SMS oder E-Mail - das System ist das gleiche
Den Artikel mit der E-Mail findest du hier: https://www.hubit-medien-coach.de/1169-warnung-sparkasse-push-tan-phishing-mail/
Achtung! Aufgepasst!
So eine SMS ist gefährlich. Zum einen ist eine SMS naturgemäß kurz (SMS: Short Message System) und du wirst Anhaltspunkte haben, um die Authentizität zu überprüfen. Zum anderen kann man die Absenderrufnummer in Fällen wie diesem nicht verifizieren. Während man hingegen bei einer E-Mail-Adresse mit einer gewissen Kenntnis schon Auffälligkeiten feststellen kann.
Es ist Wochenende
Es ist Samstag. Die SMS kommt. Morgen wird – wenn ich der SMS glaube – meine PushTAN App gesperrt, sodass ich in meinem Online Banking keine Überweisungen mehr tätigen kann.
Natürlich kommt so eine Nachricht an einem Samstag. Am Samstag erreiche ich oft eine Hotlinie nicht. Die Filiale hat geschlossen. Und morgen – also am Sonntag – soll schon meine App gesperrt werden. Ich muss also schnell handeln.
Nein, das muss ich nicht. Mir wird nur glaubend gemacht, dass es so sei.
Druck ist das Mittel
Welche Möglichkeiten habe ich?
Merke: Es gibt IMMER eine andere Möglichkeit.
Was kann schon passieren?
Was auf jeden Fall nicht passieren wird: Die PushTANApp wird gesperrt.
Gute Sicherheitssoftware
Wenn du eine wirklich gute Sicherheitssoftware auf deinem Computer oder in deiner Firewall hast, wird der Zugriff auf die Webseite blockiert, wenn du auf den Link geklickt hast.
Ohne Sicherheit nimmt das Schicksal seinen Lauf ...
Wie sieht so eine gefälschte Seite aus?
Die Seite sieht natürlich so aus wie die der Sparkasse – oder zumindest so ähnlich. Auf jeden Fall ist der Look & Feel gleich. Rechts siehst du, wie die Seite auf dem Handy aussieht.
In diesem Falle funktioniert auf der Seite kein einziger Link. Das einzige, was funktioniert, ist das Login-Feld. Natürlich soll der Rest nicht funktionieren. Das Opfer soll nun mal in eine bestimmte Richtung gelenkt werden. Zudem steigt die innere Unruhe, wenn nichts funktioniert. Damit steigt der Druck und damit setzt der Verstand endgültig aus. Der Hacker hat sein Ziel erreicht.
Hacker sind nicht mit einem einfachen Dieb zu vergleichen, der üblicher Weise als dumm angesehen wird. Hacker haben eine ausgefeilte Technik. Sie arbeiten in Teams. Der eine erbeutet die Rufnummern, an die die SMS verschickt werden sollen. Ein weiterer kapert die Webseite, die der Dritte dann manipuliert. Noch mal zum Verständnis: Es wurde nicht die Webseite der Sparkasse gekapert. Es wurde irgendeine Webseite gekapert und die wird dann so gemacht, dass sie wie eine von der Sparkasse aussieht. Ein weiterer kümmert sich um den Versand der SMS. Der nächste verkauft die erbeuteten Zugangsdaten oder nutzt diese direkt, um den Account zu übernehmen.
Für den Hacker ist das Gold wert, wenn er Zugriff auf die PushTAN App hat! Damit kann er Zahlungen aus dem Online Banking freigeben.
Wie kannst du dich schützen?
Als erstes – und das ist ganz wichtig – bewahre Ruhe, denke nach.
Das ist eine goldene Regel im Internet: Wenn du eine Nachricht zugeschickt bekommst, bei der du auf einen Link klicken sollst, dann musst du sofort misstrauisch werden. Hinterfrage jede Einzelheit.
Die erste Frage: Trifft das auf mich zu? Bin ich überhaupt Kunde der Sparkasse?
Du lachst nun vielleicht, aber es kam durchaus schon vor, dass es solche Fälle gab.
Zweite Frage: Kann das wirklich richtig sein?
Wir glauben unseren Augen manchmal mehr als unserem Verstand. Denn es steht da. Und damit wird es als Wahrheit angenommen. Und spätestens wenn der Druck kommt, stellt der Verstand seine Arbeit ein.
Wenn du dir nicht sicher bist: hole dir Hilfe. Frage bei anderen nach.
Ähnliche Angriffszenarien gibt es auch bei anderen Banken, Paketlieferungen oder Onlineshops. Also sei vorsichtig!
