mTAN-Verfahren Betrüger finden Angriffsweg beim Onlinebanking

Die Konten mehrerer Onlinebanking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handy-Nummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTAN-Verfahren, das eigentlich als sicher gilt.

TAN per Handy: Die Kriminellen sind raffiniert vorgegangen
Corbis

TAN per Handy: Die Kriminellen sind raffiniert vorgegangen


Eine neue Betrugsserie beim Onlinebanking ist in den vergangenen Wochen und Monaten ans Licht gekommen: Die Polizei registrierte bundesweit mindestens sieben Fälle von Betrug beim sogenannten mTAN-Verfahren, wie die "Süddeutsche Zeitung" berichtet.

Eigentlich gilt dieses Verfahren als sicher. Dabei werden Überweisungen am Computer in Auftrag gegeben, anschließend wird eine Transaktionsnummer (TAN) per SMS auf das Handy des Kunden geschickt. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.

Doch schon Anfang August hatte "Heise" von zwei Fällen berichtet, in denen Angreifer einen raffinierten Weg gefunden haben, diese Sicherheitsvorkehrungen zu umgehen. Jetzt legt die "Süddeutsche Zeitung" mit weiteren Details nach: Die Betrüger spionierten laut dem Bericht den Computer der Bankkunden aus und kamen so an das Passwort für das Onlinebanking. Anschließend besorgten sie sich eine Sim-Karte und ließen die Mobilfunknummer des Kunden auf ihr eigenes Handy umleiten. Sie bekamen fortan alle für diese Kunden bestimmten SMS - einschließlich der mTAN-Nummern. Mehrere Geschädigte waren dem Bericht zufolge Kunden bei der Telekom.

In einem Fall hoben Kriminelle demnach Mitte September vom Konto einer Frau 58.000 Euro ab, in einem anderen waren es Ende August 77.000 Euro. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.

Der aufwendige Angriff könnte für die Betroffenen zu größeren Problemen führen, erklärte "Heise", da die Banken die Haftung ablehnten - mit dem Hinweis, das mTAN-Verfahrens an sich sei sicher.

Besorgten Nutzern dieses Systems wird geraten, alle relevanten Daten streng voneinander zu trennen - also etwa Informationen zum Handy-Vertrag und Rechnungen nicht auf dem Computer zu speichern und Sparkonten mit hohen Guthaben getrennt vom Girokonto ohne Zugriff per Onlinebanking führen. Eine Alternative zur TAN-Übermittlung per SMS sind sogenannte TAN-Generatoren, kleine Geräte für zu Hause, die die wichtigen Nummern selbst erzeugt.

juh/AFP

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 122 Beiträge
Alle Kommentare öffnen
Seite 1
ratschbumm 24.10.2013
1. Dieses Verfahren war nie sicher und konnte es auch nicht sein.
Zitat von sysopCorbisDie Konten mehrerer Online-Banking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handynummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTan-Verfahren, das eigentlich als sicher gilt. http://www.spiegel.de/netzwelt/web/mtan-verfahren-neue-betrugsserie-beim-online-banking-nach-a-929671.html
Da längst jede SMS - Mitteilung abgehört werden kann, ist als einziges noch halbwegs sicher zu bezeichnendes Verfahren, die manuelle TAN - Erzeugung mithilfe eines TAN - Generators in Verbindung mit der körperlich vorhandenen Bankcard zu sehen. Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.
citizengun 24.10.2013
2.
Eine Evolutionsstufe höher ist dann wenn man Funkzellen simuliert, so wie es der IMSI-Catcher macht. (Dessen Konzept lässt sich bereits heute nachbauen.) Der eigentliche Skandal ist aber dass die Banken den Kunden in das mTan-Verfahren zwingen und das vermutlich aus Kostengründen. Weil es vorteilhafter ist nicht blind *nur* der Technik zu vetrauen (komplexe System erzeugen komplexe Fehler), wäre ich gern bei iTan geblieben, durfte aber nicht. Bei iTan weiss ich wer mich beklaut, bei mTan vermutlich nicht. (Und mTan lässt sich auch noch automatisieren.)
jahandy 24.10.2013
3. Telekom-Kunden also?
Weiß man auch ob die Betroffenen Cabrio-Fahrer waren? Gut zu wissen, dass mTan folglich nicht sicher ist, obwohl es doch den SMS-Standard nutzt. Es wäre nützlicher zu berichten was eigentlich heutzutage noch sicher ist.
Mertrager 24.10.2013
4. liegt wohl nicht an der Telekom
Da man in seinem Konto angibt, auf welche Handy-Nr. die SMS mit der TAN kommen soll, wird das wohl Provider unabhängig sein. Der Hinweis auf die Telekom ist mir unklar
lanas 24.10.2013
5. Naja
Zitat von ratschbummDa längst jede SMS - Mitteilung abgehört werden kann, ist als einziges noch halbwegs sicher zu bezeichnendes Verfahren, die manuelle TAN - Erzeugung mithilfe eines TAN - Generators in Verbindung mit der körperlich vorhandenen Bankcard zu sehen. Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.
Wo lassen Sie sich denn Ihr Gehalt/Zinserträge, Aktienverkäufe etc. hin überweisen? Und buchen Sie sofort nach Eingang alles runter? Da wartet man doch erst bis die 10.000 Euro Miete etc. pp. runter sind und bucht dann erst weg. Wenn in der Zwischenzeit jemand zuschlägt......
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.