Da die Sicherheit der Kunden eine unserer Prioritäten ist, beschreiben wir nachstehend die häufigsten Gefahren, die bei der Nutzung des Internetbankings auftreten können sowie die Methoden, mit denen man sich vor ihnen schützen kann:
1. Phishing, also wenn sich jemand als ein anderer ausgibt - betrügerische Beschaffung der vertraulichen persönlichen Informationen wie Passwörter und Kreditkartendetails durch die Vortäuschung der vertrauenswürdigen Person oder Institution, die diese Informationen dringend benötigt. Es ist eine Form des auf dem Sozialengineering basierten Angriffs.
Kevin Mitnick einer der bekanntesten Computereinbrecher schrieb in seinem Buch "Die Kunst des Einbruchs" - "Ich brach die Leute, nicht die Passwörter". In diesem Buch beschrieb er, wie er mit verschiedenen soziotechnischen Maßnahmen den Zugriff auf IT-Systeme gewann, ohne komplizierte Computersicherungen brechen zu müssen. Nachfolgend werden einige Methoden für den Schutz gegen solche Angriffe dargestellt.
Vertraute Webseite vortäuschen
".Unsere Bank überprüft im Rahmen der Einleitung von verschärften Verfahren ihre aktiven Kunden. Deswegen klicken Sie auf den Link http://secure.dzbank.pl/ und bestätigen Sie Ihre Daten. Wenn Sie es innerhalb von nächsten zwei Wochen nicht tun, wird Ihr Webzugriff auf das Konto gesperrt."
Solche Informationen können wir per E-Mail erhalten. Der Gefahr unbewusst klicken wir auf den angegebenen Link, der uns auf die Bankseiten führt. Jedoch in der Wirklichkeit sind das die Seiten, die nur wie die Seiten unserer Bank aussehen und speziell dazu entwickelt wurden um von uns das Login und das Passwort abzufischen. Die Eingabe von vertraulichen Daten auf solcher Seite bedeutet zugleich, dass einer unbekannten und unberechtigten Person der Zugriff auf unser Bankkonto gewährt wird. Es ist das sog. Phishing - also die Situation, wenn sich jemand als ein anderer ausgibt, indem er dazu speziell entwickelte Webseiten verwendet. Nachstehend werden einige Hinweise dafür dargestellt, wie man sich schützen kann, um Phishing-Opfer nicht zu werden.
Sichere Anmeldung
Woran kann man erkennen, dass es sich um eine echte Bankseite handelt?
Bevor Sie sich an das Webservice von DZ BANK Polska S.A. anmelden, stellen Sie sicher, dass die genutzte Verbindung verschlüsselt wird:
Prüfen Sie, ob die Adresse im Browserfenster folgend aussieht:
Die Seiten, die vertraute Webseiten vortäuschen, haben die Adresse, die mit http:// beginnt, was bedeutet, dass die Verbindung nicht verschlüsselt wird und damit nicht sicher ist. Die Adresse, die mit https:// beginnt, bedeutet, dass die Seite das SLL-Protokoll verwendet, das einen sicheren Übertragungskanal herstellt.
Prüfen Sie, ob auf dem Bildschirm das Ikon des geschlossenen gelben Schlosses erscheint.
Erscheint dieses Schloss, so bedeutet es, dass die Seite mit dem Sicherheitszertifikat gesichert ist und die Verbindung verschlüsselt wird. Um die Richtigkeit des Sicherheitszertifikats zu prüfen, reicht nur aus, auf das gelbe Schloss doppelt zu klicken. Nach dem Klicken werden die Zertifikatsdetails angezeigt, die folgend aussehen sollen:
Obige Tätigkeiten sollte man jedes Mal bei der Anmeldung an DZ Internet ausführen!
