Zum Hauptinhalt springen

Mit der zunehmenden Beliebtheit von Online-Banking-Diensten hat auch der Online-Banking-Betrug zugenommen. Bank-Phishing-Betrug ist zu einer der häufigsten kriminellen Aktivitäten im Internet geworden. Cyberkriminelle stehlen nicht nur Anmeldedaten für Bankkonten, sondern auch Kredit- und Debitkartendaten, um sich selbst zu bereichern. Doch wie genau funktioniert diese Cyberkriminalität und welche Folgen hat sie für den Einzelnen?

Was ist Online-Bankbetrug?

Online-Bankbetrug liegt im Wesentlichen dann vor, wenn es einem Cyberkriminellen gelingt, die digitalen Bankdaten einer Person — oder eines Unternehmens — zu stehlen und Zugang zu den zugehörigen Bankkonten oder Kreditkarten zu erhalten. Dies nutzen sie dann zu ihrem Vorteil, indem sie entweder direkt Geld von ihrem Konto abheben oder andere Arten von Finanzbetrug begehen. Rechtlich gesehen umfasst der Begriff Online-Banking-Betrug alle Arten von kriminellen Aktivitäten, die über die App oder die Website einer Bank durchgeführt werden. Dazu gehört auch der illegale Zugriff auf die Konten anderer Personen, um deren Geld zu verwalten oder zu überweisen.

Der hochgradig digitalisierte Charakter des modernen Bankwesens bietet Angreifern viele verschiedene Möglichkeiten, diese Straftaten auszuführen. Obwohl die Banken immer mehr Maßnahmen ergreifen, um ihre digitalen Dienste zu sichern und die Konten ihrer Kunden zu schützen, ist es aufgrund der zunehmenden Raffinesse dieser Angriffe äußerst schwierig, zu erkennen, wann diese Betrügereien durchgeführt werden, und sie zu verhindern.

Wie funktioniert der Bankbetrug?

Cyberkriminelle nutzen immer raffiniertere Mittel, um ahnungslose Opfer dazu zu verleiten, versehentlich ihre Bankdaten preiszugeben und Online-Banking-Betrug zu begehen. Oft sind diese Angriffe multidimensional und umfassen eine Vielzahl von Techniken, so dass es schwierig ist, sie zu identifizieren. Aus diesem Grund ist es wichtig, dass jeder, der Online-Banking-Dienste nutzt, diese Angriffe kennt, damit er sich vor ihnen schützen kann. Es gibt zwei Hauptarten von Online-Banking-Betrug: Kontoübernahmen (ATO) und automatische Überweisungssysteme (ATS).

Kontoübernahmen

ATOs sind digitale Bankbetrügereien, bei denen Cyberkriminelle mit gestohlenen Informationen ein Bankkonto übernehmen. Bei diesen Angriffen kommen häufig Social-Engineering-Techniken oder Malware zum Einsatz, und die fortgeschrittensten Angriffe verwenden beides. Im Folgenden finden Sie einige der häufigsten Methoden, mit denen Cyberkriminelle Online-Banking-Betrug und ATOs durchführen:

