Angriffe auf mit mTAN geschĂĽtzte Konten
Die Banken bezeichnen das mTAN-Verfahren als sicher. Trotzdem gelingt es Kriminellen, den Sicherheitsmechanismus zu umgehen. Der Aufwand ist hoch, die Beute aber groĂź.
Die Zwei-Faktor-Authentifizierung durch das mTAN-Verfahren gilt als sicher. Jede Überweisung wird durch eine per SMS auf das registrierte Handy übermittelte TAN autorisiert. Die SMS enthält Betrag und Zielkonto der Überweisung, für die die TAN gilt. Wer diese Daten prüft und für Online-Banking und SMS-Empfang nicht dasselbe Gerät nutzt, ist sicher – so die Theorie.
heise online liegen jedoch zwei aktuelle Fälle vor, in denen es Angreifern gelungen ist, die Sicherheitsvorkehrungen zu überwinden. Wie die PINs der Online-Banking-Zugänge in die Hände der Kriminellen gelangten, untersucht derzeit die Polizei. Die Vermutung liegt nahe, dass ein Trojaner oder Phishing zum Einsatz kam. Außerdem müssen sich die Täter die Mobilfunknummern und die Kundennummern der Opfer besorgt haben, eventuell aus einer gespeicherten Online-Rechnung.
Die Täter bestellten eine zusätzliche SIM-Karte für das Mobilfunkkonto und ließen sich diese an eine abweichende Anschrift liefern. Anschließend konfigurierten sie die Multi-SIM so, dass eingehende SMS auf dem Handy mit der Zweitkarte landeten. Damit hatten sie die volle Kontrolle per Online-Banking und überwiesen alle Guthaben von Spar- und Tagesgeldkonten aufs Girokonto, um sie von dort ins Ausland zu transferieren. Der Schaden in solchen Fällen ist meist sehr hoch. Die Täter suchen sich gezielt Konten mit sehr hohen Guthaben und Verfügungsrahmen aus, ehe sie sich die Mühe machen, das zugehörige Mobilfunkkonto zu kapern.
Banken prüfen die Identität des Kunden vor sicherheitsrelevanten Transaktionen sehr sorgfältig. Mobilfunkfirmen haben ein geringeres Risiko, wenn eine Karte in falsche Hände gerät, und nehmen die Identitätsprüfung bei Aufträgen offenbar nicht so genau. Genau hier liegt eine Schwäche des mTAN-Verfahrens, das davon ausgeht, dass die Zustellung einer SMS per Mobilfunk stets ein sicherer Kanal sei.
Im Schadensfall sitzt der Kunde zwischen allen Stühlen. Die Banken lehnen die Haftung mit dem Hinweis auf die Sicherheit des mTAN-Verfahrens ab. Auch die Mobilfunkfirmen sehen keine Veranlassung, für die Schäden ihrer Kunden zu haften. Es besteht also das Risiko für den Bankkunden, auf dem Schaden sitzen zu bleiben.
Wer sich vor möglicherweise existenzbedrohenden Schäden schützen will, sollte Konten mit hohen Guthaben, etwa Spar- und Tagesgeldkonten, getrennt vom Girokonto ohne Zugriff per Online-Banking führen. Auch das Dispo-Limit auf dem Girokonto sollte immer nur dem tatsächlichen Bedarf entsprechen. Die regelmäßige Kontrolle der Kontostände verhindert in Verbindung mit Überweisungslimits allzu großen Schaden. Und selbstverständlich sollte man den fürs Online-Banking genutzten PC mit Antiviren-Software schützen und die Software auf aktuellem Stand halten.
Die Banken sollten die aktuelle Zielrufnummer fürs mTAN-Verfahren nicht vollständig im Frontend anzeigen. Damit offenbaren sie, wo die ungebetenen Gäste ansetzen müssen. Und die Mobilfunkfirmen müssen die Identität ihrer Kunden sorgfältiger prüfen. Fordert ein Kunde eine neue oder weitere SIM-Karte an, sollten sie die Unterschrift auf dem Auftrag auch tatsächlich prüfen und die Karte nur an die bei Vertragsschluss hinterlegte Adressen verschicken. Allerdings besteht dann noch die Gefahr, dass ein Angreifer sie aus dem Briefkasten fischt. (uma)