Online-Banking: Verstärkte Angriffe auf das mTAN-Verfahren
Experten warnen vor verstärkten Infektionen mit dem Android-Trojaner FakeToken. Die Software kopiert empfangene SMS, die TANs enthalten. Ganoven können dann das Konto des Opfers leer räumen.
- Fabian A. Scherschel
Der Antivirus-Hersteller Kaspersky berichtet, dass Smartphone-Trojaner verstärkt mTANs abgreifen, um die Konten der Handy-Besitzer leer zu räumen. Besonders Infektionen mit dem Android-Trojaner FakeToken hätten sich seit Anfang des Jahres deutlich vermehrt. Mittlerweile soll der Trojaner weltweit für fast fünf Prozent aller Angriffe auf Mobilgeräte verantwortlich sein. Beim mTAN-Verfahren muss der Kunde zusätzlich zu seinem Passwort einen Code eingeben, der ihm per SMS auf sein Handy geschickt wird – und genau diesen Code können Trojaner auf Android-Geräten relativ einfach abfangen.
TAN-Generatoren sollen sicherer sein
In einem Bericht des Spiegels kommt ein Bankenexperte des Bundesverbands der Verbraucherzentralen zu Wort, der vom mTAN-Verfahren abrät und Kunden empfiehlt, auf TAN-Generatoren umzusteigen. In Deutschland ist dieses System in der Regel mit zusätzlichen Kosten verbunden, da Kunden ein Gerät bei ihrer Bank bestellen müssen, das die EC-Karte ausliest und daraufhin eine TAN generiert. Der Spiegel zitiert allerdings auch einen Beamten des Bundeskriminalamtes (BKA), der zu Bedenken gibt, dass auch TAN-Generatoren in Zukunft angegriffen würden. Genau wie bei gedruckten TAN-Listen verleiten Kriminelle ihre Opfer oft mit psychologischen Tricks, ihnen die Anmeldecodes zu verraten.
Auf eine Anfrage von heise Security hin sagte eine Sprecherin des BKA, dass die Behörde nicht pauschal von der Benutzung des mTAN-Verfahrens abrate. Sie habe lediglich auf mögliche Angriffe hingewiesen.
Vor allem Android-Nutzer bedroht
Nach wie vor sind hauptsächlich Android-Benutzer in Gefahr. Die gängige Schadsoftware, darunter auch FakeToken, wird Smartphone-Nutzern oft unter einem Vorwand untergeschoben. Das ist nötig, da sie vom Nutzer selbst installiert werden muss. Meist muss dazu das Installieren von Software aus Drittquellen aktiviert sein, da Google seinen App-Store Google Play nach bekannter Schadsoftware durchforstet und diese schnell entfernt. Oft werden die Desktop-Rechner der Opfer ebenfalls mit Trojanern infiziert, um gleichzeitig an die Banking-Passwörter zu kommen. (fab)