  • Phishing: Bei Bank-Phishing-Betrügereien gibt sich der Phisher als das legitime Bankinstitut des Opfers aus und sendet eine E-Mail, in der er das Opfer auffordert, seine Anmeldedaten zu bestätigen. In der Regel enthält die E-Mail einen Link zu einer betrügerischen Website, die die echte Website der Bank imitiert — wenn hier die Anmeldedaten eingegeben werden, kann der Phisher sie stehlen. Deshalb erinnern die Banken ihre Kunden regelmäßig daran, dass sie niemals nach sensiblen Daten wie Passwörtern oder persönlichen Identifikationsnummern (PINs) fragen werden. Um die Erfolgschancen zu erhöhen, wird in der Phishing-E-Mail häufig darauf hingewiesen, dass das Bankkonto gesperrt wird, wenn der Kunde nicht auf die Bestätigung seiner Daten klickt.
  • Vishing: Diese Angriffe ähneln dem Phishing, werden aber per Telefon und nicht per E-Mail durchgeführt. Der Angreifer gibt sich bei einem Telefonanruf als die Bank des Opfers aus und bringt sie dazu, ihre Kontodaten und Anmeldedaten per Telefon weiterzugeben. Dadurch erhält der Angreifer vollen Zugriff sowie die Kontrolle über das Konto. In einigen Fällen versuchen die Angreifer, an bestimmte persönliche Daten zu gelangen, die sie später für ihre Betrugsversuche beim Online-Banking verwenden können, oder sie bringen das Opfer dazu, ihnen direkt Geld zu überweisen.
  • Keylogger: Dabei handelt es sich um eine besondere Art von Schadsoftware — Trojaner —, die die Benutzung der Computertastatur überwacht. Wenn er erkennt, dass der Benutzer auf eine Bankwebsite zugreift, die auf einer voreingestellten Liste steht, protokolliert er die Tastenanschläge und stiehlt so die Anmeldedaten des Bankkontos, so dass der Angreifer später auf dieses Konto zugreifen und Geld davon stehlen kann.
  • Schadsoftware: Cyberkriminelle verwenden eine Vielzahl von schädlicher Software, um die benötigten Informationen zu stehlen. Diese beginnen oft als Bank-E-Mail-Betrug, bei dem die Opfer gezwungen werden, mit Viren verseuchte Anhänge auf ihre Geräte herunterzuladen, oft ohne ihr Wissen. Die Malware imitiert dann authentische Banksitzungen und bringt das Opfer dazu, seine Daten einzugeben, die dann von den Angreifern gestohlen werden, um ihre Betrügereien zu verüben. Zu der beliebtesten Malware, die bei Online-Bankbetrügereien eingesetzt wird, gehören Remote-Access-Trojaner (RATs), die es Angreifern ermöglichen, ein Gerät fernzusteuern, Man-in-the-Browser (MitB), der Daten zwischen einem Browser und einer Bank-App abfängt, Overlays, die ebenfalls sensible Informationen über eine Website oder App stehlen, und SMS-Sniffer, die SMS-Nachrichten auf OTPs überwachen.
  • Das Stehlen von Passwörtern: In einigen Fällen können Betrügereien bei der Bankanmeldung durch Brute-Force- oder Wörterbuchangriffe durchgeführt werden. Diese erraten nach dem Zufallsprinzip Passwörter, bis sie das richtige finden, das der Angreifer dann verwenden kann, um Zugang zu dem verknüpften Bankkonto zu erhalten.
  • Das Hacken von WLAN-Netzwerken: Viele Internetverbindungen sind anfällig für das Hacken durch Cyberkriminelle. Dies gilt insbesondere für ungesicherte öffentliche WLAN-Netzwerke, die nur wenige Sicherheitsvorkehrungen bieten. Indem sie sich in diese Netze einhacken, können die Angreifer alle übertragenen Informationen stehlen — auch Bankdaten.
  • Sim-Swapping: Bei dieser Art von Cyberkriminalität werden Social-Engineering-Techniken eingesetzt, um die Telefonnummer des Opfers zu stehlen und sie auf eine SIM-Karte zu übertragen, die sich im Besitz des Angreifers befindet. Dadurch haben sie Zugriff auf alles, was mit der betreffenden Telefonnummer verbunden ist, und können oft auf Bankkonten zugreifen, indem sie Einmalpasswörter als Teil des authentischen Multi-Faktor-Authentifizierungsprozesses einer Bank erhalten.

Automatische Transfersysteme

Verbesserungen in den Bereichen Technologie und Cybersicherheit haben dazu geführt, dass die Durchführung von ATOs sehr viel schwieriger geworden ist. Um dieses Problem zu umgehen und weiterhin Online-Bankbetrug zu begehen, entwickelten die Cyberkriminellen neue, automatisierte Techniken, um die Angriffe effizient und mit einem geringeren Risiko der Entdeckung des Identitätsdiebstahls durchzuführen. Diese werden als automatische Überweisungssysteme (ATMs) bezeichnet und erfordern nicht, dass der Angreifer sich auf Bankanmeldungsbetrug verlässt. Stattdessen überwachen diese automatischen Systeme die Aktivitäten eines Computerbenutzers. Wenn sich der Benutzer bei seinem Bankkonto anmeldet, injiziert diese Malware ein Skript in die legitime Website und veranlasst Geldüberweisungen, die der Benutzer erst bemerkt, wenn es zu spät ist. Damit entfällt für den Angreifer die Notwendigkeit, Benutzerinformationen abzufangen und Protokolle zur mehrstufigen Authentifizierung zu umgehen.

ATO gegen ATS

Obwohl die beiden Arten von Online-Bankbetrug unterschiedlich sind, verfolgen sie beide dasselbe Ziel — Geld zu stehlen und Finanzbetrug zu begehen — und funktionieren doch ganz anders.

  1. ATS-Angriffe werden automatisch durch Malware ausgeführt. ATO-Betrügereien erfordern ein gewisses Maß an manueller Arbeit für die Cyberkriminellen, da sie Social Engineering einsetzen.
  2. ATS-Malware erfordert eine sorgfältige Kalibrierung und muss auf die jeweilige Banking-App zugeschnitten sein. Dies macht diese Angriffe weitaus komplizierter, aber auch schwieriger zu erkennen.
  3. Da ATS-Angriffe innerhalb legitimer Banking-Apps und -Websites funktionieren, warten sie einfach darauf, dass die Benutzer ihre Anmeldedaten eingeben. Das bedeutet, dass die Angreifer diese Informationen nicht stehlen oder sich um die Multi-Faktor-Authentifizierung kümmern müssen.

Identitätsdiebstahl erklärt

Beim Identitätsdiebstahl im Bankwesen stehlen Cyberkriminelle die Identität einer Person, um einen Finanzbetrug zu begehen. Indem sie persönliche Daten wie Namen, Geburtstage und Sozialversicherungsnummern erlangen, können Angreifer eine Vielzahl von Aktionen durchführen. Der Identitätsdiebstahl von Bankkonten — und Identitätsdiebstahl im weiteren Sinne — kann schwerwiegende und lang anhaltende Folgen für die Opfer dieser Angriffe haben. Dazu gehören unter anderem:

  1. Diebstahl von Geldern von bestehenden Bankkonten.
  2. Eröffnung neuer Bankkonten, Beantragung neuer Kreditkarten oder Aufnahme neuer Kredite auf den Namen des Opfers.
  3. Zugang zu Sozialleistungen, die mit der Sozialversicherungsnummer verknüpft sind, wie z. B. Gesundheitsversorgung, Sozialversicherungszahlungen und Arbeitslosigkeit.
  4. Das Ruinieren der Kreditwürdigkeit.
  5. Steuerbetrug anstiften oder Diebstahl von Steuerrückzahlungen.
  6. Verursachung von Zahlungsausfällen bei Bankkrediten, z. B. bei Hypotheken.
  7. Übernahme eines beliebigen Online-Kontos, einschließlich E-Mails und Social-Media-Profilen, und Ausgeben des Namens des Opfers mit nachteiligen Folgen.
  8. Das Opfer muss viel Zeit und Geld aufwenden, um seine Identität wiederherzustellen und seinen Namen reinzuwaschen.
  9. Es muss sichergestellt werden, dass die persönlichen Daten des Opfers nicht im Dark Web bleiben.
  10. Dies verursacht erheblichen emotionalen und finanziellen Stress.

Was sind die persönlichen Folgen vom Online-Bankbetrug?

Leider kann der Identitätsdiebstahl von Bankkonten für die von diesen Angriffen betroffene Person oder das betroffene Unternehmen erhebliche Auswirkungen haben. Natürlich sind die finanziellen Auswirkungen ein ernsthaftes Problem, aber es gibt auch noch andere Folgen, die zu bedenken sind.

Online-Bankbetrug kann erhebliche finanzielle Folgen haben, die für Einzelpersonen und Unternehmen gleichermaßen verheerend sein können. Je nachdem, welche Informationen gestohlen werden, kann der Angreifer Bankkonten ausräumen, Konten schließen und neue Konten einrichten, Kreditwürdigkeitswerte ruinieren, Steuerbetrug begehen, Rentenfonds stehlen und Hypotheken beeinflussen. Bei der Bewältigung der Folgen dieser Angriffe können den Opfern noch weitere finanzielle Verluste entstehen, z. B. durch Anwaltskosten.

