Mit immer neuen Maschen versuchen Cyberbetrüger, an das Geld ihrer Opfer zu kommen. Und manchmal hintergehen Kunden auch ihre Banken und geben sich als Geschädigte aus.Von Karin Böhmert, FrankfurtBetrug im Zahlungsverkehr gibt es bereits seit Tausenden von Jahren, dennoch wird es immer schlimmer, unterstreicht Jay Floyd, Antibetrugsspezialist des US-Zahlungsverkehrsdienstleisters ACI. Drei wesentliche Faktoren machen Finanzinstitute und deren Kunden für Betrug und kriminelle Machenschaften (Fraud) anfällig: Hierzu zählt Floyd erstens die hohe Motivation der Täter, die oft leicht an Gelder kommen, oder auch politisch motivierte Cyberkriege vornehmlich im Nahen Osten. Alte TechnologienAls weiterer Faktor führen fehlende Kontrollen, einhergehend mit veralteter Technologie, und mangelnde Erfahrung im Umgang mit Betrug zu Schäden. Als dritten Faktor sieht Floyd Schwachstellen, wie sie im Zahlungsverkehrssystem, aber auch durch mangelnde Kundenaufklärung sowie insbesondere neue Zahlungsverkehrskanäle auftreten können.Die Gangster werden dabei immer dreister, wie Floyd an mehreren Beispielen aufzeigt. Besonders anfällig seien alte Technologien wie das überall in Europa weit verbreitete Windows XP, in das sich die Täter problemlos einklinken könnten. Veraltete Technologie sei weiterhin in vielen Geldausgabeautomaten vorhanden, die leicht mit Schadsoftware (Malware) zu infizieren seien. Der Geldautomat (ATM) werde immer öfter auch physisch geknackt. Erheblich zugenommen habe in Europa die Zerstörung der Geldausgabeautomaten durch Sprengung, obwohl die Täter dabei riskieren, selbst in die Luft zu fliegen. Auch mit Bulldozern werden mitunter Automaten aus der Wand gerissen.Kunden haben zwar inzwischen gelernt, sich beim Geldabheben und bei der PIN-Eingabe nicht über die Schulter schauen zu lassen (Shoulder Surfing), doch die neueste Masche – 1st Party Fraud – ist schon sehr frech. Der Kunde hebt mehrmals nacheinander am Automaten Geld ab, ruft seine Bank an und behauptet, die letzte(n) Transaktion(en) nicht veranlasst zu haben. “Dieses Verhalten breitet sich immer mehr aus. Kunden werden selbst zu Betrügern”, warnt Floyd und nennt auch gleich ein Gegenmittel: biometrische ATM. Fingerabdruckscanner würden nicht reichen, denn die Abdrücke könnten leicht manipuliert werden. Die neuesten Verfahren, auf die die Sicherheitsexperten setzen, seien deshalb Venenerkennung im Finger sowie Authentifizierung durch Sprache am ATM.Die Möglichkeiten, via Internet Geld abzugreifen, kennen offenbar keine Grenzen und reichen von falschen Facebook-Konten bis hin zu “Free Wi-Fi” etwa in Coffeeshops, wobei sich die Betrüger an das Netzwerk angeschlossen haben, um Daten der Nutzer abzugreifen. Noch wenig bekannt, aber zunehmend um sich greifend ist “Sim-swap Fraud”. Die Täter überzeugen den Netzwerkprovider bzw. dessen Mitarbeiter im Callcenter, eine neue Sim-Karte auszustellen, weil das Handy verloren worden sei. Mit dieser neuen Sim-Karte (und der alten Telefonnummer und allen Daten) erhalten die Betrüger Kontrolle über das Smartphone – und damit die Banking-App des Opfers. Sie sind so in der Lage, die Bank anzurufen, um neue Passwörter einzurichten, weil sie zuvor “vergessen” wurden.Das Smartphone fungiert als Authentifizierung, auf das schließlich die neuen Passwörter per SMS gesendet werden. Während das Opfer sich wundert, warum sein Handy nicht mehr funktioniert, weil in ihm die “alte” Sim-Karte steckt, räumen die Betrüger sein Konto via Banking-App ab. Und wenn das nicht reicht, genehmigen sie sich noch einen Kredit auf Kosten des Opfers. “Diese Betrugsart ist in Südafrika explodiert und tritt zunehmend in Europa auf”, warnt Floyd.Bevor eine neue Sim-Karte herausgegeben wird, fragt der Netzwerkbetreiber zwar eine ganze Reihe von individuellen Sicherheitsmerkmalen ab, die im Prinzip nur der wahre Kunde kennen sollte. Die Betrüger scheinen sich aber eine Vielzahl dieser Details offenbar