BaFin: Sicherheitsaufforderung von BaFin ([email protected])

Achtung: Neben diversen Phishing-Mails wurde am Dienstag, den 29. November 2016 auch eine gefälschte E-Mail mit dem Namen der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) versendet. Hierbei fordert die BaFin angeblich den Nutzer zur Umstellung der iTAN in ein neues SecureTanV3 – Verfahren auf. Hintergrund für diese Aufforderung sollen die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) sein. Klicken Sie nicht auf den Link und geben Sie keine Daten ein!

20161129_bafin_email

Betreff: BaFin: Sicherheitsaufforderung
Absender: BaFin ([email protected])

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht

Sicherheitsaufforderung 29.11.2016

Rundschreiben vom 29.11.2016

Rundschreiben 11/2016 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen

Guten Tag (Nachname Vorname),

Auf Grund schwerwiegender Sicherheitslücken im Sicherheitsverfahren „iTan“, fordern wir Sie dringlich dazu auf das neue SecureTanV3 Verfahren zu nutzen.

Die Aufrüstung auf SecureTanV3 gewährleistet Ihnen einen hochsicheren und reibungslosen Ablauf Ihres Zahlungsverkehrs. Zu dem bietet Ihnen die staatliche Bankenversicherung durch die Nutzung von SecureTanV3weitreichenden Versicherungsschutz im Betrugsfall.

Betrugsfälle die im Zusammenhang mit Ihrem jetzigen Sicherheitsverfahren „iTan“ stehen, werden nicht mehr durch die staatliche Bankenversicherung gedeckt. Im Schadensfall haftet somit nicht mehr das Bankinstitut, sondern der Kontoinhaber.

Diese Regelung ist in Absprache mit der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) getroffen worden und gilt für alle europäischen Banken, die der Europäischen Zentralbank (EZB) untergeordnet sind.

Für weitere Informationen und die genaue Vorgehensweise klicken Sie bitte auf die Schaltfläche unten (SecureTanV3).

SecureTanV3

Der Link „SecureTanV3“ ist teilweise fehlerhaft:

file:///C:/Users/Administrator/AppData/Roaming/AtomPark/Email%20Marketing/Projects/http://bit.ly/2gzMsLQ

Eigentlich wollten die unbekannten Dritten auf bit.ly/2gzMsLQ verlinken, was auf bafin.de-secverify.link weiterleitet. Die Angabe „bafin“ ist dabei nur eine Sub-Domain von „de-secverify.link“, was offensichtlich nicht zur BaFin gehört. Klicken Sie daher nicht auf den Link und geben Sie keine Daten ein!

 

Die verlinkte Internetseite zeigt ein angeblich neues Rundschreiben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI). Ein echtes Rundschreiben der BaFin zur MaSI würden Sie z. B. hier finden (Rundschreiben 4/2015 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)).

20161129_bafin_web1

 

BaFin

Bundesanstalt für
Finanzdienstleistungsaufsicht

Rundschreiben 11/2016 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)

Geschäftszeichen BA 52-K 3142-2033/0117

Datum: 11.11.2016

Author: Dr. Markus Held, BaFin

Geldwäschebekämpfung Zahlungen im Internet
Vorbemerkung

Anfang November 2016 hat die BaFin ein neues Rundschreiben mit Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) veröffentlicht. Ziel ist es, ganzheitlichen Schutz vor Cyber-Kriminalität zu gewährleisten.
Thema – Geldwäschebekämpfung Zahlungen im Internet
Anwendungsbereich

Das Rundschreiben setzt die Leitlinien zur Sicherheit von Internetzahlungen der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) in die Verwaltungspraxis der BaFin um. Rechtsgrundlage für die Umsetzung ist § 7b Absatz 1 Kreditwesengesetz (KWG).
Die rasant steigende Anzahl an Strafttaten im Bereich Cyber-Kriminalität und die damit verherrenden finanziellen Schäden hat die EBA (European Banking Authority) dazu veranlasst länderübergreifend einen neuen Sicherheitsstandard festzulegen.

Allein im vergangenen Jahr betrug der Schaden weit über 3,4 Milliarden Euro. In den meisten Fällen wurde der Schaden von der staatlichen Bankenversicherung übernommen. Der Kunde und Kontobesitzer blieb somit nicht auf dem finanziellen Schaden sitzen.

Nun gilt die Versicherung nur noch in Verbindung mit dem neuen SecureTanV3 Verfahren!

Sichern Sie sich jetzt den vollen Versicherungsschutz und einen hochsicheren Zahlungsverkehr durch SecureTanV3.

