Phishing per Apple Pay / Google Pay: Ein modus operandi beim Hacking auf das S-pushTAN-Verfahren der Sparkassen

Straftäter sind mit einem neuen modus operandi beim Phishing unterwegs. Statt nichtautorisierte Zahlungen auf Drittkonten direkt im Online Banking vorzunehmen, hacken sich Straftäter in das Online Banking ein und verknüpfen offenbar das Bankkonto von ahnungslosen Bankkunden mit dem Zahlungsdienst Apple Pay („Bezahlen mit dem Handy“). Dabei wird ein Smartphone der Straftäter für die Zahlungen mittels Apple Pay freigeschaltet. Diese Vorgehensweise wirkt in diesem Fall wie der frühere „Blankoscheck“. Nachdem Apple Pay freigeschaltet ist, gehen die Straftäter im Namen des Bankkunden einkaufen. Die Sollbeträge für diese Einkäufe werden danach in das Bankkonto des Bankkunden gebucht, der davon weder etwas weiß und teilweise nicht einmal Apple Pay zuvor auch nur genutzt hat. ilex Rechtsanwälte hat die derzeit bekanntgewordenen Fälle ausgewertet und beantwortet die wichtigsten Fragen.

Was ist Apple Pay?

Apple Pay ist ein Zahlungssystem des US-amerikanische Unternehmens Apple, welches für die hauseigenen mobilen Geräte beginnend mit dem iPhone 6 ab Oktober 2014 entwickelt wurde. Es ermöglicht das „Bezahlen mit dem Smartphone“ und arbeitet mittels der Technik Near Field Communication (NFC) (Nahfeldkommunikation) in der Kombination mit einer Wallet.

Welche Online Banking Systeme sind betroffen?

Aktuell sind vor allem Online Banking Systeme von der Schadenswelle betroffen, die ein sogenanntes App basiertes Online Banking nutzen. Das sind solche Online Banking Systeme, die grundsätzlich mittels einer App vom Smartphone aus bedient werden können. Ein besonderer Schwerpunkt der Schadenswelle betrifft Bankkunden der Sparkassen. Dort heißt das App basierte Online Banking S-pushTAN. Faktisch bietet aber fast jede Bank auch ein app basiertes Online Banking an. Bei den Volksbanken nennt es sich VR Banking App und bei der Postbank heißt es BestSign oder Postbank Finanzassistent etc. Die Gemeinsamkeit dieser speziellen Art des Online Bankings besteht darin, dass sich eine Zahlungsanweisung mittels einer Banking App und eine TAN-App prinzipiell allein über das Smartphone steuern lässt.

Wie gehen Täter vor und wie ist der Tatablauf?

Eine generalisierende Antwort hierauf gibt es nicht und prinzipiell besteht die Möglichkeit. dass es immer auch abweichende Fälle gibt. Zudem hängt der Ablauf der sich Tat immer von dem konkret angegriffenen Online Banking ab, welches ebenfalls durch Updates und dem damit einhergehenden Schließen von Sicherheitslücken durch den Systemanbieter einer permanenten Veränderung unterliegt. Betrachtet man aber beispielhaft die bekannten Fälle aus dem zweiten Halbjahr 2022 etwa beim S-pushTAN-Verfahren der Sparkassen, so konnten wir anhand der Schilderung der betroffenen Bankkunden und der Auswertung von Strafermittlungsakten doch einige Gemeinsamkeiten im Tatablauf entdecken. Demnach machen sich die Täter offenbar einige Sicherheitslücken im app-basierten Online Banking S-pushTAN zunutze.

Der erste Schritt besteht demnach darin, dass die Täter die Zugangsdaten zum Online Banking erfolgreich abgreifen. Das wird ihnen beim S-pushTAN-und weiteren app-basierten Banking Verfahren dadurch erleichtert, dass einige Banken für den Login in das Online Banking nach wie vor keine starke Kundenauthentifizierung abverlangen. Dazu wird täterseitig u. a. die Webseite der jeweiligen Bank kopiert und als Webseite der Täter ein zweites Mal in das Internet gestellt. Der Unterschied zur echten Webseite ist hierbei oft überhaupt nicht erkennbar, weil man den HTML-Code einer Webseite unproblematisch mit Hilfe von gängigen Tools/Software kopieren kann. Landet nun ein Bankkunde auf der insofern kopierten Webseite, statt auch der echten und gibt hier im Vertrauen auf die gewohnte Umgebung versehentlich seine Zugangsdaten ein, weil er glaubt, er sei auf der echten Banking-Webseite seiner Bank, können die Täter sich nun direkt selber in das Online Banking des Bankkunden einloggen, solange die Bank nur eine einfache Kundenauthentifizierung für den Login in das Online-Banking bereithält. Bei einer starken Kundenauthentifizierung reicht das simple Abgreifen der Zugangsdaten jedoch nicht aus, da stets noch ein zweites Authentifizierungsmittel zum Login erforderlich ist.