aus sozialen Medien wie Facebook oder auch aus dem Darknet verschaffen zu können.Es geht aber auch ganz einfach, wie Floyd den Leichtsinn vieler Smartphone-Besitzer beschreibt: Unzählige Handys werden täglich verloren oder irgendwo offen liegengelassen. Die allermeisten dieser Handys seien mit dem einfachen vierstelligen, oft aber auch gar keinem Passwort versehen. Der Zugriff nicht nur auf persönliche Daten, sondern auch auf die Banking-App sei dann für den Finder denkbar einfach und verlockend. Er könne sich gleich auf Einkaufstour begeben. Vishing auf dem VormarschAls riesiges Problem in Europa erweist sich Vishing. Während Phishing, also der Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen, laut Floyd eher auf dem Rückzug ist, explodiere Vishing, wobei “V” für “Voice”, also Sprache steht. Dabei wird per Telefonanrufe versucht, den Empfänger zu verwirren und zur Herausgabe von Zugangsdaten, Passwörtern, Kreditkartendaten, mindestens aber persönlichen Daten zu bewegen.Die Trickbetrüger, die sich zuvor im Internet Bankverbindungen und Telefonnummern verschafft haben, geben sich auch als Mitarbeiter der jeweiligen Bank aus und fragen den Bankkunden nach seinen Onlinebanking-Zugangsdaten (PIN, TAN und Kontonummer), um mit diesen betrügerische Überweisungen durchzuführen. Beim Vishing per Spam-Mail mit Telefonnummer sollen die Betroffenen diese Nummer anrufen (statt auf die E-Mail zu antworten, wovor Banken seit langem warnen), es werden dann aber per Bandansage persönliche (Bank-)Daten abgefragt.Gleichwohl gibt es zahlreiche Lösungsmöglichkeiten, um sich gegen Betrug im Zahlungsverkehr zu wappnen. Banken sollten die neuesten Technologien nutzen, um Betrugsmuster schnellstmöglich zu erkennen, aber auch länderübergreifend zusammenarbeiten, um sich vor Betrugsmustern, die von Land zu Land “reisen”, zu wappnen.Besonders wichtig sei es aber, Kunden aufzuklären über gängige Betrugsmaschen, betont Floyd. So könnten Sicherheitszentren in Banken, aber auch von Telefongesellschaften Kunden über aktuelle Gefahren informieren. Floyd pocht darauf, immer die neueste Anti-Virus-Software zu nutzen. Das Problem sei, dass rund ein Drittel der im Markt verwendeten Betriebssysteme mehr als drei Jahre alt sei. “Das ist verheerend unter Sicherheitsaspekten.”Viele Menschen seien zudem schlicht überfordert, Probleme am PC oder Handy zu beheben, weil sich beispielsweise ein Trojaner eingeschlichen hat. Floyd empfiehlt Finanzinstituten, einen digitalen Pannenservice etwa durch einen Kooperationspartner einzurichten, der nicht nur den PC, sondern künftig auch das Smartphone rebooten könne, wenn dieses infiziert ist. In einer nächsten Welle werde die SMS, mit der Transaktionsbestätigungen versandt werden, abgelöst, denn diese könne von Betrügern abgefangen und missbraucht werden. Statt SMS werde es 2018 Software-Token via App geben, das spare Banken zudem erhebliche SMS-Kosten, unterstreicht der Sicherheitsexperte. Kreditkarte verschwindetIm Online-Handel soll die Sicherheit auf 3D Secure 2.0 erweitert werden. Dabei findet der gesamte Zahlungsprozess im Händlersystem statt und wird nicht mehr an einen zwischengeschalteten Zahlungsverkehrsprovider weitergeleitet. Treiber dieser Entwicklung seien die große Online-Händler wie Amazon oder auch Apple, die ihr eigenes Banking forcieren wollen über In-App-Payments ohne Zahlungsweiterleitung an Provider. Damit würden Kartenzahlungen zunehmend irrelevant, prognostiziert Floyd, die ursächlich für 80 % des Online-Betrugs seien.Schließlich würden die Banken mit den Online-Händlern auch mit Blick auf Instant Payment (Echtzeitzahlungen) zusammenarbeiten, die ohne zwischengeschaltete Akteure laufen. Die ständig zur Verfügung stehende und bei Auslösung sofort auszuführende Zahlungsmöglichkeit ist ein weiterer Baustein des einheitlichen Euro-Zahlungsverkehrsraums (Single Euro Payments Area – Sepa) und soll europaweit bis November 2017 eingeführt sein.