Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

mTAN-Verfahren: Betrüger finden Angriffsweg beim Onlinebanking

TAN per Handy: Die Kriminellen sind raffiniert vorgegangen Zur Großansicht
Corbis

TAN per Handy: Die Kriminellen sind raffiniert vorgegangen

Die Konten mehrerer Onlinebanking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handy-Nummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTAN-Verfahren, das eigentlich als sicher gilt.

Eine neue Betrugsserie beim Onlinebanking ist in den vergangenen Wochen und Monaten ans Licht gekommen: Die Polizei registrierte bundesweit mindestens sieben Fälle von Betrug beim sogenannten mTAN-Verfahren, wie die "Süddeutsche Zeitung" berichtet.

Eigentlich gilt dieses Verfahren als sicher. Dabei werden Überweisungen am Computer in Auftrag gegeben, anschließend wird eine Transaktionsnummer (TAN) per SMS auf das Handy des Kunden geschickt. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.

Doch schon Anfang August hatte "Heise" von zwei Fällen berichtet, in denen Angreifer einen raffinierten Weg gefunden haben, diese Sicherheitsvorkehrungen zu umgehen. Jetzt legt die "Süddeutsche Zeitung" mit weiteren Details nach: Die Betrüger spionierten laut dem Bericht den Computer der Bankkunden aus und kamen so an das Passwort für das Onlinebanking. Anschließend besorgten sie sich eine Sim-Karte und ließen die Mobilfunknummer des Kunden auf ihr eigenes Handy umleiten. Sie bekamen fortan alle für diese Kunden bestimmten SMS - einschließlich der mTAN-Nummern. Mehrere Geschädigte waren dem Bericht zufolge Kunden bei der Telekom.

In einem Fall hoben Kriminelle demnach Mitte September vom Konto einer Frau 58.000 Euro ab, in einem anderen waren es Ende August 77.000 Euro. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.

Der aufwendige Angriff könnte für die Betroffenen zu größeren Problemen führen, erklärte "Heise", da die Banken die Haftung ablehnten - mit dem Hinweis, das mTAN-Verfahrens an sich sei sicher.

Besorgten Nutzern dieses Systems wird geraten, alle relevanten Daten streng voneinander zu trennen - also etwa Informationen zum Handy-Vertrag und Rechnungen nicht auf dem Computer zu speichern und Sparkonten mit hohen Guthaben getrennt vom Girokonto ohne Zugriff per Onlinebanking führen. Eine Alternative zur TAN-Übermittlung per SMS sind sogenannte TAN-Generatoren, kleine Geräte für zu Hause, die die wichtigen Nummern selbst erzeugt.

juh/AFP

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 122 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Dieses Verfahren war nie sicher und konnte es auch nicht sein.
ratschbumm 24.10.2013
Zitat von sysopCorbisDie Konten mehrerer Online-Banking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handynummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTan-Verfahren, das eigentlich als sicher gilt. http://www.spiegel.de/netzwelt/web/mtan-verfahren-neue-betrugsserie-beim-online-banking-nach-a-929671.html
Da längst jede SMS - Mitteilung abgehört werden kann, ist als einziges noch halbwegs sicher zu bezeichnendes Verfahren, die manuelle TAN - Erzeugung mithilfe eines TAN - Generators in Verbindung mit der körperlich vorhandenen Bankcard zu sehen. Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.
2.
citizengun 24.10.2013
Eine Evolutionsstufe höher ist dann wenn man Funkzellen simuliert, so wie es der IMSI-Catcher macht. (Dessen Konzept lässt sich bereits heute nachbauen.) Der eigentliche Skandal ist aber dass die Banken den Kunden in das mTan-Verfahren zwingen und das vermutlich aus Kostengründen. Weil es vorteilhafter ist nicht blind *nur* der Technik zu vetrauen (komplexe System erzeugen komplexe Fehler), wäre ich gern bei iTan geblieben, durfte aber nicht. Bei iTan weiss ich wer mich beklaut, bei mTan vermutlich nicht. (Und mTan lässt sich auch noch automatisieren.)
3. Telekom-Kunden also?
jahandy 24.10.2013
Weiß man auch ob die Betroffenen Cabrio-Fahrer waren? Gut zu wissen, dass mTan folglich nicht sicher ist, obwohl es doch den SMS-Standard nutzt. Es wäre nützlicher zu berichten was eigentlich heutzutage noch sicher ist.
4. liegt wohl nicht an der Telekom
Mertrager 24.10.2013
Da man in seinem Konto angibt, auf welche Handy-Nr. die SMS mit der TAN kommen soll, wird das wohl Provider unabhängig sein. Der Hinweis auf die Telekom ist mir unklar
5. Naja
lanas 24.10.2013
Zitat von ratschbummDa längst jede SMS - Mitteilung abgehört werden kann, ist als einziges noch halbwegs sicher zu bezeichnendes Verfahren, die manuelle TAN - Erzeugung mithilfe eines TAN - Generators in Verbindung mit der körperlich vorhandenen Bankcard zu sehen. Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.
Wo lassen Sie sich denn Ihr Gehalt/Zinserträge, Aktienverkäufe etc. hin überweisen? Und buchen Sie sofort nach Eingang alles runter? Da wartet man doch erst bis die 10.000 Euro Miete etc. pp. runter sind und bucht dann erst weg. Wenn in der Zwischenzeit jemand zuschlägt......
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: