Sicheres Online-Banking und PayPal

Nun weihnachtet es bald und alle wollen die Geschenke für ihre Liebsten besorgen. Nicht erst seit der Pandemie ist der Online-Handel heiß begehrt. Doch wachsen die Bedrohungen durch vorschnelle Klicks, täuschend echte E-Mails, befallene PCs und der Unwissenheit von Nutzer. So kann das Online-Banking in der Vor-Weihnachtszeit unnötige Sorgen bereiten.

Die Methoden der Hacker

Nehmen wir mal an, wir sind Kunden bei der „Rapid Bank“. Die Internetseite lautet https://banking.rapidbank.de . Hacker können versuchen, uns auf einen fremdkontrollierten Server umzuleiten. Möglich ist das beispielsweise in einem fremden WLAN. Dabei wird es wahrscheinlich zu einem Zertifikatsfehler kommen.

Zertifikatsfehler

Da sich inzwischen herumgesprochen hat, dass man solche Verbindungen nicht vertrauen darf, haben Hacker nun zwei Möglichkeiten: die Umlenkung auf eine ähnlich lautende Seite wie https://banking.ropidbank.de, z.B. durch einen Link in einer gefälschten E-Mail oder indem die Favoritenlinks geändert werden. Sind wir doch mal ehrlich: wie oft überprüft man die Links nach dem Speichern?

Die andere Möglichkeit ist: die Angreifer versuchen die Installation eines Zertifikats, damit der obrige Zertifikatsfehler nicht mehr auftritt. Das könnte Hackern gelingen, wenn sie ohnehin schon Trojaner oder Rootkits auf dem Ziel installieren konnten.

Zwei-Faktor-Authentifizierung

Sicheres Banking bedeutet inzwischen Zwei-Faktor-Authentifizierung (2FA). Früher waren es TAN-Listen oder SMS-TAN – heute ist es häufig eine App.

Die Idee dahinter: wir haben etwas, das wir wissen (das Passwort) und wir haben etwas, das wir besitzen (das Smartphone). Gelangt ein Hacker oder Dieb an eines von beiden, ist noch gar nichts passiert. Darum sollte man beides immer getrennt von einander halten.

Eigentlich hebelt sich daher dieser Schutz durch die Verwendung der Banking-App und der Authentifizierung-App auf dem selben Smartphone dadurch aus, dessen sollte man sich bewusst sein.

Checkliste beim Online Banking

  • Überprüfe das Zertifikat
  • Benutze keine Favoritenlinks für Online Banking
  • Benutze kein Benutzerkonto mit Administrator-Rechten
  • Nutze keine Links aus E-Mails von (angeblichen) Banken
  • Alle Betriebssystem-Updates sind eingespielt, das Antivirus-Programm ist aktualisiert

Idealerweise könnte man noch folgende Punkte berücksichtigen:

  • keine anderen Programme nebenbei geöffnet lassen
  • PC vor dem Online Banking neustarten
  • Expertenmodus: Minimales Betriebssystem (z.B. Linux) von einem USB-Stick starten

PayPal

Da PayPal inzwischen so bekannt und weitverbreitet ist, versuchen sich Betrüger gerne an diesem Dienst. Doch wie schaffen die Betrüger das?

Ein bekannter Fall ist wie folgt abgelaufen: Ein Nutzer öffnete eine E-Mail von einem unbekannten Absender. Da sein E-Mail so eingestellt war, dass es die E-Mail bereits als Vorschau anzeigt, löste das E-Mail-Programm im Hintergrund Anfragen aus, die normalerweise für Bilder der E-Mails genutzt werden. Stattdessen wurde eine Bestellung bei einem bekannten Online-Shop ausgelöst und PayPal als Zahlmethode ausgewählt. Da der Nutzer sowohl im Online-Shop als auch bei PayPal dauerhaft angemeldet war, wurde die Bestätigung bei PayPal gleich mit ausgelöst. Das lief innerhalb von Sekunden ab. Die Postadresse war darüber hinaus auch noch das Ausland.

Eine Verkettung von begünstigenden Umständen. Der Hacker hat darauf gehofft, dass die Vorschau aktiv ist und der Nutzer sowohl im Shop als auch bei PayPal angemeldet war. Solche E-Mails werden hunderttausendfach rausgeschickt. Bei einigen wenigen klappt es. Zum sollte man rund um PayPal noch weitere Sicherheits-Tipps berücksichtigen, wie hier vom MDR.

Gute Tipps für den Online-Weihnachtsbummel sind:

  • Das Passwort für wichtige Dienste wie PayPal nicht im Browser speichern, eher einen Passwort-Manager nutzen
  • Die „Anmeldet bleiben“-Funktion bei wichtigen Plattformen nicht auswählen, auch wenn die Passworteingabe „nervt“
  • Bei Bezahldiensten wie PayPal zusätzlich auf eine Zwei-Faktor-Authentifizierung umstellen
  • Nach dem Ende der Shopping Tour auf „abmelden“ klicken
  • Die Vorschau bei E-Mails deaktivieren, unbekannte Mails direkt löschen oder direkt in den SPAM-Ordner verschieben
  • Auf das Bauchgefühl hören (und die Tipps zu Fake-Shops berücksichtigen)
  • Die E-Mail-Adresse nur an seriöse Anbieter geben, um die Gefahr von SPAM- und Phishing-Mails zu reduzieren (ganz wird es sich nicht vermeiden lassen)
  • Alternativ: mehrere E-Mail-Adressen verwenden. So kann bei wichtigen Online-Konten eine Adresse genommen werden, bei zweifelhaften Anbietern eine andere E-Mail-Adresse
Die „Angemeldet bleiben“-Funktion erhöht zwar den Komfort, reduziert aber die Sicherheit

Mehr Artikel entdecken:

Firewall und IDS

Es ist wahrscheinlich für die meisten Menschen das meistgenannte – aber für viele auch das unbekannteste – Werkzeug zur Abwehr von Cyber- und Hackerangriffen nach

Weiterlesen »