1. "Phishing"
   
   
2. Vorsicht vor Trojaner-Angriffen
   
   
3. Was Sie selbst zur Sicherheit beitragen können

Die OeNB hat gemeinsam mit A-SIT (Zentrum für sichere Informationstechnologie – Austria) in einer Studie die Wirksamkeit der seitens der Kreditinstitute angebotenen bzw. von den Kundinnen und Kunden verwendeten Sicherheitsmechanismen gegenüber den typischerweise beim E-Banking auftretenden Gefahren analysiert.
Hier geht’s zur Studie ... 

1. Vorsicht bei verdächtigen E-Mails ("Phishing")

In letzter Zeit wird in den Medien vermehrt vor Mails mit gefälschten Absenderadressen gewarnt. In diesen Mails, die so aussehen, als kämen sie von einem bekannten Unternehmen, wird versucht, vertrauliche Kundendaten zu erlangen (z.B. eBanking Verfügernummer, PIN, TANs bzw. Kreditkartennummern).

Beim so genannten Phishing, einem neuen Kunstwort abgeleitet aus "password" und "fishing", werden die Kundendaten direkt per E-Mail abgefragt oder ein in der Mail angegebener Link führt auf eine gefälschte Internetseite. Dort werden dann persönliche Zugangsdaten oder vertrauliche Informationen abgefragt und an unberechtigte Personen weitergeleitet

Die Oberbank wird niemals per E-Mail vertrauliche Daten einholen bzw. um Rücksendung solcher Daten per E-Mail bitten! Ignorieren Sie bitte verdächtige E-Mails oder vergewissern Sie sich im Zweifelsfall telefonisch bei unserer eBanking Hotline, wenn Sie Zweifel an der Echtheit einer eBanking Internetadresse (einer so genannten URL) haben. Geben Sie Ihre PIN und TANs ausschließlich in die Original-eBanking-Seiten der Oberbank ein - Hinweise zur Überprüfung der Echtheit mittels Oberbank-Serverzertifikat finden Sie weiter oben im vorigen Kapitel zum Thema Verschlüsselung.

Sollten Sie Mails erhalten, die Sie auffordern, sich über einen Link zum eBanking anzumelden, folgen Sie dieser Aufforderung nicht! Beachten Sie bitte neben den allgemeinen Grundregeln zum sicheren eBanking (siehe letztes Kapitel unten) folgende Hinweise:

• Beim Oberbank eBanking Login brauchen Sie niemals eine TAN-Nummer zur Anmeldung.
  
  
• Die Oberbank schickt keine E-Mails, die mittels Link zum eBanking Login bzw. zur Rückmeldung von vertraulichen Daten per E-Mail auffordern.
  
  
• Die Oberbank bittet grundsätzlich nicht um Übersendung von Verfügernummern, Zugangsdaten (PIN, TANs, Kennwörtern etc.) oder Kreditkartennummern per E-Mail.
  
  
• Bei der Anwendung der biometrischen ekey-Autorisierung können Sie grundsätzlich nicht Opfer eines Phishing-Angriffes werden, weil anstelle einer TAN-Nummer jeweils der eindeutige und unfälschbare Fingerabdruck zur Identifikation bzw. Autorisierung von Transaktionen verwendet wird!

2. Vorsicht vor Betrugsfällen und Trojaner-Angriffen auf PIN und TAN

Bei solchen Betrugsfällen wird versucht neben Phishing-Attacken mit Trojanern an Ihre Legitimationsmittel PIN und TAN zu gelangen. Dazu werden auf Ihrem PC Programme unbemerkt eingeschleust (Trojaner), die Schwachstellen in Browsern ausnutzen, Ihre PIN und TAN bei der Eingabe im Internet-Banking ausspähen und anschließend an kriminelle Personen weiterleiten.

Dies setzt in der Regel eine Aktion durch Sie voraus, z.B. den Download eines scheinbar harmlosen, nützlichen Programms aus dem Internet. Sie installieren das Programm und im Huckepack den Trojaner, der dann im Hintergrund Ihren Computer ausspäht. Übrigens ist die Installation einer Datei / eines Programms auch der klassische Weg, sich einen Virus auf Ihren Computer zu holen.

Wie greifen Trojaner das Internet-Banking an?

1. Trojaner, die unbemerkt Ihre Legitimationsmerkmale ausspähen:
Nach den uns vorliegenden Informationen verhält sich der infizierte PC dabei bis zur Eingabe der TAN unauffällig. Erst nach Eingabe der Transaktionsnummer wird die Verbindung zum Internet-Banking-Server abgebrochen. Ein erneuter Verbindungsaufbau zur Internet-Banking-Seite über diesen Browser scheitert. Währenddessen übermittelt der installierte Trojaner die Benutzerdaten an die Person, die für den Angriff verantwortlich ist.

