Jetzt gibts eine neue Methode wie arglose Online Banking Benutzer ums Geld gebracht werden. Nachdem iTAN nun mehr und mehr in der Versenkung verschwindet und chipTAN relativ sicher vor Phishing ist gibts es eine neue Methode. Meines Erachtens eine sehr effektive und gemeine. Den das TAN-Verfahren wird dabei nicht überlistet. Dem Online Banking Benutzer wird vielmehr die Story vom totem Gaul erzählt. Social Engineering ist das Stichwort. Das Ganze funktioniert wie folgt.
Das potentielle Opfer, bereits mit entsprechenden Trojanern versorgt, meldet sich wie gewohnt im Online Banking an. Der Trojaner manipuliert nun den Quelltext der Online Banking Seite. Technisch gibt es keine Möglichkeit die Manipulation von Quelltext zu unterbinden, teilweise machen das sogar Websiten bewusst um Seiteninhalte asynchron zu laden (z.B. Facebook). Früher wurde im Quelltext eine TAN-Abfrage eingebunden um den Online Banking Benutzer vorzugaukeln, er müsse hier auf einer sicheren Seite TANs eingeben. Mittlerweile müsste wohl jeder wissen, dass nach einem Login keine 50 TAN-Nummern abgefragt werden.
Deshalb schenkt uns der Trojaner etwas. Eine “Fehlüberweisung”. Wir sehen also im Kontostand eine Überweisung über eine höhere, meist 3 – 4 stellige Summe. Und den Hinweis das durch die Fehlüberweisung der Online Banking Zugang vorübergehend gesperrt wäre.
Natürlich gaukelt der Trojaner vor man könne seinen Account jederzeit wieder entsperren. Ganz einfach indem die Fehlüberweisung “zurücküberwiesen” wird. Der Online Banking Benutzer wird also zu einer vorausgefüllten Überweisung verwiesen die er nun durchführen soll, damit die Fehlüberweisung bereinigt werden kann. Nachdem die Überweisung getätigt wurde gibt der Trojaner natürlich erstmal Ruhe, sein Ziel, eine Überweisung hat er schließlich geschafft. Meistens wird der Kontostand entsprechend angepasst damit der Betrug nicht auffällt.
Was in Wirklichkeit passiert ist kann sich jeder denken. Natürlich gab es keine Fehlüberweisung und keine Accountsperre. Der Online Banking Benutzer hat schlicht und ergreifend mit vollem Bewusstsein eine Überweisung getätigt.
Fehlüberweisungen kommen tatsächlich in der Bankenwelt vor. Ein unglücklicher Zahlendreher der zufällig eine gültige Prüfziffer ergibt, kann z.B. dafür sorgen, dass Geld an die falsche Stelle überwiesen wird. Allerdings gibt es meistens die Gegenkonten nicht und der Betrag läuft auf ein Differenzkonto. Die Bank bereinigt diese Fehlüberweisungen täglich. Selbst in den äußerst seltenem Fall, dass wirklich eine Fehlüberweisung ausgeführt wird und das Empfängerkonto vorhanden ist, wird keinem der beiden Online Banking Benutzer der Zugang gesperrt!
Bei Unregelmäßigkeiten also sofort zum Telefon greifen und die Bank seines Vertrauens anrufen. Auch wenn es nur ein Fehlalarm ist, ein gesundes Misstrauen beim Online Banking schadet NIE.
Quelle : http://katzenhirn.com
![[Tool] Ninja Phishing Framework](https://blog.yakuza112.org/wp-content/uploads/2013/05/phishing-190x122.jpg)