Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

AUS DEM SPIEGEL
Ausgabe 21/2014

mTan-Verfahren: BKA warnt vor Betrug beim Onlinebanking

Überweisungsverfahren mit mTan: Kriminelle spionieren Smartphone aus Zur Großansicht
imago

Überweisungsverfahren mit mTan: Kriminelle spionieren Smartphone aus

Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.

Hamburg - Experten warnen vor Onlinebanking mithilfe von mTan. Das sind Einmalpasswörter, die den Kunden auf ihr Handy geschickt werden. "Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren", sagt Christian Funk von der IT-Sicherheitsfirma Kaspersky im neuen SPIEGEL.

Titelbild
Dieser Artikel ist aus dem SPIEGEL
Hier geht es zum digitalen Heft
Neu:
  • Lesen Sie den vollständigen SPIEGEL auf Tablets, Smartphones oder am PC/MAC
  • Mit vielen zusätzlichen Videos, interaktiven Grafiken und Bildern
  • Lesbar über Apps oder Browser

Allein im ersten Quartal 2014 habe sich die Zahl der Smartphone-Attacken mit dem geläufigsten Trojaner Faketoken im Vergleich fast versechsfacht, sagt Funk. Frank-Christian Pauli, Bankenexperte des Bundesverbands der Verbraucherzentralen, sagt: "Wer sichergehen will, nutzt statt des mTan-Verfahrens einen Tan-Generator."

Dafür muss der Verbraucher ein kleines Gerät erwerben, in das die EC-Karte eingeschoben wird und das für jede Transaktion einen Schlüsselcode erstellt. Allerdings dürfte es nur eine Frage der Zeit sein, bis dieses Verfahren ebenfalls angegriffen wird, heißt es beim Bundeskriminalamt (BKA).

Verbrauchern bleibt also nur, von verdächtigen Apps oder Links die Finger zu lassen. Denn die Phishing-Mails oder -SMS, über die Kriminelle ihre Software unbemerkt auf fremde Smartphones und PC spielen, haben sich verändert. "Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind", sagt Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA. Als unsicherste Variante des Onlinebankings gilt das sogenannte Tan-Block-Verfahren, bei dem der Kunde eine Tan-Liste abarbeitet.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 148 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. ...
wyborne72 18.05.2014
Die Gefahr kann man gänzlich ausschalten, indem man ausschließlich für den mTan-Empfang ein simples, günstiges Handy ohne Schnickschnack mit Prepaid SIM verwendet.
2. Die Frage, die mich interessiert
passionsblume 18.05.2014
Wenn ich im Supermarkt oder an der Tankstelle mit EC-Karte und Unterschrift zahle, kann ich statt meiner Unterschrift auch drei X setzen, und der Bezahlvorgang wird akzeptiert. Wenn man den Medien folgt, gibt es bei diesem Verfahren überhaupt keine Betrüger, da hierüber nie berichtet wird.
3.
citizengun 18.05.2014
---Zitat--- Allerdings dürfte es nur eine Frage der Zeit sein, bis dieses Verfahren ebenfalls angegriffen wird, heißt es beim Bundeskriminalamt (BKA). ---Zitatende--- Wohl kaum. Jede Bank hat ihren eigenen Algorithmus und für jeden müsste man ein Reverse-Engineering der Hardware betreiben. Das ist bei mehr als hundert Banken in Deutschland sehr aufwendig/teuer. Ausserdem besteht die Möglichkeit, spezifische Daten der EC-Karte in den Algorithmus mit einfliessen zu lassen und das wird in der Praxis vermutlich auch so gemacht, denn jede EC-Karte muss einzeln freigeschaltet werden. Damit ist Chip-Tan bei genügend langen spezifischen Zahlen absolut sicher.
4. @passionsblume
olli47 18.05.2014
Das stimmt ja nun so nicht. In meiem Supermarkt kontrollieren die Kassierer und Kassiererinnen die UNterschrift, ehe sie mir mein Kärtchen zurückgeben. In ganz vielen Supermärkten und Tankstellen kann ja statt mit Unterschrift auch durch Eingabe einer PIN "bezahlt" werden. Natürlich in der Hoffnung, dass seitens der Betreiber mit diesen Eingabegeräten kein Mißbrauch getrieben wird.
5. ganz sicher
pyromantiker5 18.05.2014
Ist vielleicht die Erzeugung des Tans. Aber ob der Benutzer die Tan wirklich in due Eingabemaske seiner Bank oder einer Fakemaske eingibt, ist nicht so sicher. Ebenso ist das Abschicken des Tans nie 100% sicher. Und eine neue, bisher noch theoretische Angriffsmöglichkeit auf den sogenannten diskreten Logarithmus macht die Aussicht auf die Zukunft nicht besser.
Alle Kommentare öffnen
    Seite 1    

© DER SPIEGEL 21/2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: