Deutsche Bankengemeinschaft: Phishing-Angriff auf alle Bankkunden

Eine Phishing-E-Mail greift alle Bankkunden in Deutschland an. Dabei handelt es sich um einen professionellen Angriff auf die deutsche Bankenlandschaft, den es in den vergangenen Monaten schon einmal gab. Wir warnen vor der Deutschen Bankengemeinschaft (DBG) und erklären, woran Sie den Datenklau erkennen.

Phishing-Mails sind normalerweise sehr gut zu erkennen. Häufig sind die gefälschten E-Mails mit vielen Rechtschreibfehlern versehen oder die äußere Form gibt Anlass zum Misstrauen. Der aktuelle Angriff spielt in einer anderen Liga. Für den Datenklau wurde von den Verbrechern eine neue Bundesbehörde erfunden, die Deutsche Bankengemeinschaft (DBG) mit Sitz in Bonn. Neu ist auch, dass die Betrüger mit einer E-Mail alle Bankkunden zugleich angreifen und die Kontodaten stehlen. Das hat für die Kriminellen den Vorteil, dass sie keine E-Mails im Namen verschiedener Banken versenden müssen.

Gleich vorweg: Die Deutsche Bankengemeinschaft ist frei erfunden. Es gibt diese Behörde nicht. Das Logo im Kopf der E-Mail mit dem Bundesadler wird missbräuchlich verwendet.

So sieht die Phishing-Nachricht der Deutschen Bankengemeinschaft aus

Das Design der gefälschten Nachricht erinnert mit dem für Bundesbehörden typischen Logo mit Bundesadler und der schwarzen Schrift auf grauem Hintergrund tatsächlich an eine Behörden-E-Mail. Als Absender ist „Deutsche Bankengemeinschaft“ und als Betreff „Deutsche Bankengemeinschaft Sicherheitscenter“ angegeben. Im Text der E-Mail wird Bezug auf gravierende Sicherheitslücken in einigen Online-Banking-Sicherheitsverfahren genommen. Angeblich konnte die Behörde den Empfänger der E-Mail, der nicht mit seinem Namen angesprochen wird, telefonisch nicht erreichen. Sodann werden zwei Möglichkeiten für die Überprüfung des Sicherheitsstatus angeboten.

Der Empfänger kann wählen, ob er einen Termin mit seiner Hausbank vereinbart und eine Aufwandsgebühr in Höhe von 27 Euro für die manuelle Überprüfung bezahlt. Als zweite Möglichkeit wird ein Link für eine kostenlose Onlineprüfung angeboten. Ziel der Betrüger ist es, dass der Nutzer diesen Link klickt. Denn der Betrug fliegt auf, wenn der Kunde einen Termin bei seiner Hausbank vereinbart. Hier setzen die Ganoven auf „Geiz ist Geil“ und hoffen, dass die Mehrzahl der Bankkunden sich für die kostenlose Variante entscheidet.

Klicken Sie den Link in der E-Mail auf keinen Fall an!

Wer den Link anklickt, gelangt auf die ebenfalls gefälschte Webseite der Fantasiebehörde. 

Wie geht es auf der Phishing-Webseite weiter

Zugegeben, auf diese E-Mail können ungeübte Nutzer wirklich reinfallen. Wer den Link anklickt, gelangt auf die vermeintliche Webseite der Behörde. Auch die gefälschte Webseite wirkt für den Laien vertrauensvoll und ist sehr ordentlich und sauber gestaltet. Im ersten Schritt wird darüber informiert, dass die Bankengemeinschaft eine Schnittstelle zu allen Banken geschaffen hat. Das bedeutet, es spielt keine Rolle, bei welcher Bank Sie Kunde sind, die Betrüger zeigen immer die passende Seite an. Zuerst sollen Sie das von Ihnen verwendete TAN-Verfahren auswählen und die Bankleitzahl ihrer Bank eingeben. Ein Klick auf „Weiter“ führt Sie zum zweiten Schritt.

Zunächst wird Ihnen angezeigt, dass es für die eingegebene Bankleitzahl erhebliche Sicherheitsmängel gibt und Sie nun zu Ihrer Bank weitergeleitet werden. Auf der zweiten Seite sehen Sie die Login-Seite für das Onlinebanking Ihrer Hausbank. Anhand der Bankleitzahl wird das richtige Formular ermittelt, welches nahezu perfekt gefälscht ist. Allerdings befinden Sie sich nicht auf der Webseite Ihrer Hausbank, sondern auf der Phishing-Seite der Kriminellen. Sie sollen sich jetzt beim Onlinebanking anmelden. In diesem Moment übermitteln Sie alle Login-Daten direkt an die Betrüger.

Auch im dritten Schritt wird Ihnen vorgegaukelt, dass Sie sich auf der Webseite Ihrer Bank befinden. An dieser Stelle wird Ihre Mobilfunknummer abgefragt, angeblich um Sie zukünftig noch besser erreichen zu können. Anzunehmen ist, dass darüber weitere Phishing-Angriffe stattfinden.

Im letzten Schritt wird mitgeteilt, dass Ihre iTan-Liste Sicherheitsmängel aufweist und Sie werden gebeten, die iTan-Liste hochzuladen. Wer das tut, gibt den Verbrechern einen Vollzugriff auf das Konto. Denkbar ist, dass der dritte Schritt von Bank zu Bank abweichend ist. Fakt ist, dass die Kriminellen versuchen einen Vollzugriff auf Ihr Konto zu bekommen. Damit können sie sich anschließend nach Herzenslust bedienen. Haben Sie den letzten Schritt abgeschlossen, werden Sie angeblich automatisch ausgeloggt und es wird die Startseite Ihrer Hausbank geladen, was den Angriff sehr unauffällig macht.

Wie können Sie sich vor solchen Phishing-Angriffen schützen?

Der Angriff mit der Fantasiebehörde Deutsche Bankengemeinschaft ist besonders gemein und hinterhältig. Schützen können Sie sich nur, indem Sie bei unaufgefordert erhaltenen E-Mails misstrauisch sind. Denken Sie immer daran, dass Sie niemand nach Ihrer TAN-Liste oder einzelnen TANs fragen darf. Das gilt für Behörden genauso wie für Ihre Bank. TAN-Nummern sind nur für die Freigabe von Transaktionen im Rahmen des Onlinebankings einzugeben. Achten Sie zudem immer darauf, dass Sie Ihre Zugangsdaten zum Onlinebanking wirklich nur auf der Webseite Ihrer Bank eingeben. Die Verbindung muss per HTTPS verschlüsselt sein, was in diesem Fall nicht gegeben war. 

In Bezug auf die Erkennung der E-Mail als Phishing oder Spam legen wir Ihnen folgende Ratgeber ans Herz, die Sie sich unbedingt ansehen sollten: