Hi, gestern ist mir etwas seltsames passiert und seit dem frage ich mich, wie sicher Homebanking wirklich ist:
Ich war gestern gegen Mittag in einer kleineren Schreinerei (ein Familienunternehmen) mit der Arbeit fertig und hab den Chef gefragt, ob ich noch schnell ins Internet könne, meinen Kontostand überprüfen. Ja klar, kein Problem. Also bin ich ins Büro, wo seine Frau wohl auch was mit Internetbanking zu tun hatte, auf dem Bildschirm war eine Reihe von TAN Nummern aufgelistet und ich dachte zunächst, die Frau bekommt diese in elektronischer Form (hab ja keinen Plan, wie das bei anderen Banken funktioniert, bei mir ist es eine gedruckte Liste) ich hab die die entsprechende Internetseite verkleinert, weil es mich ja auch nichts angeht. Im Gespräch mit der Frau bekam ich dann so nebenbei mit, dass sie von ihrer Bank (Sparkasse Freiburg) aufgefordert wurde, dreißig! TAN-Nummern mit zugehöriger Nummer (iTAN-Verfahren) anzugeben. Das waren wohl die Nummern, die sie dort eingetippt hatte. Ich meinte zu ihr, dass ich mir das kaum vorstellen könne, dass eine Bank 30 Nummern auf einmal bräuchte und dazu noch mit der zugehörigen Nummer. Ich bin dann auf jeden Fall auf meine Homebankingseite (Sparkasse Karlsruhe) und hab dazu auch die entsprechende Adresse "www.sparkasse-ka.de" eingetippt und bin dort dem link zum Internetbanking gefolgt. Nach der PIN-Eingabe kam bei mir ebenfalls sofort die Aufforderung, aus irgend einem dubiosen Grund 30 willkürliche Nummern meiner TAN-Liste einzutippen (die ich sowieso nicht bei mir trage). Als ich mir den zugehörigen Text genauer durchlaß, stellte ich haufenweise Grammatik und Rechtschreibfehler fest, Sätze wie "...deshalb wir sie aufforden müssen 30 TANen ihrer Liste einzugeben", "prazise" statt "präzise", etc...
Als ich die Frau meines Chefs fragte, ob sie die Liste schon abgeschickt hätte, meinte sie: Im Prinzip nein, weil das erste mal eine Fehlermeldung kam, und sie wäre grad dabei, die Liste ein zweites mal auszufüllen... Oô
Hab ihr dann erst mal erklärt, was Phishing ist, was sie wohl vorher auch noch nie gehört hatte und ihr geraten, sich sobald wie möglich mit ihrer Bank in Verbindung zu setzen. Auch sämtliche Links auf der Internetbankingseite funktionierten nicht (also Sicherheit, Fragen etc.)
Als ich dann von zu hause auf mein Hombankingportal zugegriffen habe, war alles wie gewohnt.
1) Ich dachte immer Phishing kann nur über Links (z.B. in emails) geschehen, die einem dann eine Seite präsentieren, die so aussieht wie die Originalseite. Aber die Frau und ich sind über die direkte URL auf die entsprechenden Seiten gegangen.
2) Kann das ganze an ihrem Rechner gelegen haben, eine Art Hijacker oder etwas ähnliches, da diese Problem nur an ihrem Rechner (aber hier gleich mit zwei unterschiedlichen Banken) auftrat?
3) Ich hab ja keine TAN-Nummern angegeben, kann es trotzdem sein, dass die Phisher jetzt meine PIN haben?
4) Wenn es jemand schafft, direkt Kunden auf eine Fakeseite umzuleiten (also nicht per link in einer email, sonder über die korrekte Adresse) wieso ist der nicht in der Lage, einen fehlerfreien Text zu schreiben?
sorry für den langen Text, aber das beschäftig mich grad ein wenig...