Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt
Kriminelle Hacker haben Konten von deutschen Bankkunden über Sicherheitslücken im Mobilfunknetz ausgeräumt, die seit Jahren bekannt sind. Eigentlich wollten die Provider schon 2014 entsprechende Gegenmaßnahmen ergreifen.
(Bild: dpa, Carsten Rehder)
Kriminelle haben mit Zugriff auf das Online-Banking deutscher Bankkunden deren Konten ausgeräumt. Die gelang ihnen wohl, in dem sie Mobil-TANs (mTANs), die für die Geräte der Kunden bestimmt waren, umleiteten und so die Überweisungen autorisieren konnten. Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass im Januar diesen Jahres entsprechenden Angriffe im eigenen Netz stattgefunden haben.
Angriffe dieser Art werden meist wie folgt vorbereitet: Die Kriminellen sammeln die Konto- und Bank-Zugangsdaten des Opfers entweder mit Trojanern auf deren Rechnern ein oder locken sie auf Phishing-Webseiten, die denen der entsprechenden Bank täuschend ähnlich sehen. Dort geben die Opfer die Daten dann ein, wenn sie versuchen, sich anzumelden. Mit diesen Informationen können sich die Kriminellen dann in das Online-Banking der Betroffenen einloggen und deren Kontostände auslesen.
mTANs über Rufnummernumleitung abgegriffen
Um allerdings Überweisungen zu tätigen, brauchen sie entsprechende Transaktionsnummern (TANs). Benutzt der Bankkunde mTANs, können die Kriminellen zum Beispiel versuchen, dessen SIM-Karte vom Mobilfunkanbieter klonen zu lassen. Dafür geben sie sich in der Regel als der Kunde aus und beantragen eine zweite SIM, die etwa an eine gehackte Packstation oder ähnliche tote Briefkästen verschickt wird. Beim aktuellen Angriff gingen die kriminellen Hacker aber anscheinend noch raffinierter vor: Sie nutzen die SS7-Sicherheitslücken, um die SMS-Nachrichten mit den mTANs umzuleiten und so selbst zu empfangen. Wahrscheinlich taten sie das nachts, damit das Opfer nichts von der Umleitung mitbekommt.
Die Durchführbarkeit dieser Angriffe auf das mTAN-Verfahren ist seit langem bekannt. Sicherheitsforscher raten deswegen immer wieder davon ab, dieses Verfahren zu verwenden. Auch andere Systeme, die eine TAN auf ein Smartphone ausliefern, haben Schwachstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Bankkunden, TAN-Generatoren wie das sogenannte ChipTAN-Verfahren zu verwenden. Manche Sicherheitsforscher schwören sogar noch auf altmodische TAN-Listen.
Eigentlich wollten die Provider ihre Kunden seit 2014 schützen
Welche Banken von den Angriffen betroffen waren, ist bisher nicht bekannt. Warum O2 sein Netz nicht wenigstens mit von Sicherheitsforschen empfohlenen Gegenmaßnahmen wie Plausibilitäts-Checks abgesichert hat, konnten wir bisher nicht in Erfahrung bringen. Eine Entsprechende Anfrage von heise online lies O2 Deutschland bisher unbeantwortet. Schon Ende 2014 wollten eigentlich alle großen deutschen Provider, darunter auch O2 und E-Plus (mittlerweile ein Unternehmen), entsprechende Sicherheitsmaßnahmen ergriffen haben.
Lesen Sie dazu auch:
- Banken haften nicht immer: Kontoinhaber haftet bei Online-Banking-Betrug mit Smart-TAN plus
(fab)
