BAWAG P.S.K. AG - Stellungnahme zum Internet-Artikel der Fa. ESET vom 16.12.2011

Attacken mittels "Schadsoftware" (wie z.B. "Zeus", "SpyEye", usw.) auf verschiedene eBanking-Anwendungen der österreichischen Banken sind seit längerem bekannt. Wirkungsvolle Maßnahmen dagegen wurden bereits entwickelt und werden auch ständig angepasst und verbessert. Auch in diesem konkreten Fall!

Die bereits Mitte des Jahres implementierten Maßnahmen der BAWAG P.S.K. AG (auch gegen die im Artikel erwähnte altbekannte "Schadsoftware") ermöglichen es, im Vorfeld von Betrugsattacken und im konkreten Betrugsfall wirkungsvoll vorzugehen und zeitgerecht zu reagieren. Z..B. durch Veranlassung, dass die in Betrugsfällen involvierte Systeme - die sog. "C&C"-Server - identifiziert und deaktiviert werden, dass betrügerischen Zahlungen nicht durchgeführt werden, dass betroffene Kunden kontaktiert und gebeten werden entsprechende Schutzmaßnahmen für ihre Systeme zu schaffen, diese zu "säubern", usw..
Aus rechtlichen und technischen Gründen kann (derzeit) eine Bank eine Infektion von Kunden-PCs durch "Schadprogramme" nicht verhindern. Für die "Instandhaltung" eines Systems, z.B. durch das "Einspielen" von empfohlenen Sicherheits-Updates, die Nutzung von diversen Schutzprogrammen, usw. ist nach wie vor der Eigentümer des Systems selbst verantwortlich. Somit ist auch das Risiko von "Schadsoftware" betroffen zu werden (auch von älteren und eigentlich bekannten Exemplaren, wie dem SpyEye-Trojaner) ein permanentes Risiko. Hier appellieren wir an die Selbstverantwortung der Nutzer. Auf jeden Fall werden Kunden der BAWAG P.S.K. regelmäßig und proaktiv über aktuelle Bedrohungen und mögliche Gegenmaßnahmen auf den verschiedenen Homepages und in den eBanking-Anwendungen informiert. Bei Unregelmäßigkeiten und Verdacht auf betrügerische Aktivitäten sollte auf jeden Fall die Bank informiert werden.

IT Security Team (BAWAG P.S.K. AG)

10.10.2011: neuer Betrugsversuch

Dieser Screenshot zeigt einen neuen Betrugsversuch. Hier handelt es sich um kein Formular der BAWAG P.S.K., sondern um ein Trojanerprogramm.
 

27.7.2011: neuer Betrugsversuch mit gefälschten Formularen

Derzeit versuchen Betrüger über verschiedene Methoden einzelne oder mehrere TAN Codes mittels gefälschter Formulare abzufragen (Abb.1 und 2). Auch Karteninformationen werden über solche Formulareingaben entwendet (Abb.3).

Es handelt sich hierbei um Schadprogramme, so genannte Trojaner, die sich auf den betroffenen Kunden PC’s befinden. Nach dem eBanking Login werden die Formulare im Vordergrund auf dem Bildschirm eingeblendet und die angemeldeten Kunden mit einem fadenscheinigen Vorwand zur Eingabe aufgefordert. Um die Echtheit zu bekräftigen, bleibt unsere Anwendung im Hintergrund bestehen und kann anschließend wie gewohnt weiter verwendet werden.

Abb.1 des aktuellen Betrugsversuches

Abb.2 des aktuellen Betrugsversuches

Abb.3 des aktuellen Betrugsversuches

Bitte beachten Sie, dass wir unsere eBanking Verfüger ausschließlich im Zuge von eBanking-Transaktionen zur Eingabe einer TAN auffordern!

17.6.2011: Betrugsversuch mittels Aufforderung zur Eingabe einer TAN

Vor kurzem ist ein neuer Trojaner (Computer-Virus) entdeckt worden, bei dem direkt nach Eingabe von Verfügernummer und PIN ein Fenster erscheint, in dem der Kunde zur Eingabe einer TAN aufgefordert wird (nachfolgende Abbildung). Im Hintergrund generiert dieser Trojaner eine EU-Standardüberweisung und versucht Geld von Ihrem Konto ins Ausland zu überweisen. Deshalb kontrollieren Sie bitte immer Ihre Kontoumsätze und gezeichneten Aufträge (unter Kontrolle - gezeichnete Aufträge im eBanking).

Abb. des Betrugsversuches

Bitte beachten Sie, dass wir unsere eBanking-Verfüger ausschließlich im Zuge von eBanking-Transaktionen zur Eingabe einer TAN auffordern!

Sollten Sie nach der Anmeldung ein ähnliches Verhalten beobachten, geben Sie unter keinen Umständen Ihre TAN in das dafür vorgesehene Feld ein.

Wenn Sie verdächtige Transaktionen auf Ihren Konten bemerken, melden Sie umgehend den Vorfall der eBanking Hotline unter 05 99 05-995 (Telefoncomputer-Taste 5).