Geben Sie dazu bitte in das untere Feld Ihre Bankleitzahl ein und klicken Sie auf „Weiter“.

BLZ

 

Auf mobilen Endgeräten (schmales Display) würde die Nachricht nur in kurzer Version mit einem Link „Vollständigen Artikel anzeigen“ dargestellt:

20161129_bafin_web0

 

Am Ende der Seite ist ein Feld zur Eingabe der Bankleitzahl (BLZ) vorhanden. Je nach Eingabe der BLZ würde eine Fehlermeldung …

20161129_bafin_web1a

Ihre Bank ist noch nicht zugelassen. Versuchen Sie es zu einem späteren Zeitpunkt nochmal.

… oder ein Hinweis zur Weiterleitung auf die nächste Seite erscheinen:

20161129_bafin_web1b

Sie werden nun zu Ihrem Bankinstitut weitergeleitet, wo Sie sich in 5min. für SecureTanV3 registrieren können.

Hier das Beispiel gefälschter Seiten nach Eingabe der BLZ der Deutschen Bank. Dabei würde die gefälschte BaFin-Seite auf die Adresse deutsche-bank.de-secverify.link weiterleiten. Wie schon bei bafin.de-secverify.link ist „deutsche-bank“ nur eine weitere Sub-Domain von de-secverify.link:

20161129_bafin_web2

Deutsche Bank

Herzlich willkommen!

Login mit PIN

Filiale (3-stellig)
Konto (7-stellig)
Unterkonto (2-stellig)
PIN (5-stellig)

Direkt zu … Finanzübersicht
[ ] Session-TAN für Wertpapieraufträge verwenden

Bitte beachten Sie: Die Deutsche Bank fordert pro Auftrag nie mehrere Transaktionsnummern (TAN)!

Aktueller Sicherheitshinweis: Wir rüsten auf SecureTanV3 auf.

Wir rüsten unser Sicherheitsverfahren auf das neue SecureTanV3 Verfahren auf.

Das SecureTanV3 Verfahren ermöglicht unseren Kunden das höchste Maß an Sicherheit. Die Grundlage dieses Verfahrens ist der sogenannte „Facial Recognition Algorithmus“ zur Verschlüsselung von Metadaten mit Hilfe einzigartiger Gesichtspunkte. Dieses Verfahren wurde von der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) als neues TAN-Verfahren europaweit vorgeschrieben und muss von jedem Kreditinstitut übernommen werden.

Am Ende der gefälschten Seite befindet sich ein Hinweis, die Bank würde angeblich auf SecureTanV3 aufrüsten. Dies würde natürlich zur Meldung der BaFin passen, ist aber genauso gefälscht wie die ganze Seite. Auf der echten Seite der Deutschen Bank würden Sie diesen Hinweis nicht sehen. Dort wird eher vor Phishing gewarnt („Neue Phishing-Mails im Umlauf“).

Geben Sie keine Daten an! Alle Angaben würden an unbekannte Dritte übermittelt und könnten anschließend missbraucht werden! Leiten Sie Phishing-Mails zur Deutschen Bank an [email protected] weiter!

Nach der Anmeldung in der betrügerischen Seite würde angeblich die Umstellung begonnen. Angeblich soll man ein Foto seines Gesichtes hochladen, damit daraus ein FaceKey erzeugt wird. Laden Sie kein Bild hoch! Klicken Sie nicht auf Weiter!

20161129_bafin_web3

Deutsche Bank

SecureTanV3

Lieber Kunde

Wir rüsten unser Sicherheitsverfahren auf das neue SecureTanV3 Verfahren auf.

Das SecureTanV3 Verfahren ermöglicht unseren Kunden das höchste Maß an Sicherheit. Die Grundlage dieses Verfahrens ist der sogenannte „Facial Recognition Algorithmus“ zur Verschlüsselung von Metadaten mit Hilfe einzigartiger Gesichtspunkte. Dieses Verfahren wurde von der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) als neues TAN-Verfahren europaweit vorgeschrieben und muss von jedem Kreditinstitut übernommen werden.
Ihr Konto
Konto *******
Unterkonto **

SecureTanV3 – Schritt 1

Schritt 1
Achtung

Wir können nur Bilder im Format .jpg, .jpeg, .png und .pdf akzeptieren.

Zum Erstellen des FaceKeys für das SecureTanV3 Verfahren benötigen wir ein Foto Ihres Gesichts. Bitte stellen Sie sicher, dass Sie deutlich zu erkennen sind. Ihr Foto wird nur bei der Generierung des FaceKeys benötigt und wird weder bei uns oder bei Dritten abgespeichert.

Bild Hochladen

Weiter

In der nächsten Seite würde das Foto nochmal angezeigt. Ein Klick auf „FaceKey generieren“ soll angeblich den FaceKey erzeugen. Da es sich um eine betrügerische Seite handelt, sollten Sie nicht auf „FaceKey erzeugen“ klicken!

20161129_bafin_web4

Deutsche Bank

SecureTanV3

Ihr Konto
Konto *******
Unterkonto **

SecureTanV3 – Schritt 1

Ihre Auswahl
Info

Wir rüsten unser Sicherheitsverfahren auf das neue SecureTanV3 Verfahren auf.

FaceKey generieren

Ihr persönlicher FaceKey

Bitte bewaren Sie Ihren FaceKey gut auf. Dieser wird aus Sicherheitsgründen nicht gespeichert. Im Falle des Verlusts können Sie keine Transaktionen ausführen. Melden Sie sich bitte bei uns, falls dieser Fall eintritt.

Ihr FaceKey lautet:

Nach einem Klick auf „FaceKey generieren“ würde es einen Moment dauern…

20161129_bafin_web4a

… bevor ein Schlüssel angezeigt wird. Danach könnte man „Weiter zu Schritt 2“ anklicken. Klicken Sie den Button nicht an! Es handelt sich um betrügerische Seiten!

20161129_bafin_web4b

Ihr persönlicher FaceKey

Bitte bewaren Sie Ihren FaceKey gut auf. Dieser wird aus Sicherheitsgründen nicht gespeichert. Im Falle des Verlusts können Sie keine Transaktionen ausführen. Melden Sie sich bitte bei uns, falls dieser Fall eintritt.

Ihr FaceKey lautet:
23884922A34XX21

Weiter zu Schritt 2

Nachdem man zuvor schon sein Foto hochgeladen hat, soll man nun das Bild der TAN-Liste hochladen. Folgen Sie nicht der Aufforderung! Da die unbekannten Dritten bereits Ihre Zugangsdaten haben, könnten diese mit Ihrer TAN-Liste missbrauch betreiben! Machen Sie kein Foto von Ihrer TAN-Liste! Übermitteln Sie das Foto nicht mit diesem Formular! Senden Sie die Seite nicht ab!

20161129_bafin_web5

Deutsche Bank

SecureTanV3

Lieber Kunde

Wir rüsten unser Sicherheitsverfahren auf das neue SecureTanV3 Verfahren auf.

Das SecureTanV3 Verfahren ermöglicht unseren Kunden das höchste Maß an Sicherheit. Die Grundlage dieses Verfahrens ist der sogenannte „Facial Recognition Algorithmus“ zur Verschlüsselung von Metadaten mit Hilfe einzigartiger Gesichtspunkte. Dieses Verfahren wurde von der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) als neues TAN-Verfahren europaweit vorgeschrieben und muss von jedem Kreditinstitut übernommen werden.
Ihr Konto
Konto *******
Unterkonto **

SecureTanV3 – Schritt 2

Schritt 2
Achtung

Wir können nur Bilder im Format .jpg, .jpeg, .png und .pdf akzeptieren.

Sie haben es fast geschafft. Im letzten Schritt benötigen wir Ihre jetzige Tan-Liste. Ihre Liste wird durch den neuen FaceKey verschlüsselt und per Post an Sie zugesandt. Nutzen Sie dann nur noch die neue Liste, um das höchste Maß an Sicherheit zu genießen.

Wir bitten Sie nur dringende Überweisungen mit Ihrer jetzigen Liste durchzuführen, bis die neue Liste bei Ihnen eingetroffen ist.

Bild Hochladen

Verifizierung abschließen

Angeblich ist die Umstellung damit abgeschlossen und man würde in Kürze Post von der Deutschen Bank erhalten. Das stimmt aber nicht! Statt dessen könnten Betrüger nun Ihr Online-Banking missbrauchen und Ihnen Schaden zufügen!

20161129_bafin_web6

Deutsche Bank

SecureTanV3

Lieber Kunde

Sie haben sich erfolgreich für das neue SecureTanV3 Verfahren registriert. In Kürze erhalten Sie Post vom uns. Nun werden Sie automatisch in 07 Sec ausgeloggt und können alles wie gewohnt weiter nutzen.

Danach wird man erst auf die echte Seite der Deutschen Bank weitergeleitet:

20161129_bafin_web7

 

Haben Sie Daten eingegeben / hochgeladen?

Sperren Sie umgehend Ihren Online-Banking-Zugang und informieren Sie die Deutsche Bank

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.