Phishing-Versuch im Briefkasten – eine alte Betrugsmasche in neuem Gewand
Cyberkriminelle haben einen neuen Angriffsweg entdeckt: die Briefpost. So wurden jüngst Kund:innen einer Schweizer Bank Opfer eines Betrugsversuchs, bei dem ein gefälschter Brief im Briefkasten wartete. Über einen QR-Code auf dem gefälschten Schreiben versuchten Betrüger:innen, sich Zugang zu den Konten der Empfänger:innen zu verschaffen. Dieses sogenannte «Quishing» – eine Kombination aus Phishing und QR-Code – ist kein Einzelfall. Auch Kund:innen einer deutschen Bank wurden kürzlich Opfer eines ähnlichen Betrugsversuchs per Briefpost. Wir zeigen Ihnen, was Quishing so gefährlich macht und welche Sicherheitsmassnahmen Sie dagegen treffen können.
Was steckt hinter den gefälschten Bankschreiben?
Die Empfänger:innen des erwähnten Schreibens werden dazu aufgefordert, ihr PhotoTAN-Login – ein Sicherheitsverfahren im Online-Banking – zu ändern. Doch hinter dem Schreiben steckt keine Bank. Es sind Cyberkriminelle am Werk. Wer den QR-Code aus dem Brief scannt, landet auf einer gefälschten Website. Diese Phishing-Seite imitiert das Erscheinungsbild der Bank mit Logo und Hotline-Nummer. Dort werden die Opfer aufgefordert, ihre persönlichen Zugangsdaten einzugeben und den echten Aktivierungsbrief der Bank, der bei der Kontoeröffnung ausgestellt wurde, zu fotografieren. Wer dieser Aufforderung folgt, gibt den Betrüger:innen ungewollt vollen Zugriff auf sein Bankkonto.
Ähnlich wurde bei einem Phishing-Versuch auf Kund:innen einer Deutschen Bank vorgegangen. Auch hier wurden täuschend echt aussehende Briefe mit QR-Code verschickt, die Opfer auf eine gefälschte Website führen und dort Zugangsdaten zum Bankkonto abfragen.
Warum funktioniert «Quishing»?
Phishing-Versuche im Briefkasten sind ungewohnt. Während wir bei E-Mails oft vorsichtiger sind, gilt die Briefpost als sicherer Kommunikationskanal. Banken haben bisher den Fokus ihrer Warnungen auf digitale Kanäle wie E-Mail, SMS oder WhatsApp gelegt und die potenzielle Bedrohung durch Phishing-Briefe weitgehend ausser Acht gelassen.
«Quishing» nutzt diese Sicherheitslücke geschickt aus. Es handelt sich dabei um eine Form des Social Engineering, bei der die Empfänger durch eine scheinbare Dringlichkeit unter Druck gesetzt werden, schnell und unüberlegt zu handeln.
Wie schützen Sie Ihre Portale und Kunden effektiver?
Banken und andere Anbieter digitaler Dienste und Portale stehen in der Verantwortung, ihre Kund:innen auf mögliche Betrugsmaschen aufmerksam zu machen. Sie können aber auch auf technischer Seite einiges dafür tun, damit solche Betrugsversuche nicht zum Erfolg führen. Wir haben drei Empfehlungen für Sie zusammengestellt:
Empfehlung 1: Einmalige Nutzung von Aktivierungscodes
Der beschriebene Phishing-Versuch per Briefpost und QR-Code hat eine Schwachstelle im Authentifizierungsverfahren offengelegt. Der Angriff zielt darauf ab, den QR-Code des bestehenden und mehrfach verwendbaren Aktivierungsbriefs auszunutzen. Solche mehrfach verwendbaren Aktivierungscodes sind ein potenzielles Sicherheitsrisiko, da Angreifer sie dazu nutzen können, ein eigenes Gerät als zweiten Faktor zu registrieren. Sicherer ist daher ein Authentifizierungsverfahren, das auf die mehrfache Verwendung von Aktivierungscodes verzichtet.
