Vorsichtsmaßnahmen gegen Passwort-Diebstahl ("Phishing")
Unter Phishing versteht man unterschiedliche Betrugsmaschen:
- Eine besonders bekannte Art des "Phishings" ist der Versand von gefälschten Unternehmens-E-Mails zur Erlangung sicherheitsrelevanter Daten. Hier wird insbesondere versucht, bei Bankkunden den Eindruck zu erwecken, es handle sich um eine tatsächliche E-Mail ihrer Bank. In diesen Mails wird im Zusammenhang mit plausibel klingenden Begründungen aufgefordert, sich im Internet-Banking-System anzumelden oder Zugangsdaten preiszugeben.
- Meist wird verlangt, einen in der E-Mail angegebenen Link anzuklicken, der den Anschein erweckt, auf die Internetseite der Bank zu verweisen. Klickt der Leser auf diesen Link, wird er allerdings auf eine fremde Webseite geführt (nicht zwingend aus der URL ersichtlich, sogar die Verschlüsselung kann korrekt angezeigt sein), die der des betroffenen Instituts täuschend ähnlich sieht. Gibt der Kunde dort seine Legitimationsdaten (Identifier, mobile TAN oder SuperPIN) ein, fallen diese in die Hände des kriminellen Betreibers.
- Eine weitere Variante ist das "Phishing" mit Hilfe von Trojanern. Trojaner sind Programme, die unbemerkt vom Nutzer sicherheitskritische Funktionen ausführen. Eine Möglichkeit ist eine E-Mail mit kritischem Anhang. Der Anhang infiziert als Trojaner (trojanische Pferde) den Rechner des Opfers. Dieser meldet sich später bei seiner Online Bank an. Der Trojaner schneidet die Anmeldung samt Identifier und TAN mit. Dieser Trojaner unterbricht die Verbindung zur Bank und übermittelt mitgeschnittene Daten für kriminelle Zwecke weiter.
- Die Trojaner-Variante gibt es noch in komplexeren Formen mit iTan-Mitschnitt und vom Phisher generierten "Hinhalte- und Ausforschungsseiten und eigens generierten Webseiten mit ursprünglichen Transaktionsdaten.
- Phishing ist nicht mehr nur auf das Internet beschränkt. Datendiebe gibt s auch bei Internettelefonen (VoIP) auch Vishing (Voice Phishing) genannt.
Um zu verhindern, dass Sie Opfer eines solchen Betrugs werden, sollten Sie folgende Sicherheitsmaßnahmen berücksichtigen:
- Reagieren Sie nicht auf Legitimations-Aufforderungen per E-Mail: Die DAB wird Sie niemals per E-Mail zur Legitimation durch Eingabe Ihrer Zugangsdaten im DAB Portal auffordern. Sollten Sie so eine E-Mail erhalten, reagieren Sie bitte keinesfalls darauf, sondern setzen Sie sich mit uns in Verbindung. Ebenfalls werden wir Sie nie auffordern, auf der Login-Seite Ihr Trader-Passwort einzugeben. Zum Login sind ausschließlich Zugangsnummer und Identifier notwendig. Auch werden wir nie mehrere iTANs auf einmal abfragen.
- Geben Sie die Webadresse der DAB immer direkt in die Adresszeile Ihres Browsers ein
- Halten Sie Ihre Software auf dem aktuellsten Stand (Betriebssystem, E-Mail-Programm, Webbrowser)
- Überprüfen Sie vor Eingabe Ihrer Legitimationsdaten das DAB-Sicherheitszertifikat: Die Legitimationsmaske des DAB Portals, in die Sie Ihre Zugangsnummer und Identifier eingeben, ist durch ein Sicherheitszertifikat eindeutig als von der DAB stammend gekennzeichnet (und wird in neueren Browsern grün hinterlegt). Gleiches gilt für alle Anzeigen, die nach erfolgter Legitimation innerhalb des DAB Portals erfolgen. Um zu überprüfen, ob die Eingabemaske von der DAB stammt, gehen Sie wie folgt vor:
- Bewegen Sie den Mauszeiger über das Fenster, in dem die Eingabemaske angezeigt wird (das Fenster trägt den Titel: "Meine DAB").
- Sofern Sie ein Windows-Betriebssystem benutzen, drücken Sie nun die rechte Maustaste. Benutzen Sie einen Apple-Macintosh oder andere Rechner mit nur einer Maustaste, drücken Sie "Strg" bzw. "Ctrl" (Steuerung/Control) auf der Tastatur und klicken Sie auf das Fenster.
- Ihnen wird nun ein so genanntes "Kontext-Menü" angezeigt, das Informationen zu dem unter dem Maus-Zeiger liegenden Fenster enthält.
- Je nach verwendetem Browser wählen Sie innerhalb dieses Kontext-Menüs den Eintrag "Eigenschaften" (Internet Explorer) bzw. "Seiteninformation" oder "View Page Info" o. Ä. (Firefox).
- Wählen Sie dort die Anzeige "Sicherheit" oder "Zertifikate" o.Ä. aus. Folgende Daten sollten Sie dort vorfinden:
Informationen zum Server-Zertifikat - Loggen Sie sich möglichst nicht über einen unbekannten Computer ein (z. B. Internetcafé), setzen Sie immer das neueste Virenschutzprogramm ein und benutzen Sie auf Ihrem PC eine Personal Firewall.
- Benutzen Sie beim Ausfüllen von Online-Formularen nie einen Form-Manager oder die Funktion "Auto-Vervollständigen" Ihres Browsers (diese wird sonst auf Ihrem PC gespeichert und kann von Dritten gelesen werden). Falls doch, verwenden Sie auf jeden Fall ein Master-Kennwort.
- Achten Sie darauf, dass Sie nur verschlüsselte Verbindungen verwenden, sobald Sie den Identifier oder die mobile TAN im Browser eingeben. Dies ist an der Internetadresse (URL) zu erkennen. Diese muss mit https:// beginnen (Das angezeigte Schlosssymbol muss geschlossen sein. Bei Apple Safari befindet sich dies ganz oben rechts im Rahmen des Browsers.)
- Beobachten Sie die Geldbewegungen auf Ihre Konten und melden Sie sich sofort bei uns, sollten Sie Geldbewegungen bemerken, die Sie nicht veranlasst haben.
- Prüfen Sie die in der mobileTAN angegebenen Transaktionsdaten, bevor Sie die Transaktionsnummer eingeben.