Aktuell treten wieder vermehrt Phishing-Kampagnen auf, die das Ziel verfolgen, die Zugangsdaten deutscher Online-Banking User zu stehlen. Die groß angelegten Kampagnen sind den Banken in der Regel bekannt – weshalb diese ihre Nutzer auf ihren Webseiten warnen.
So hat etwa die GLS Bank in den letzten Wochen und Monaten besonders raffinierte Phishing Versuche beobachten können. Unter anderem wurde ein gefaktes Stellenangebot genutzt, um sich als Arbeitgeber GLS Bank auszugeben und so sensible Daten während des digital geführten ‚Bewerbungsgesprächs’ zu erbeuten. Die Bewerbung wurde per WhatsApp geführt.
Eine weitere Betrugsmasche: Anrufe von vermeintlichen Microsoft-Mitarbeitenden. Der Cyberkriminelle gibt sich als Support-Techniker aus, der einen Zugang zur Fernwartung benötigt. Dazu fragt er die Zugangsdaten für das Online-Banking am Telefon ab.
Auch Smishing bleibt Trend in der Cyberkriminellen-Szene. Die Masche, per SMS personenbezogene Daten zu ergaunern, ist nicht neu. Das BSI warnt aber nun vor einer neuen Methode: Die gefälschten SMS sollen die Opfer zur Installation einer App bewegen. Diese App bringt dann die eigentliche Schadsoftware auf das System.
Seit August 2021 deutliche Zunahme der Phishing-Versuche
Insbesondere seit Ende August 2021 ist eine deutliche Zunahme von Phishing-Versuchen zu beobachten, die in erster Linie deutsche Online-Banking Nutzer zum Ziel haben.
Die Kriminellen gehen dabei sehr geschickt vor: Sie bauen Landing Pages auf, die denen der echten Banken zum Verwechseln ähnlich sind. Ausgangspunkt ist in der Regel eine gefälschte E-Mail der Sparkasse oder Volksbank, die dazu animiert, auf einen Link zu klicken, der vermeintlich auf die originale Webseite der jeweiligen Bank führt. Doch leitet der Link den User tatsächlich auf die nachgebauten Fake-Seiten der Datendiebe.
Derzeit haben es die Cyberkriminellen auf Daten zur Niederlassung der Bank sowie auf den Benutzernamen und die Online-Banking PIN des jeweiligen Opfers abgesehen.
Besonders brisant: Zuletzt nutzten die Cyberkriminellen Geo-Fencing-Techniken, um sicherzustellen, dass ausschließlich User in Deutschland auf die Phishing-Seite umgeleitet werden. Befindet sich das Opfer nicht in Deutschland, wird es zu einer vermeintlichen Touristeninfo-Webseite weitergeleitet. Befindet sich das Opfer jedoch in Deutschland, wird es auf die nachgebaute Bank-Webseite weitergeleitet.
Auf dieser Webseite werden dann die oben genannten Daten abgefragt, weil sie für den vermeintlichen Login notwendig sind.
Bis heute registrieren die Hacker ständig neue Domains – die Phishing Kampagnen laufen weiter.
Phishing-Versuche im Online-Banking: Wie Sie sich schützen
Wie so oft bei Phishing Kampagnen, wird auch im Fall der jüngst stattgefundenen Phishing-Versuche die Schwachstelle Mensch ausgenutzt. Ziel ist nicht, eine Sicherheits-Infrastruktur zu umgehen, sondern den Menschen am Rechner zu täuschen.
Damit Sie nicht auf solch einen Phishing-Versuch hereinfallen, berücksichtigen Sie folgende Tipps:
- Nehmen Sie an Awareness Trainings mit simulierten Angriffen teil
- Versuchen Sie, gefälschte Phishing Mails herauszufiltern, bevor Sie Ihr Postfach erreichen
- Investieren Sie in Anti-Phishing-Lösungen, die Fake-Webseiten erkennen und den eingehenden E-Mail Traffic überwachen
Testen Sie Ihr Wissen rund um die Erkennung von Phishing-Mails. Melden Sie sich jetzt kostenfrei zur IT-Seal Phishing Demo an
