Betrüger hebeln erfolgreich das mTAN-Verfahren aus

mTAN, das Homebanking unter Übermittlung der TAN per SMS, galt lange Zeit als sicher. In letzter Zeit häufen sich jedoch die erfolgreichen Angriffe gegen dieses Verfahren.

Auch mTAN sind nicht mehr sicher – Symbolbild © bloomua – Fotolia.com

Neue und alte TAN-Verfahren

TAN-Listen, die jahrelang im Internetbanking verwendet wurden – zunächst in Form einfacher Listen, später mit laufender Nummer als sogenannte „indizierte TAN-Listen“ – gelten seit geraumer Zeit als hochgradig unsicher und sollten nicht mehr beim Homebanking verwendet werden. Nachdem dies erkannt wurde, wurden die Listen immer mehr durch alternative Verfahren abgelöst. Als eine relativ sichere Alternative galt die mobile TAN (bekannt unter den Namen mTAN und smsTAN), bei der die für eine Überweiung erforderlich Transaktionsnummer (TAN) auf das Mobiltelefon des Kunden geschickt wird. Erst nach Prüfung der Überweisungsdaten (Zielkonto und Betrag), die in der SMS enthalten sind, soll der Benutzer die TAN in das Formular eingeben und damit den Überweisungsvorgang bestätigen. Die Betrüger haben schon mehrfach versucht, in diesen Übermittlungsprozess einzugreifen. In der Regel gelang dieses aber nicht. Bis jetzt.

Android-Nutzer betroffen

Betrüger zielen bei der neuen Masche, vor der die Polizei in Berlin warnt, auf die Nutzer der beliebten Smartphone-Plattform Android. Am Anfang steht – wie meistens – die Infektion des Computers des Opfers. Hier setzt sich der Trojaner in die Kommunikation zwischen Kunde und Bank. Sobald der Computernutzer eine Überweisung eingibt, verlangt ein vom Schädling eingeblendetes Fenster, das angeblich von der Bank stammt, die Eingabe der Telefonnummer und des Handymodells des Benutzers. Angeblich soll damit ermöglicht werden, ein „Sicherheitsupdate“ einzuspielen um die Transaktionen sicherer zu machen. Sobald der Kunde die Daten eingegeben hat, wird im auf das Handy der Link zu einem angeblich erforderlichen Update geschickt, das er installieren soll. Tut er dies, so installiert er sich einen Schädling auf das Mobiltelefon, das dann künftig die übermittelten TAN-SMS abfängt und umleitet. Damit kann der Täter die Überweisung auch ohne Einverständnis des Bankkunden authorisieren.
Betroffen sind systembedingt aktuell nur die Nutzer von Android-Smartphones. Auf diesen kann – im Gegensatz zu den iOS-basierten Smartphones von Apple – beliebige Software installiert werden. Nutzer von Smartphones mit anderen Betriebssystemen als Android sind nach bisherigen Erkenntnissen nicht betroffen.

Schutzmöglichkeiten

Der Schutz vor dieser Betrugsmasche ist im Prinzip ganz einfach: keine Bank dieser Welt bietet „Sicherheitsupdates“ für Mobiltelefone an. Solche Installationsaufforderungen sollte man grundsätzlich ablehnen. Um ganz sicher zu gehen, sollte man Überweisungen nach Möglichkeit nicht im Browser erfassen, sondern über eine Homebankingsoftware, die Homebanking nach dem HBCI-Standard unter Nutzung einer Chipkarte bietet. Die dafür erforderliche Investition in einen Chipkartenleser amortisiert sich durch das deutlich geringere Risiko quasi sofort.
Sollten Sie noch Fragen haben, so helfen wir Ihnen gerne in unserem Forum oder über unsere Facebookseite weiter.