verspricht jedoch keine dieser Maßnahmen.

Auch das neue iTAN-Verfahren, bei dem der Bank­rechner bestimmt, welche TAN der Kunde bei einer Über­wei­sung nehmen soll, stellt nur eine schnell einge­führte Halb­lösung dar, die inzwi­schen ausge­hebelt wurde. Andere Methoden dagegen - zum Beispiel der Einsatz von Online-Banking-Tech­nolo­gien wie HBCI (Home­ban­king Computer Inter­face) oder FinTS (Finan­cial Transac­tion Services) -, die größere Sicher­heit garan­tieren, haben die Kunden aus Bequem­lich­keits­gründen nicht ange­nommen. Die Legi­tima­tion erfolgt bei diesen beiden Methoden per Chip­karte oder Schlüs­sel­dis­kette.

Ein wich­tiger Schutz kann aber die Einrich­tung einer Zwei-Faktor-Authen­tisie­rung sein, die mitt­ler­weile durchaus verbreitet und teil­weise sogar Voraus­set­zung für den Login ist.

Ratgeber zum Thema "Sicherheit im Internet"

• Ratgeber: So finden Sie ein sicheres Passwort
• Passwort-Check: Zugangsdaten gehackt?
• Sicherheit für PC, Handy & Co.
• Tipps für mehr Sicherheit bei E-Mails
• Phishing: Gefahr für Kontodaten
• Authentisierung: 2FA bei Apple, Google, Amazon & Co.
• WLAN-Sicherheit: Heimisches Netzwerk schützen
• Digitaler Nachlass: Accounts erben und vererben
• Identitätsdiebstahl: So verhalten Sie sich richtig

Mehr zum Thema Sicherheit

• 15.04.24
  Warnung
  So schützen Sie sich vor Betrugsmaschen am Telefon
  
  Betrüger versu­chen regel­mäßig, Daten von Privat­per­sonen zu erschlei­chen. Beson­ders beliebt ist die Betrugs­masche per Telefon. Darauf können Sie achten, um nicht in die Falle zu tappen. zur Meldung
• 14.04.24
  Daten löschen
  Festplatten, SSD und Handy: So löschen Sie Ihre Daten richtig
  
  Privates, Sensi­bles oder Vertrau­liches findet sich auf jedem Rechner. Soll etwas davon gelöscht oder das Gerät verkauft werden, stellt sich die Frage: Sind die Daten wirk­lich weg? zur Meldung
• 13.04.24
  Internetkriminalität
  Identitätsdiebstahl: So können Sie sich schützen
  
  Immer wieder passiert es: Krimi­nelle ergau­nern im Internet die persön­lichen Daten von anderen und bestellen auf deren Kosten Waren oder schließen teure Abos ab. Wie man sich davor schützen kann. zur Meldung
• 12.04.24
  Ende
  Google stellt VPN-Dienst ein: Das ist der Grund
  
  Erst vor vier Jahren ist Google One VPN gestartet. Jetzt wird der Dienst wieder einge­stellt. Nur auf neueren Pixel-Smart­phones soll er weiterhin funk­tio­nieren. zur Meldung
• 11.04.24
  Gutachten
  Neue E-Perso-PIN darf nicht digital übermittelt werden
  
  Bei der Digi­tali­sie­rung der Verwal­tung spielt der elek­tro­nische Perso­nal­aus­weis eine zentrale Rolle. Doch viele Bürger haben die PIN vergessen, um den "E-Perso" über­haupt online einsetzen zu können. zur Meldung