Identitätsdiebstahl im Bankwesen kann sich auf die psychische Gesundheit derjenigen auswirken, die Opfer eines solchen Betrugs werden. Wenn eine Person feststellt, dass sie einem Online-Bankbetrug zum Opfer gefallen ist, kann eine ganze Reihe von Emotionen ins Spiel kommen, von Schock und Wut bis hin zu Angst und Hilflosigkeit. Sie können unter erheblichen Stress geraten, während sie versuchen, die Dinge wieder in Ordnung zu bringen, und haben oft das Bedürfnis, jemandem die Schuld dafür zu geben, dass dies geschehen konnte.

Ist es möglich, Betrug beim Online-Banking zu verhindern?

In Wirklichkeit ist es nie ganz möglich, Bank-Phishing und andere Online-Betrügereien zu vermeiden. Natürlich können bestimmte Maßnahmen ergriffen werden, um die Wahrscheinlichkeit ihres Erfolgs zu verringern oder ihre Auswirkungen abzumildern. Hier sind ein paar Tipps, die Sie beachten sollten:

  • Verwenden Sie immer eindeutige Anmeldedaten für verschiedene Bankkonten.
  • Aktivieren Sie die Multi-Faktor oder biometrische Authentifizierung für eine zusätzliche Sicherheitsebene.
  • Klicken Sie niemals auf Links in E-Mails, sondern gehen Sie direkt auf die legitime Website der Bank, indem Sie die Adresse in den Webbrowser eingeben.
  • Stellen Sie sicher, dass die Banking-Apps auf den Geräten echt sind — laden Sie sie von der Website der Bank oder von vertrauenswürdigen App-Stores herunter und halten Sie sie auf dem neuesten Stand.
  • Machen Sie sich mit den Sicherheits- und Datenschutzprotokollen der Bank vertraut — die meisten Banken weisen beispielsweise deutlich darauf hin, dass sie niemals nach PINs fragen werden.
  • Melden Sie sich bei Bankkonten nur über sichere Internet- oder WLAN-Verbindungen an, z. B. über private Heimnetzwerke, die mit WEP, WPA oder WPA2 gesichert sind.
  • Überprüfen Sie regelmäßig Ihre Bank- und Kreditkartenabrechnungen und melden Sie verdächtige Transaktionen sofort der Bank.
  • Nutzen Sie virtuelle private Netzwerke (VPNs), um Internetverbindungen zu sichern, bevor Sie sich bei digitalen Banksystemen anmelden.
  • Schützen Sie Ihre Geräte mit einer Antiviren-Software und stellen Sie sicher, dass diese immer auf dem neuesten Stand sind und die neuesten Sicherheits-Patches installiert sind.

Vermeiden Sie Identitätsdiebstahl im Bankwesen

Online-Banking-Diebstähle werden immer raffinierter und schwieriger zu entdecken. Diese Angriffe können jedoch erhebliche finanzielle, soziale und emotionale Folgen für die betroffenen Personen und Unternehmen haben. Wenn man weiß, wie Online-Banking-Betrügereien aussehen, und digitale Sicherheitsfunktionen und vernünftige Schutzmaßnahmen implementiert, kann man die Möglichkeit minimieren, dass Cyberkriminelle Konten übernehmen oder Geräte mit ATS-Malware infizieren.

Holen Sie sich Kaspersky Premium + 1 JAHR GRATIS Kaspersky Safe Kids Kaspersky Premium erhielt fünf AV-TEST Auszeichnungen für den besten Schutz, die beste Leistung, das schnellste VPN, die beste Kindersicherung für Windows und die beste Bewertung für die Kindersicherung für Android.

Verwandte Artikel und Links:

Wie man Cyberangriffe verhindert

Bin ich Opfer eines Phishing-Angriffs geworden? Was nun?

Sichere Bankgeschäfte im Internet – es geht um Ihr Geld

Verwandte Produkte und Services:

Kaspersky Premium

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

Betrug beim Online-Banking

Online-Bankbetrug ist eine harte Realität in der digitalen Bankenlandschaft. Hier erfahren Sie, wie diese Angriffe funktionieren und wie Sie ihre Erfolgschancen minimieren können.
Kaspersky Logo