2. Trojaner, die Sie durch Manipulation Ihrer PC-Systemeinstellungen auf eine gefälschte Seite leiten:
Obwohl Sie die URL unserer Internet-Banking-Seite eingeben bzw. aus Ihrer Favoritenliste aufrufen, werden Sie auf eine gefälschte Seite gelenkt. Die gefälschte Seite erkennen Sie an Elementen, die unser Internet-Banking nicht aufweist, wie z.B.:

• Es wird keine SSL-Verschlüsselung durchgeführt (fehlendes Schloss-Symbol im Browser; in der URL wird http:// statt https:// angezeigt) oder ein ungültiges Zertifikat ohne Aussteller angezeigt.
  
  
• Zusätzliche Auswahl Ihres Kreditinstitutes, obwohl Sie das Internet-Banking direkt aufgerufen haben.
  
  
• Eingabe einer oder mehrerer Transaktionsnummern ohne vorliegenden Geschäftsvorfall (z.B. Überweisung, Daueraufträge oder Freischaltung einer Folge-TAN-Liste).

Wie schützen Sie sich vor Trojanern?

• Gehen Sie sensibel mit Datei-Downloads aus dem Internet um (Trojaner verstecken sich i.d.R. in scheinbar nützlichen, harmlosen Programmen).
  
  
• Installieren Sie konsequent die für Windows verfügbaren Sicherheits-Updates.
  
  
• Setzen Sie Virenscanner und ergänzend Firewalls ein.
  
  
• Aktualisieren Sie regelmäßig Ihren Virenscanner und Ihre Firewalls.

3. Was Sie selbst zur SICHERHEIT beitragen können

• Geheimhaltung der PIN: gehen Sie mit Ihrer Oberbank eBanking-PIN mit der gleichen Sorgfalt um, wie Sie dies mit Ihrem Bankomat-PIN tun.
  
  
• Geheimhaltung der TANs: heben Sie Ihr TAN Kuvert immer an einem sicheren Ort auf. Lassen Sie Ihre TAN's sperren, falls Sie einen Missbrauch vermuten.
  
  
• Wenn Sie das xTAN-Verfahren nützen: Lassen Sie Ihr Mobiltelefon nicht unbeaufsichtigt liegen, um einen Missbrauch zu vermeiden! Informieren Sie umgehend Ihre Beratin bzw. Ihren Berater oder die Oberbank eBanking Hotline, falls Sie einen Missbrauch vermuten. Sie können auch direkt im Oberbank eBanking das Verfahren unter „xTAN-Verwaltung“ deaktivieren.
  
  
• Verlassen Sie die Oberbank eBanking Anwendung stets durch Drücken des Beenden-Buttons. Dadurch wird die sichere Verbindung mit dem Server sofort beendet. Zu Ihrer Sicherheit erfolgt eine automatische Abmeldung vom Oberbank eBanking, falls über die Dauer von 15 Minuten kein Funktionsaufruf oder Eingaben erfolgen. Sie kommen zur Eingabemaske zurück und müssen für einen neuerlichen Einstieg wieder Ihre Identifikationsmerkmale eingeben.
  
  
• Es wird empfohlen die Identifikationsmerkmale nicht in einer Software abzuspeichern, da dies ein Sicherheitsrisiko darstellen würde.
  
  
• Änderung Ihrer PIN: falls Sie den Verdacht haben, dass jemand Ihre PIN in Erfahrung gebracht haben könnte, ändern Sie sofort Ihre PIN im Oberbank eBanking wie unter dem Punkt eBanking Produktinfo/Anleitung beschrieben. Für weitere Fragen steht Ihnen Ihre Oberbank-Kundenberaterin bzw. Ihr Kundenberater oder die Oberbank eBanking Hotline zur Verfügung.
  
  
• Wer seinen Computer mit anderen teilt, sollte nach der eBanking Anwendung den Zwischenspeicher löschen. Im Internet-Explorer geht das über Extras »Internetoptionen, Allgemein, Temporäre Internetdateien, Dateien löschen«. Bei Netscape über Bearbeiten »Einstellungen, Erweitert, Cache, Speicher, Speicher-Cache löschen, Festplatten-Cache löschen«.
  
  
• Regelmäßige Updates gewährleisten, dass die Sicherheitsvorkehrungen von Internetbrowser und Betriebssystem immer auf dem neuesten Stand sind. Dazu sollten auch die so genannten Patches oder Bug-Fixes, mit denen die Hersteller regelmäßig Sicherheitslücken schließen, unverzüglich installiert werden.
  
  
• Auch der Browser kann mit entsprechenden Einstellungen vor fremden Zugriff gesichert werden. Dabei sollten etwa die Ausführung von Active-X-Inhalten unterbunden und Java-Anwendungen nur nach Rückfrage gestattet werden.
  
  
• Ein Virenscanner, der regelmäßig aktualisiert werden muss, kann den Rechner vor Angriffen durch Hacker schützen. Eine persönliche Firewall überwacht zudem den ein- und ausgehenden Netzverkehr und verhindert unbefugte Zugriffe von außen.