Was machen die Täter, nachdem Sie sich in das Online Banking des Kunden eingehackt haben?

Nachdem sich die Bankkunden in das Online Banking des Bankkunden eingehackt haben, erfolgt im nächsten Schritt die Freischaltung des Zahlungssystems Apple Pay direkt im Online Banking des Bankkunden. Allerdings wird die Bezahlart „Bezahlen mit dem Smartphone“ gerade nicht mit dem Smartphone des Bankkunden verknüpft, sondern mit einem Smarthone der Straftäter, denn schließlich wollen diese im Namen des Bankkunden anschließend im Sinne eines „Blankoschecks“ einkaufen gehen.

Wie gelang es den Täter bislang Apple Pay freizuschalten?

Die sich nun noch anschließende Freischaltung von Apple Pay folgt immer den technischen Abläufen, die die kontoführende Bank für die Freischaltung von Apple Pay vorgesehen hat. In der Regel ist hierzu ein weiterer Angriff erforderlich, der oft in Form eines sog. social engineering Angriffes erfolgt; d. h. einer sozialen Manipulation. Da die Hürden für die Freischaltung von Apple Pay von Bank zu Bank unterschiedlich ist und sich auch permanent verändert, existieren hier ebenfalls bis zu 20 unterschiedliche Tatabläufe, die man immer im Einzelfall betrachten muss.

Wurde dabei Apple Pay gehackt?

Nein, Apple Pay funktioniert anstandslos und wurde jedenfalls in den hier bekannten und ausgewerteten Fällen nicht gehackt, sondern der Zugang zum Online Banking. Apple Pay stellt eher den technischen Ablauf einer Bezahlart dar.

Funktioniert der Angriff auch mit einem Android-Handy?

Ja, wenn die Bank es direkt im Online Banking vorsieht, dass man anstelle von Apple Pay auch ein Smartphone mit dem Betriebssystem Android als Bezahlart hinzufügen kann, dann funktioniert die Tat auch mit dem Android Handy. Statt Apple Pay wird dann zum Beispiel Google Pay mit dem Bankkonto des Bankkunden verknüpft.

Ist es vorstellbar, dass der Bankkunde gar kein Apple Handy hat und trotzdem wurde mit Apple Pay verfügt?

Ja, das ist vorstellbar. Es ist bedeutungslos, ob der Bankkunde selber ein Android Handy oder ein Apple Handy nutzt, denn letztendlich verknüpfen die Täter ja nicht das „Bankkunden Handy“ mit dem Bankkonto, sondern das „Täter-Handy“ mit dem Bankkonto des Bankkunden.

Kann man aus Bankkundensicht etwas machen?

Ja, man kann aus Bankkundensicht fast immer etwas machen. Die Zahlungsanweisungen, die fremde Straftäter im fremden Namen per Apple Pay vornehmen, sind sog. nichtautorisierte Zahlungsanweisungen nach § 675u BGB. Für Sie haftet die angewiesen Bank. Davon gibt es eine Ausnahme, nämlich dann, wenn das konkrete Verhalten des Bankkunden grob fahrlässig war. Dann kann die angewiesene Bank mit einem gegenläufigen Schadensersatzanspruch aufrechnen Dies ist jedoch immer eine Einzelfallbetrachtung. Außerdem spielt es eine Rolle, ob zugunsten des Bankkunden ggf. das Haftungsprivileg des § 675v Abs. 4 BGB greift, bei der die angewiesene Bank den Tatvorwurf der groben Fahrlässigkeit ggf. gar nicht erheben kann, weil sie zum Beispiel pflichtwidrig keine starke Kundenauthentifizierung bereithielt. Es lohnt sich diese Fragen mit einem Fachanwalt seines Vertrauens am jeweiligen Einzelfall zu besprechen.