Das jüngst veröffentlichte Cybercrime - Bundeslagebild des BKA zeigt, dass digitaler Identitätsdiebstahl neben der massenhaften Entwendung von Daten weiterhin Ziel von Kriminellen ist. Der Report rekapituliert das Jahr 2018 mit besonderem Augenmerk auf Phishing im Online-Banking. Bereits zum zweiten Mal in Folge sinkt dessen Anzahl um knapp 50 Prozent, doch ändern die Angreifer laufend ihre Strategie.
Zwei-Faktor-Authentifizierung ist längst kein Fremdwort mehr. Die Kombination aus sich stets aktualisierenden Codes, welche auf dem Smartphone zum Beispiel in Apps angezeigt werden, und einem Passwort gewährt Schutz. Doch nützt die beste Firewall nichts, ist die Maschine durch menschliches Versagen bedroht. Ein einfacher Klick auf einen vertrauenswürdig wirkenden Link genügt, um Eindringlingen ein Einfallstor durch die gesamte Barriere zu gewähren. Was passiert also, wenn Kriminelle in der Folge personenbezogene Daten zu ihrem Zweck verwenden können?
SIM-Swapping - Wenn die eigene Telefonnummer nicht mehr ganz so eigen ist
Im Online-Banking beobachtet das BKA drei häufige Arten von Phishing: Klassisches und solches mit Malware sowie das sogenannte SIM-Swapping. Ersteres hat das Ziel, die Login-Daten des Benutzers abzugreifen, indem in E-Mails zur Preisgabe dieser Informationen aufgefordert wird. Vor allem zu Jahresende 2018 stieg die Anzahl an Malware-Attacken, wobei zumeist Trickbots verwendet wurden.
SIM-Swapping, auch bekannt unter dem Namen SIM-Jacking, ist eine Form von Account-Take-Over. Der Angreifer lässt dabei die Rufnummer des Opfers durch den Telekommunikationsanbieter auf eine weitere SIM-Karte übertragen. Dazu ist es lediglich notwendig, im Vorfeld über verschiedene Methoden wie Phishing und Social Engineering personenbezogene Daten zu sammeln. Hiermit ist es neben dem Doppeln der SIM-Karte auch möglich gewisse Passwörter zu ändern. Das ist vor allem bei E-Commerce-Plattformen oder Banking-Apps der Fall.
Zunehmend wird auch die sogenannte Push-Tan-Methode zum Tatbestand von Missbrauch. Dabei wird, unter Angabe der Informationen des jeweiligen Geschädigten, die Rufnummer für das TAN-Verfahren geändert. Unter anderem ist der Angreifer nun in der Lage Überweisungen direkt vom Konto auszuführen.
Da viele Benutzer die Absicherung von mobilen Endgeräten unterschätzen, sind vermehrt manipulierte Apps, E-Mails, Chats- oder Kurznachrichten im Umlauf, wobei das Opfer auf eine gefälschte Website gelockt wird, auf welcher wiederum Kreditkartennummern, Passwörter und weitere Daten eingegeben werden sollen. Diese Websites wirken täuschend echt.
Das Beispiel zeigt auf, dass zwar die Anzahl an Phishing-Attacken im Online-Banking sinkt, jedoch die Art es zu verwenden an Perfidität kaum zu übertreffen ist. Die Gefahr besteht weiterhin. Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer ‚menschlichen Firewall‘ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training geschult werden.