So schützen wir dich gegen Phishing
Ein paar Tipps, worauf du bei deinen Banking-Apps achten solltest und was du selbst tun kannst, um dich und dein Geld zu schützen. Kurz vorweg: bei neon bräuchten Betrüger deine Vertragsnummer, Login-Code, Überweisungs-PIN plus dein aktiviertes Smartphone, um Geld von deinem Konto zu stehlen. Wir machen es denen also ganz schön schwierig.
(Übrigens, wenn du wissen willst, was Zwei-Faktor-Authentifizierung und Einlagensicherung ist, haben wir hier Informationen für dich. Wenn es dich interessiert, wie wir uns gegen Hacker schützen, solltest du hier unseren Bericht über einen Penetrations-Test lesen.)
In diesem Artikel erklären wir dir, was Phishing ist: wie's funktioniert, was wir tun und was du tun solltest, damit du sorgenfrei durch deinen Alltag spazieren kannst.
Phishing oder Hacking?
Bei einem Hack wird die gesamte Bank attackiert. Dabei werden im grossen Stil Daten gestohlen. Je nachdem könnte ein Hacker dann versuchen, Zahlungen auszulösen. Ein erfolgreicher Hack geschieht nicht sehr oft. Wie wir uns dagegen schützen, liest du hier. Viel üblicher ist eine Phishing-Attacke. Hier wird der Nutzer selbst zum unfreiwilligen Informationslieferanten. Unter einem geschickten Vorwand versuchen Betrüger, dir deine Daten zu entlocken und so Zugang zu deinem Konto zu bekommen.
So verläuft eine Phishing-Attacke
Bei jeder Phishing-Attacke müssen Betrüger erst herausfinden, wer Nutzer dieser Dienstleistung ist, und dann die Sicherheitsvorkehrungen (generell die Zwei-Faktor-Authentifizierung) überwinden.
Nutzerliste erstellen
Als erstes versuchen die Betrüger, eine Liste mit Kunden einer Bank zu erstellen. Dabei können sie zum Beispiel auf einen «Honeypot» zurückgreifen. Dies sind Daten aus einer Adressdatenbank (eines Verkäufers, Facebook, etc.), die gehackt wurden.
Auch möglich ist das Ausnutzen eines Community-Features, das viele Banken anbieten. Dieses Feature zeigt dir an, welche deiner Kontakte ebenfalls Nutzer deiner Bank sind – so kannst du praktisch und mit wenigen Klicks Geld überweisen oder anfordern. Durch das zufällige Generieren von Telefonnummern und dem Import ins Telefonbuch kann man so eine zuverlässige Liste mit potenziellen Opfern erstellen.
Das tun wir bei neon:
- deine Informationen sind nicht einfach so sichtbar. Bei neon fragen wir dich, ob du der App den Zugriff auf deine Kontakte erlauben willst und damit auch sichtbar für andere werden willst.
- Zusätzlich arbeiten wir bei diesem Feature an einer Double-Opt-In-Funktion. Das heisst, nur wenn beide einander in der Kontaktliste haben, wird man sichtbar. Du müsstest also den Betrüger auch in deiner Kontaktliste haben.
Das kannst du tun:
- checke bei deiner Banking-App, ob sie so ein Feature hat und wie es funktioniert. Bei einigen Apps wird dein Name angezeigt, ohne dass du dem zustimmen oder ablehnen kannst.
Kunden-Login abfangen (erster Authentifizierungsfaktor)
Normalerweise loggst du dich mit einer Vertragsnummer oder E-Mail plus Login-Code ein. Die Vertragsnummer oder E-Mail sind, da nicht privat, einfach zu erhalten. Die Schwierigkeit ist also, den Login-Code zu erhalten. Hier beginnt das eigentliche Phishing. Unter einem Vorwand (zum Beispiel: „wir müssen dein Konto verifizieren“) bringt man die Kunden dazu, ihre Daten auf einer Fake-Webseite einzugeben. Dazu verschickt man eine SMS oder E-Mail mit dem Absender der Bank. Absender kann man einfach faken – bei SMS kann man zum Beispiel über verschiedene Services seinen eigenen Absender-Namen selbst definieren. Dein Handy fasst alle SMS vom gleichen Absender-Namen dann zusammen, und es sieht so aus, als ob die SMS tatsächlich von deiner Bank kam.
Das tun wir bei neon:
- Wir weisen dich immer wieder darauf hin, einen sicheren Login-Code zu wählen. Geburtsdaten oder ähnliches, das einfach zu erraten ist, macht den Betrügern leichtes Spiel.
- Nach drei fehlgeschlagenen Login-Versuchen sperren wir dein Konto. Zum Entsperren verifizieren wir dich.
- Wir verschicken keine SMS, alle Kommunikation kommt von einer E-Mail-Adresse, die auf @neon-free.ch endet. Ja, auch die kann man faken. Darum informieren wir dich immer wieder: im Zweifelsfall, ruf uns an.
- Bei uns gibt es keinen Bereich auf der Webseite, wo man sich einloggen kann. Und darauf weisen wir dich auch hin.
Das kannst du tun:
- Gib deine neon-Daten nur in der neon-App ein. Auch nicht für «Wettbewerbs-Aktionen», «Testkäufe» oder Ähnliches. Gib sie auch nicht am Telefon weiter.
- Wähle sichere Codes und verwende nicht die gleichen Codes für verschiedene Services.
Zweiten Authentifizierungsfaktor abfangen
Normalerweise erfordert eine Überweisung in der App einen Code. Verbreitet sind zum Beispiel die TAN-Liste oder SMS-TAN (m-TAN), welche jedoch ältere, leichter zu überwindende Methoden darstellen. Sicher, aber nicht so nutzerfreundlich ist ein zusätzlicher Kartenleser oder eine zusätzliche App. Die modernste Variante vereint alles in einer App – die App wird bei der Kontoeröffnung spezifisch für das Smartphone freigeschaltet und der Kunde wählt einen eigenen Überweisungs-Code, der nur auf seinem Smartphone funktioniert.
Das tun wir bei neon:
- Der zweite Sicherheitsfaktor ist dein eigenes Smartphone, das bei der Kontoeröffnung mit deinem Konto (der App) technisch sicher verknüpft wird. Du setzt dann deine eigene Überweisungs-PIN, mit der du jede Überweisung freigibst. Diese Überweisungs-PIN funktioniert nur auf deinem spezifischen Smartphone. Ein Betrüger müsste also nicht nur deinen Login-Code und Überweisungs-PIN kennen, sondern auch dein Smartphone haben.
Zahlungsauslösung mit beiden Faktoren
Falls es den Betrügern tatsächlich gelingt, alle Login-Daten und Authentifizierungsfaktoren abzufangen, könnten sie nun Geld von deinem Konto überweisen. Bei neon bräuchten sie dazu, wie erwähnt, noch dein aktiviertes Smartphone.
Das tun wir bei neon:
- Unsere Partnerbank Hypothekarbank Lenzburg prüft alle Auslandszahlungen und grösseren Inlandszahlungen manuell. Im Zweifelsfall rufen wir dich kurz an, um die Zahlung zu verifizieren.
Das kannst du tun:
- Falls du etwas Ungewöhnliches siehst, melde dich direkt bei uns.
Absolute Sicherheit gibt es nie im Leben. Aber wir geben uns bei diesem Thema nur mit der besten, modernsten Lösung zufrieden. Wenn du auch das Deine tust, ist das Risiko, dass du Opfer einer Phishing-Attacke wirst, verschwindend gering.
Möchtest du mehr über Sicherheit erfahren?
Was Zwei-Faktor-Authentifizierung ist und wie Einlagensicherung funktioniert, liest du hier.
Und hier erzählen wir dir, wie wir einen Hacker-Angriff simuliert haben, um uns zu versichern, dass die neon-App auch in dieser Hinsicht top ist.