Newsletter heise-Bot heise-Bot

Phishing: Tatwaffe Telephon, Teil 2 [Update]

Die Phisher steigen auf eine neue Methode um, die Konten ihrer Opfer leerzuräumen. Statt einer (i)TAN wird nach der Telefon-Geheimzahl gefragt, die Kunden der Postbank für das Telefon-Banking benötigen.

In Pocket speichern vorlesen Druckansicht 274 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Daniel Bachfeld

Offenbar zeigt das iTAN-Verfahren der Postbank im Kampf gegen Mißbrauch des Online-Bankings erste Wirkung: Die Phisher steigen auf eine neue Methode um, die Konten ihrer Opfer leerzuräumen. Statt einer (i)TAN wird nach der Telefon-Geheimzahl gefragt, die Kunden der Postbank für das Telefon-Banking benötigen. Über das Telefon-Banking lassen sich die gleichen Arbeiten erledigen wie beim Online-Banking: Überweisungen tätigen, Daueraufträge einrichten, Kontostände abfragen und iTAN-Listen bestellen. Das Ganze funktioniert gänzlich ohne iTANs. Ist ein Phisher im Besitz der herkömmlichen PIN und der fünfstelligen Geheimzahl, kann er damit auf dem Konto schalten und walten, bis dem Opfer die Manipulation auffällt.

Die Postbank wirbt zwar für das Telefon-Banking unter anderem mit dem Slogan "Hoher Sicherheitsstandard durch Legitimation mit persönlicher PIN und Kontonummer". Das schützt aber wie das normale Phishing auch nicht vor allzu sorglosen Anwendern, die ihre Daten auf gefälschten Webseiten eingeben. Bereits im April wurde eine neue Phishing-Variante bekannt: In gefälschten Mails forderten Phisher Kunden auf, die Hotline einer Bank unter der angegebenen Nummer anzurufen. Dort erwartete das Opfer allerdings nicht die Hotline seiner Hausbank, sondern eine per VoIP angeschlossene Telefonanlage der Phisher.

Update:
Nach Angaben von Jürgen Ebert, Pressesprecher der Postbank, dürften Phisher selbst mit der Telefon-Geheimzahl nicht in der Lage sein, Überweisungen per Telefon zu tätigen. "Überweisungsaufträge werden nach dem Zufallsprinzip an den Call-Center-Agent durchgestellt, der weitere Legitimationsmerkmale abfragt. Diese Merkmale kann kein Betrüger vorab erfragen, da sie von der Postbank abhängig vom Gesprächsverlauf variert oder ergänzt werden. Überschreitet die Überweisung eine bestimmte Summe, geht der Auftrag immer zum Call-Center-Agent, der die weitere Abwicklung übernimmt. Sollten erhebliche Zweifel auf Seiten der Postbank entstehen, ruft die Postbank den Kunden auch zurück, um ganz sicher zu gehen.", erklärte Ebert gegenüber heise Security.

Siehe dazu auch: (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot