SPIEGEL ONLINE

SPIEGEL ONLINE

24. Oktober 2013, 10:02 Uhr

mTAN-Verfahren

Betrüger finden Angriffsweg beim Onlinebanking

Die Konten mehrerer Onlinebanking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handy-Nummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTAN-Verfahren, das eigentlich als sicher gilt.

Eine neue Betrugsserie beim Onlinebanking ist in den vergangenen Wochen und Monaten ans Licht gekommen: Die Polizei registrierte bundesweit mindestens sieben Fälle von Betrug beim sogenannten mTAN-Verfahren, wie die "Süddeutsche Zeitung" berichtet.

Eigentlich gilt dieses Verfahren als sicher. Dabei werden Überweisungen am Computer in Auftrag gegeben, anschließend wird eine Transaktionsnummer (TAN) per SMS auf das Handy des Kunden geschickt. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.

Doch schon Anfang August hatte "Heise" von zwei Fällen berichtet, in denen Angreifer einen raffinierten Weg gefunden haben, diese Sicherheitsvorkehrungen zu umgehen. Jetzt legt die "Süddeutsche Zeitung" mit weiteren Details nach: Die Betrüger spionierten laut dem Bericht den Computer der Bankkunden aus und kamen so an das Passwort für das Onlinebanking. Anschließend besorgten sie sich eine Sim-Karte und ließen die Mobilfunknummer des Kunden auf ihr eigenes Handy umleiten. Sie bekamen fortan alle für diese Kunden bestimmten SMS - einschließlich der mTAN-Nummern. Mehrere Geschädigte waren dem Bericht zufolge Kunden bei der Telekom.

In einem Fall hoben Kriminelle demnach Mitte September vom Konto einer Frau 58.000 Euro ab, in einem anderen waren es Ende August 77.000 Euro. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.

Der aufwendige Angriff könnte für die Betroffenen zu größeren Problemen führen, erklärte "Heise", da die Banken die Haftung ablehnten - mit dem Hinweis, das mTAN-Verfahrens an sich sei sicher.

Besorgten Nutzern dieses Systems wird geraten, alle relevanten Daten streng voneinander zu trennen - also etwa Informationen zum Handy-Vertrag und Rechnungen nicht auf dem Computer zu speichern und Sparkonten mit hohen Guthaben getrennt vom Girokonto ohne Zugriff per Onlinebanking führen. Eine Alternative zur TAN-Übermittlung per SMS sind sogenannte TAN-Generatoren, kleine Geräte für zu Hause, die die wichtigen Nummern selbst erzeugt.

juh/AFP

URL:

Mehr im Internet


© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH