Ein Ass im Android-Ärmel gegen Banking-Malware

Sie lauert versteckt tief in den Datensätzen Ihres Android-Smartphones und hört dann zu, wenn Sie Ihre wichtigsten Kennwörter eintippen: Die Schadsoftware «Acecard», teils auch unter dem Namen «GMbot» bekannt, ist aktuell stark im Umlauf und kann bei unaufmerksamer Handybedienung Ihr Bankkonto leerräumen. Doch wie soll das gehen?

Fangen wir von vorne an. Vielleicht haben Sie auch schon einmal eine verdächtig aussehende SMS erhalten, deren Inhalt so gar nicht zum Ihnen vielleicht bekannten Absender passt oder die einen Link enthält, den Sie – so der Nachrichtentext – unbedingt so rasch wie möglich anklicken sollten. In solchen Fällen sollten Sie die SMS besser sofort löschen und den Absender darüber informieren, denn die Wahrscheinlichkeit, dass das Smartphone jener Person ohne Zutun des Besitzers solche Mitteilungen versendet und versucht, Empfänger in eine digitale Falle zu locken, ist gross. Hinter dem Link versteckt sich nämlich eine infizierte Webseite, die ganz normal aussieht, jedoch die Malware «Acecard» für Sie unerkannt auf Ihr Gerät lädt. Dort schlummert diese komplett unerkannt bis Sie «nur mal schnell eine Rechnung bezahlen» möchten und dazu Benutzername und Passwort Ihres E-Banking-Kontos eingeben. In diesem Moment spitzt «Acecard» nämlich die digitalen Lauscher und notiert sich jedes Zeichen, das Sie eingeben. Diese Angaben schickt es wieder im Geheimen an die Cyberkriminellen, welche sie dazu verwenden, Ihr E-Banking zu öffnen und unautorisierte Überweisungen in Ihrem Namen zu tätigen. Cyberkriminelle nehmen die ganze Arbeit und ihr «Berufsrisiko» auf sich, um so schnell und einfach wie möglich an viel Geld zu kommen. Was läge da näher als das Knacken von fremden Bankkonten?

Gegen Malware wie «Acecard» kann man sich jedoch schützen. Einerseits sollte man wie immer keinerlei verdächtig aussehende Links aus fragwürdigen Mitteilungen öffnen. Gibt der Absender an, Ihre Bank, Ihre Krankenkasse oder eine andere wichtige Instanz zu sein, besuchen Sie Ihr Kundenkonto lieber manuell und schauen nach dem Rechten, statt auf den Link zu klicken. Weiter sollten Sie überall dort, wo Ihnen ein Online-Service die sogenannte «Zwei-Faktor-Authentifizierung» (2FA) anbietet, unbedingt davon Gebrauch machen. Hierbei müssen zum erfolgreichen Login nicht nur etwa Benutzername und Passwort eingegeben, sondern auch eine zusätzliche Sicherheitsprüfung überwunden werden, welche üblicherweise ein externes Gerät beinhalte. Die Bank Credit Suisse beispielsweise lässt den Benutzer einen speziellen QR-Code mit ihrer eigenen Sicherheits-Smartphone-App scannen und danach den angezeigten Code eintippen. Andere Banken arbeiten mit den schon etwas älteren Kartenlesern, welche ähnlich funktionieren und einen Extracode anzeigen. Da diese Codes für Cyberkriminelle kaum abhörbar sind, stellt die 2FA eine starke und vertrauenswürdige zusätzliche Sicherungsebene dar. Wer ganz auf Nummer sicher gehen will, holt sich überdies Norton™ 360 mit dem zusätzlichen Mobile-Security-Schutz für Android-Geräte. Die Suite deckt pro Lizenz bis zu zehn PC-, Mac-, iOS- und Android-Geräte ab und hält jegliche Viren, Trojaner und sonstige Malware von all Ihren Familiengeräten fern. So können Online-Gauner auf Ihrem Smartphone rein gar nichts mithören.

Für gesunde Äpfel: Norton™ 360 im Abonnement