Unser Gesprächspartner gibt sich für einen Bankmitarbeiter aus
"Guten Tag! Ich heiße Jerzy Nowak. Ich rufe Sie aus der IT-Abteilung an. Es erfolgte der Ausfall des elektronischen Banking-Systems und jetzt rufen wir unsere Kunden an, um sie darüber zu benachrichtigten. Bitte geben Sie Ihr Kontopasswort an, damit wir den Fehler beheben und die Systemfunktionsfähigkeit überprüfen können. Wir werden Sie unverzüglich informieren, sobald wir die Ausfallursache beheben"
Wahrscheinlich gibt unser Gesprächpartner noch einige Informationen an, um unser Vertrauen zu wecken. Beachten Sie, dass die Passwörter unter keinen Umständen per Telefon angegeben werden dürfen, auch wenn der Gesprächspartner sich als Bankmitarbeiter ausgibt.
3. Computerviren
Das Computervirus stellt am häufigsten das einfache Computerprogramm dar, das sich gezielt ohne Benutzerzustimmung vervielfältigt. Um wirken zu können, braucht es im Gegensatz zum sog. Computerwurm einen Träger z.B. ein Computerprogramm, die E-Mail usw. Die Viren nutzen sowohl die Schwäche von Sicherungen der Computersysteme und ihre konkreten Eigenschaften als auch den Mangel an Erfahrung sowie die Sorglosigkeit von Benutzern. Die Viren können viele unerwünschte Folgen haben.
Installierung im System der Hintertür, die die Kontrollübernahme über das System ermöglicht
Spionierung von vertraulichen Informationen wie z.B. Passwörter
Spamversendung
Durchführung von Einbrüchen oder DDoS-Angriffen
Arbeitserschwerung bei Antivirenprogrammen
Änderung der Browser-Startseite
Kontrolle über das infizierte System
Zugriff auf die Dateien des infizierten Computers
Weil die Wirkung von "Trojanen" auf der Benutzersorglosigkeit basiert, soll die Grundmethode der Verteidigung die Vorsorge sein. Bei dieser Methode:
dürfen die Anlagen aus verdächtigen E-Mail-Nachrichten nicht empfangen werden,
dürfen keine unbekannten ausführbaren *.exe-, -*.com-, und *.scr-Dateien sowie *.vbs und *.hta-Skripts heruntergeladen werden,
werden die Antivirenprogramme verwendet,
wird die Netzsperre - Firewall genutzt,
werden Upgrades des Betriebssystems und der Webbrowser regelmäßig durchgeführt.
4. Sicherheit des E-Bankings - Grundlagen
Nachstehend werden einige Grundsätze dargestellt, deren Einhaltung vermeiden lässt, zum Opfer des Computerverbrechens zu werden.
Sorgen Sie für die Sicherheit Ihres Computers - verwenden Sie die Antivirenprogramme und das persönliche Firewall, sorgen Sie für deren Upgrades.
Prüfen Sie immer, ob die im Browserfenster angezeigte Bank-Webadresse gültig ist. Insbesondere achten Sie darauf, dass die Seitenadresse mit https:// beginnt (es bedeutet dass die Übertragung über den gesicherten verschlüsselten Kanal erfolgt).
Beantworten Sie nicht die E-Mail-Nachrichten, deren Ersteller um Offenbarung oder Überprüfung Ihrer Personaldaten, Passwörter, PINs sowie Konto- oder Kreditkarteninformationen bitten.
Unter keinen Umständen geben Sie das Passwort oder den PIN-Code per Telefon an, auch wenn der Gesprächspartner sich für einen Bankmitarbeiter ausgibt
Senden Sie per E-Mail keine persönlichen sowie finanziellen Informationen - wenn Sie es aber tun müssen, stellen Sie sicher, dass diese Daten mit dem als sicher anerkannten Algorithmus verschlüsselt werden.
Verwenden Sie nicht das zur Anmeldung an das elektronische Banking-System genutzte Passwort auf anderen Webseiten.
Starten Sie keine aus Webseiten sowie aus unbekannten Quellen heruntergeladenen Programme.
Prüfen Sie regelmäßig den Kontostand sowie die Transaktionshistorie.
Vergewissern Sie sich, ob Sie sich richtig nach Abschluss von allen Tätigkeiten im Bezug auf Ihr Konto mit der Option "Abmelden" abgemeldet haben.