Airlock 2FA verwendet aus Sicherheitsgründen keine mehrfach verwendbaren Aktivierungscodes. Dadurch wird verhindert, dass Angreifer:innen eigene Geräte als zweiten Faktor registrieren und mit dem eBanking-Account einer anderen Person verknüpfen. Ein gleichartiger Angriff wäre mit Airlock 2FA deshalb so nicht möglich. Zur Aktivierung neuer Geräte empfehlen wir, neue Aktivierungscodes über einen unabhängigen und sicheren Kanal zu versenden.
Empfehlung 2: Warnen und Verzögern
Bankkund:innen sollten bei sicherheitsrelevanten Ereignissen, wie dem Zugriff von einem Gerät, umgehend informiert werden. Dies kann über verschiedene Kanäle wie SMS, E-Mail oder Push-Nachrichten erfolgen.
Um Betrugsversuche effektiv zu verhindern, hat sich in einigen Regionen, insbesondere in Asien, die verzögerte Aktivierung neuer Geräte bewährt. In Singapur beispielsweise schreibt der Regulator vor, dass ein neu registriertes Mobilgerät erst nach mindestens 12 Stunden für sicherheitskritische Aktionen genutzt werden darf. Diese Zeitverzögerung gibt dem Kontoinhaber ausreichend Gelegenheit, auf die Benachrichtigung zu reagieren und im Falle eines unbefugten Zugriffs entsprechende Massnahmen zu ergreifen.
Airlock IAM unterstützt diese Sicherheitsmassnahmen, indem es Benachrichtigungen über sicherheitsrelevante Ereignisse auf verschiedenen Kanälen ermöglicht. Zudem kann die Aktivierung neuer Mobilgeräte bei Bedarf verzögert werden.
Empfehlung 3: Sichere Anmeldeverfahren gegen Phishing
FIDO2 ist das derzeit einzige Anmeldeverfahren, das Phishing-Angriffe im Browser konsequent verhindern kann. Apple, Google und Microsoft setzen grosse Hoffnungen auf die Weiterentwicklung dieses Standards unter dem Namen «Passkeys». Diese Zugangsschlüssel könnten langfristig die ungeliebten Passwörter ersetzen. Für Finanzinstitute gibt es jedoch noch einige Herausforderungen, die mit FIDO2 allein nicht vollständig gelöst werden können. Dazu gehört die Frage, ob Passkeys den Anforderungen der PSD2/3-Regulierungen in Bezug auf starke Kundenauthentifizierung (SCA) genügen. Zudem ist die Bestätigung von heiklen Transaktionen mit FIDO2 nur eingeschränkt möglich.
Airlock IAM unterstützt sowohl FIDO2 als auch Passkeys sowie weitere passwortlose Anmeldeverfahren. Die FIDO2-Unterstützung wird kontinuierlich an die Entwicklungen in Betriebssystemen und Browsern angepasst, um ein optimales Gleichgewicht zwischen Nutzererlebnis und Sicherheit zu gewährleisten.
Fazit: Kein einfaches Patentrezept
Der FIDO2-Standard, Passkeys und die damit verbundene Benutzererfahrung entwickeln sich stetig weiter. Aus diesem Grund passen wir Airlock kontinuierlich an die neuesten technischen Möglichkeiten und die spezifischen Bedürfnisse unserer Kund:innen an. Welches Anmeldeverfahren für Ihr Unternehmen am besten geeignet ist und ob eine Kombination verschiedener Verfahren sinnvoll ist, hängt von Ihren individuellen Anforderungen ab.
Wir unterstützen Sie gerne dabei, die richtige Balance zwischen einem benutzerfreundlichen Erlebnis und höchsten Sicherheitsstandards zu finden. Mit über 250 aktiven Banking-Kunden in mehr als 20 Ländern kennen wir die Bedürfnisse und Herausforderungen der Finanzbranche genau.
Unsere letzte Empfehlung lautet daher: Lassen Sie sich von uns beraten. Wir freuen uns auf Ihre Kontaktaufnahme.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.