Online-Kriminelle verursachten 1,7 Millionen Euro Schaden
Die Polizei hat Hintermänner einer international agierenden Gruppe von Online-Kriminellen gefasst und damit 1,2 Millionen Euro weitere Schäden verhindert. Zugleich weist die Polizei darauf hin, dass das Mobile-TAN-Verfahren nicht mehr sicher sei.
- Daniel Bachfeld
Die Landeskriminalämter Baden-Württemberg und Nordrhein-Westfalen melden einen Fahndungserfolg gegen eine international agierende Gruppe, die im großen Stil Online-Banking-Transaktionen manipuliert haben soll. In Zusammenarbeit mit der Staatsanwaltschaft Stuttgart sowie mit estnischen und britischen Strafverfolgungsbehörden wurden die Hintermänner der Organisation festgenommen, die Überweisungen im Wert von mindestens 1,65 Millionen Euro manipuliert haben sollen.
Die Täter nutzten dazu Trojaner, die Transaktionen im Browser manipulierten und in Echtzeit Überweisungen auf die Konten von Finanzagenten vornahmen. Online-Banking-Trojaner wie ZeuS können unter anderem auch das iTAN-Verfahren aushebeln. Das BKA hatte schon Mitte 2009 darauf hingewiesen, dass das iTAN-Verfahren keine Hürde mehr für Kriminelle darstelle.
In den vorliegenden Fällen kam der Trojaner durch Schwachstellen im Browser und Plug-ins (Adobe Reader) beim Besuch präparierter Webseiten auf die PCs der Opfer. Um welchen Trojaner es sich genau handelt, geben die Landeskriminalämter Baden-Württemberg und Nordrhein-Westfalenin jedoch in ihrer gemeinsamen Presseerklärung (PDF-Datei) nicht an.
Im Zuge der Untersuchungen soll es zudem gelungen sein, 470 sogenannte Finanzagenten zu ermitteln. Diese hätten bei unterschiedlichen Banken Konten eröffnet, um eingehende Gelder abzuheben und an weitere Strohmänner weiterzuleiten. Gegen sie wurden deshalb Strafverfahren wegen Verdachts der Geldwäsche eingeleitet.
Die Ermittlungen erfolgten in enger Kooperation mit estnischen und britischen Strafverfolgungsbehörden. “Neben der Ermittlung von Strukturen und Straftätern verfolgten wir von Beginn an auch präventive Ziele. Durch fortgeschrittene Ermittlungsmethoden gelang es uns, finanzielle Schäden in Höhe von 1,2 Millionen Euro von den betroffenen Bürgern abzuwenden und den Tätern die Gewinne zu entziehen", erklärte der Direktor des LKA NRW.
Zugleich empfehlen die LKAs in ihrer Mitteilung explizit den Einsatz HBCI beziehungsweise i-TAN plus und Smart-TAN/ChipTAN zur Sicherung des Online-Banking. Konten, die nur mittels TAN, i-TAN oder mTAN gesichert seien, wären nicht ausreichend geschützt. Neu ist diese Aussage für die Mobile TAN, also der TAN per SMS auf das Handy. Auf Nachfrage von heise Security erklärte der Pressesprecher des LKA Baden-Württemberg, dass es bereits einzelne Fälle von infizierten Smartphones gegeben habe.
Bekannt ist, dass der Trojaner ZeuS das mTAN-Verfahren ins Visier genommen hat. Auf infizierten Smartphones leitet er alle eingehende SMS an Betrüger weiter. Mit den zuvor auf dem PC gestohlenen Zugangsdaten zum Konto und der TAN ist ZeuS anschließend in der Lage, eigenständig Überweisungen auf dem Konto vorzunehmen. (dab)
