Phishing: Tatwaffe Telephon, Teil 2 [Update]
Die Phisher steigen auf eine neue Methode um, die Konten ihrer Opfer leerzurĂ€umen. Statt einer (i)TAN wird nach der Telefon-Geheimzahl gefragt, die Kunden der Postbank fĂŒr das Telefon-Banking benötigen.
Offenbar zeigt das iTAN-Verfahren der Postbank [1] im Kampf gegen MiĂbrauch des Online-Bankings erste Wirkung: Die Phisher steigen auf eine neue Methode um, die Konten ihrer Opfer leerzurĂ€umen. Statt einer (i)TAN wird nach der Telefon-Geheimzahl gefragt, die Kunden der Postbank fĂŒr das Telefon-Banking benötigen. Ăber das Telefon-Banking lassen sich die gleichen Arbeiten erledigen wie beim Online-Banking: Ăberweisungen tĂ€tigen, DauerauftrĂ€ge einrichten, KontostĂ€nde abfragen und iTAN-Listen bestellen. Das Ganze funktioniert gĂ€nzlich ohne iTANs. Ist ein Phisher im Besitz der herkömmlichen PIN und der fĂŒnfstelligen Geheimzahl, kann er damit auf dem Konto schalten und walten, bis dem Opfer die Manipulation auffĂ€llt.
Die Postbank wirbt zwar fĂŒr das Telefon-Banking unter anderem mit dem Slogan "Hoher Sicherheitsstandard durch Legitimation mit persönlicher PIN und Kontonummer". Das schĂŒtzt aber wie das normale Phishing auch nicht vor allzu sorglosen Anwendern, die ihre Daten auf gefĂ€lschten Webseiten eingeben. Bereits im April wurde eine neue Phishing-Variante [2] bekannt: In gefĂ€lschten Mails forderten Phisher Kunden auf, die Hotline einer Bank unter der angegebenen Nummer anzurufen. Dort erwartete das Opfer allerdings nicht die Hotline seiner Hausbank, sondern eine per VoIP angeschlossene Telefonanlage der Phisher.
Update:
Nach Angaben von JĂŒrgen Ebert, Pressesprecher der Postbank, dĂŒrften Phisher selbst mit der Telefon-Geheimzahl nicht in der Lage sein, Ăberweisungen per Telefon zu tĂ€tigen. "ĂberweisungsauftrĂ€ge werden nach dem Zufallsprinzip an den Call-Center-Agent durchgestellt, der weitere Legitimationsmerkmale abfragt. Diese Merkmale kann kein BetrĂŒger vorab erfragen, da sie von der Postbank abhĂ€ngig vom GesprĂ€chsverlauf variert oder ergĂ€nzt werden. Ăberschreitet die Ăberweisung eine bestimmte Summe, geht der Auftrag immer zum Call-Center-Agent, der die weitere Abwicklung ĂŒbernimmt. Sollten erhebliche Zweifel auf Seiten der Postbank entstehen, ruft die Postbank den Kunden auch zurĂŒck, um ganz sicher zu gehen.", erklĂ€rte Ebert gegenĂŒber heise Security.
Siehe dazu auch: (dab [3])
- Phishing: Tatwaffe Telephon [4], Meldung auf heise Security
URL dieses Artikels:
https://www.heise.de/-124779
Links in diesem Artikel:
[1] https://www.heise.de/news/Postbank-mit-neuem-TAN-System-gegen-Phishing-121126.html
[2] https://www.heise.de/news/Phishing-Tatwaffe-Telephon-119965.html
[3] mailto:dab@ct.de
[4] https://www.heise.de/news/Phishing-Tatwaffe-Telephon-119965.html
Copyright © 2006 Heise Medien