Online-Banking: Neue Angriffe auf die mTAN
Betrüger haben wieder einmal eine Methode gefunden, um Daten von Kunden beim Online-Banking abzugreifen und das mTAN-System auszuhebeln.
- Jürgen Kuri
"Im mittleren zweistelligen Bereich" liegt die Zahl der neuen Fälle, bei denen Betrüger die Daten von Online-Banking-Kunden abgegriffen und über einen neuen Trick das mTAN-System ausgehebelt haben. Dies erklärte ein Sprecher der Deutschen Telekom gegenüber der Süddeutschen Zeitung, die über die neue Welle von Betrügereien berichtet.
Beim System mit mTAN (mobile Transaktionsnummer) wird die TAN, die zur Bestätigung einer Online-Transaktion bei der Bank benötigt wird, über einen zweiten Kanal übertragen: Der Kunde erledigt das Online-Banking etwa am PC, die notwendige TAN zum Abschluss des Vorgangs wird aufs Handy geschickt. Dieses Verfahren gilt als weitgehend sicher.
mTAN-Betrug
Mehr Infos
Sicheres Online-Banking mit c't Bankix:
c't Bankix ist ein von Ubuntu abgeleitetes Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert ist.
Sicheres Online-Banking mit c't Bankix:
c't Bankix ist ein von Ubuntu abgeleitetes Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert ist.
Allerdings sind immer wieder Fälle vorgekommen, bei denen auch die über den zweiten Kanal geschickten Transaktions-Informationen Betrügern in die Hände fielen. Dabei versuchten die Täter oft, im Namen des Opfers eine neue SIM-Karte zu bestellen, um die verschickten mTANs umzuleiten. Auch mTAN-Trojaner für Smartphones treiben immer wieder ihr Unwesen, die die SMS mit der mTAN abfangen.
Banken prüfen die Identität des Kunden vor sicherheitsrelevanten Transaktionen sehr sorgfältig. Mobilfunkfirmen haben ein geringeres Risiko, wenn eine Karte in falsche Hände gerät, und nehmen die Identitätsprüfung bei Aufträgen offenbar nicht so genau. Genau hier liegt eine Schwäche des mTAN-Verfahrens, das davon ausgeht, dass die Zustellung einer SMS per Mobilfunk stets ein sicherer Kanal sei. Zumindest beim Bestellen einer neuen SIM-Karte sind die Mobilfunkfirmen mittlerweile aber vorsichtiger geworden, sodass diese Masche kaum noch zieht.
Fake-Händler
Daher fuhren die Betrüger bei der neuen Betrugswelle eine andere Masche: Nach Infomationen der Süddeutschen Zeitung infizierten die Täter die Rechner der Opfer mit Trojanern, um die Accountdaten und die Mobilfunknummer auszuspähen – offenbar soll es sich in jedem Fall um Nutzer gehandelt haben, die einen Mobilfunkvertrag mit der Deutschen Telekom hatten. Gegenüber der Deutschen Telekom gaben die Betrüger sich dann als Mitarbeiter von Mobilfunk-Shops aus, meldeten den Verlust der SIM-Karte des angeblichen Kunden und ließen eine Ersatz-Karte aktivieren. Dadurch konnten sie dann Überweisungen auslösen und die zur Bestätigung notwendige mTAN abfangen.
Von der Telekom hieß es dazu, man habe mittlerweile Maßnahmen ergriffen, um die Händleridentifikation sicherer zu gestalten. Auf Seiten der Banken sollen mehrere Institute von den Vorfällen betroffen sein, bei denen es meist um fünstellige Beträge ging. Insgesamt soll der Schaden, der durch die Betrüger verursacht wurde, bei über einer Million Euro liegen. (jk)