Für die weitere sichere Nutzung des eBanking ist eine vollständige Beseitigung des Trojaners durch einen Fachmann unbedingt erforderlich. Zur Vermeidung von Schäden durch die aktuelle Betrugsform empfehlen wir Ihnen den Umstieg auf eBanking mit digitaler Signatur, unserem Service zur sicheren Online-Auftragszeichnung.

Deshalb ist das BAWAG P.S.K. eBanking per Internet mit einem umfangreichen Sicherheitssystem versehen, welches Ihre persönlichen Daten gegen Manipulation von Unbefugten schützt:

• Durch VeriSign Inc., USA zertifizierter Werbserver mit 2048 Bit Verschlüsselung. Die Datenübertragung erfolgt mit 2048 Bit verschlüsselter SSL-Verbindung (Secure Socket Layer).
• Ab der Login-Seite oder dem Login-Feld auf der Startseite der Homepage erfolgt die Dateneingabe und Datenübertragung in einem hochsicheren, verschlüsselten Bereich.
• Durch die verschlüsselte Übertragung wird eine größtmögliche Sicherheit Ihrer Daten vor Einsicht und/oder Manipulation durch Unbefugte gewährleistet. Weiters garantiert Ihnen die SSL-Verbindung, dass Sie ausschließlich mit dem BAWAG P.S.K. Server verbunden sind.
• Wir gewährleisten Ihnen höchstmögliche Sicherheit durch laufende sicherheitstechnische Aktualisierung unserer Systeme.
• Zugriff auf Ihr(e) Kont(en) ausschließlich mittels Ihrer persönlichen Identifikationsnummer (PIN) und Ihrer persönlichen Verfügernummer oder mittels Elektronischer Signatur.
• Transaktionen können nur mit einmal verwendbaren Transaktionsnummern (TAN) oder mit Elektronischer Signatur freigegeben werden.
• Sperre der Verfügernummer bei mehr als 3 ungültigen PIN- oder TAN-Eingaben.

Wir gewährleisten Ihnen eine höchstmögliche Sicherheit durch laufende sicherheitstechnische Aktualisierung unserer Systeme. Aber auch Sie sollten zusätzlich zur weiteren Erhöhung der Sicherheit beitragen:

• Installieren Sie auf Ihrem Computer immer die aktuellsten (Sicherheits-)Updates für Betriebssystem und Browser.
• Wichtige Sicherheitsinformationen und aktuelle Updates (Patches) für Microsoft Windows und Microsoft Internet Explorer erhalten Sie auf der Microsoft Homepage (www.microsoft.com)
• Updates für den Mozilla Firefox finden Sie auf der Seite www.mozilla-europe.org/de/
• Überprüfen Sie Ihren Computer regelmäßig mit einem aktuellen Antivirenprogramm.
• Halten Sie Ihre PIN und TANs geheim.
• Geben Sie Ihre PIN niemandem bekannt und notieren Sie Ihre PIN nirgendwo.
• Ändern Sie Ihre PIN regelmäßig. Verwenden Sie dabei eine Kombination aus Ziffern und Buchstaben, die nur Ihnen selbst bekannt sein kann.
• Verwahren Sie die TANs an einem sicheren Ort auf (TANs ohne der Kenntnis der PIN sind für Unbefugte wertlos).

Überprüfen Sie die sichere Verbindung und das Sicherheitszertifikat

• Einen geschützen Bereich auf dem BAWAG P.S.K. Webserver können Sie an der Adresse (URL) erkennen: Diese beginnt mit dem Protokoll "https://" anstatt "http://".
• Beim "direkten BAWAG P.S. eBanking Loginfeld" auf der BAWAG P.S.K. Homepage ist für Sie zwar kein "https://" erkennbar, Ihre Daten werden jedoch auch mit einer gesicherten Verbindung übertragen.
• Ob Sie mit dem BAWAG P.S.K. Server über eine gesicherte Verbindung Daten austauschen, erkennen Sie außerdem an einem geschlossenen Vorhangschloss in der Statuszeile des Browsers.
• Auch das Sicherheitszertifikat gibt detaillierte Auskunft: Durch Klicken auf das Symbol für gesicherte/ungesicherte Verbindung (Schlüssel oder Vorhängeschloss) können Sie das Sicherheitszertifikat auslesen. Das Zertifikat muss auf "BAWAG P.S.K." lauten und von VeriSign Inc. ausgestellt sein.

Aufruf des BAWAG P.S.K. eBanking per Internet

Verwenden Sie zum Aufruf des BAWAG P.S.K. eBanking ausschließlich eine der beiden Möglichkeiten:

Rufen Sie die Startseite der BAWAG P.S.K. Homepage auf, indem Sie die Adresse "http://www.bawagpsk.com" direkt in die Adresszeile Ihres Browsers eingeben und dort die Eingabefelder für das eBanking per Internet nutzen.

Unsere Warnung:
Aktuell versenden Betrüger vermehrt gefälschte E-Mails, die scheinbar von der BAWAG PSK  zu stammen scheinen. Mit diesen sogenannten Phishing-Mails wird versucht, den Empfänger auf eine vom Betrüger gefälschte, jedoch täuschend echt wirkende Bank-Webseite zu leiten, auf der dann die Eingabe von persönlichen und vertraulichen Daten (z.B. eBanking Zugangsdaten) gefordert wird.  

Unsere Hinweise:
Um Sie bestmöglich vor solchen Betrugsversuchen zu schützen, weisen wir Sie ausdrücklich auf folgende Punkte hin: Wir versenden grundsätzlich keine E-Mails, in denen Sie aufgefordert werden, einen Link zum e-Banking-Login anzuklicken. Wir fordern Sie niemals zur Übermittlung von persönlichen Daten oder Passwörtern (z.B. PIN oder TAN) per E-Mail auf. Beim e-Banking Login werden niemals "Geburtsdatum" und "Telefonnummer" oder sonstige persönliche Daten verlangt. 

Unsere Empfehlung:
Wenn Sie ein solches Phishing-Mail oder ein Mail mit ähnlich verdächtigen Inhalten erhalten haben, folgen Sie in keinem Fall den darin enthaltenen Anweisungen! Klicken Sie keinesfalls auf einen Link in solchen E-Mails! Geben Sie unter keinen Umständen Ihre geheimen eBanking-Zugangsdaten bekannt! Wir empfehlen Ihnen, derartige E-Mails sofort zu löschen.   

Beispiel des aktuellen gefälschten E-Mails:


                              Sehr geehrter Kunde,
            BAWAG P.S.K Bank hat ein neues Sicherheits-Update. Bitte
         Loggen Sie sich in Ihrem Konto, um dieses Update zu bestätigen

                        Aktualisieren Sie Ihre e-Banking

                                  Kundendienst
  BAWAG PSK Bank entschuldigt sich für eventuelle Unannehmlichkeiten dies der
                                 Kommunikation.
          Danke. Copyright © 2012 - BAWAG PSK Alle Rechte vorbehalten.


Abb.1: Screenshot einer gefälschten Bank-Webseite.

Keine Weitergabe von PIN und TAN an "Zahlungsdienstleister", verwenden Sie die eps Online-Überweisung!

Ihre persönlichen Zugangsdaten (PIN/TAN) dienen ausschließlich dazu, dass Sie sich gegenüber den Systemen Ihrer Bank legitimieren. Wenn Sie diese vertraulichen Daten an Dritte weitergeben, ist es nicht mehr in Ihrem Einflussbereich, was damit tatsächlich beauftragt wird.

In letzter Zeit treten im Internet Bezahlsysteme auf, bei denen Sie Ihre eBanking Zugangsdaten bekanntgeben sollen. Diese Systeme melden sich danach im eBanking "in Ihrem Namen" an und verwenden Ihre Daten zur Freigabe einer Zahlung. Ob und was tatsächlich zu Lasten Ihres Kontos beauftragt wird, können Sie aber nicht mehr prüfen! Diese Vorgehensweise wäre vergleichbar mit Ihrer Blankounterschrift auf einem Zahlschein, den Sie an einen Dritten weitergeben.

Weiters können sich diese Bezahlsysteme damit zukünftig jederzeit in Ihrem Namen im eBanking anmelden!

Dieses Verfahren birgt große Gefahren und darum ist von dieser Art der Online-Bezahlung dringend abzuraten.

Wappnen Sie sich vor Betrugsversuchen mittels Aufforderung zur Eingabe Ihrer Transaktionsnummern (TAN)

Aktuell wurde uns von Kunden das Auftreten eines eBanking Trojaners gemeldet, der nach der Anmeldung im eBanking aktiv wird. Dieses Schadprogramm (Virus) befindet sich auf dem verwendeten PC und versucht mit fadenscheinigen Vorwänden an die TAN Codes der eBanking Nutzer zu gelangen. Im Vorfeld werden Benutzerkennungen und Passwörter ausspioniert und gespeichert.

Bitte beachten Sie, dass wir unsere eBanking-Verfüger keinesfalls und zu keinem Zeitpunkt zur Eingabe mehrerer TANs auffordern!

Abb. eines Betrugsversuches

Sollten Sie nach der Anmeldung ein ähnliches Verhalten beobachten, geben Sie unter keinen Umständen Ihre TAN in das dafür vorgesehene Feld ein! Die BAWAG P.S.K. fordert Sie niemals auf, mehrere iTAN's für irgendwelche Überprüfungen einzugeben. Melden Sie umgehend den Vorfall per Mail an kundenservice@bawagpsk.com. Bitte fügen Sie einen Screenshot der auffälligen Eingabeaufforderung bei (Tastenkombination: SRTG + DRUCK und STRG + V um das Bild in die Mail einzufügen).

Für die weitere sichere Nutzung des eBanking ist eine vollständige Beseitigung des Trojaners durch einen Fachmann unbedingt erforderlich. Zur Vermeidung von Schäden durch die aktuelle Betrugsform empfehlen wir Ihnen den Umstieg auf mobileTAN, unserem Service zur sicheren Auftragszeichnung im eBanking.