Trojaner ändert Rufnummer für mobile TAN
Banking per Handy kann gefährlich sein. Bild: Haramis Kalfar/fotolia.com
Das von vielen Bankkunden genutzte Homebanking befindet sich in einem Wandel. Wo vor Kurzem TAN-Listen und indizierten TAN-Listen verbreitet waren, werden mittlerweile andere Verfahren wie z.B. SMS-TAN verwendet. Aber auch die Täter entwickeln sich weiter – und nutzen neue Verfahren, um die Sicherheitssysteme auszuhebeln.
Das Homebanking mittels mobile TAN (auch „mTAN“ oder „smsTAN“ genannt) hat in vielen Bereichen die TAN- und iTAN-Verfahren abgelöst und galt bislang im Wesentlichen als sicher. Die Idee hinter dem Versand von Transaktionsnummern per SMS ist, dass durch die Trennung von Auftragsmedium (Überweisung über Internet) und Authentifizierungsmedium (die für die Ausführung der Überweisung notwendige TAN wird dem Kunden per SMS an sein Mobiltelefon zurückgeschickt) eine Manipulation erheblich erschwert wird. Dies ist auch der Fall, wenn ein paar wichtige Punkte beachtet werden:
1. Die zurückgesandte SMS erreicht auch tatsächlich den berechtigten Nutzer.
2. Die SMS enthält neben der TAN auch die Kontonummer des Empfängers und den Überweisungsbetrag (um Manipulationen sofort erkennen zu können)
3. Die TAN gilt nur für die eine spezielle Überweisung
Angriffe gegen das Verfahren gibt es zwar schon länger, diese haben sich aber für die Täter als wenig zuverlässig erwiesen: so wurde z.B. versucht, das Mobiltelefon des Opfers – zusätzlich zum verseuchten Rechner – mit Hilfe eines Trojaners zu manipulieren. Was theoretisch noch plausibel klingt ist in der Realität schwerer als vermutet: so muss der Täter unter anderem zuverlässig ermitteln können, welchen Typ Mobiltelefon der User verwendet und es dann noch zeitnah mit einer passenden Schadsoftware infizieren die es ermöglicht, dass der Täter auf die von der Bank zurückgesendete SMS zugreift. Zusammenfassend: eine erfolgreiche Manipulation des Überweisungsvorgangs ist für den Täter nur unter ganz bestimmten, relativ engen Voraussetzungen überhaupt Erfolg versprechend.
Neuer Ansatz der Täter
Jetzt wurde eine Schadsoftware in Spanien entdeckt, die einen anderen, wesentlich weiter gehenden Ansatz wählt: beim Login in die Homebankingseite wird dem User durch den auf dem Rechner installierten Trojaner ein Hinweis eingeblendet, dass zur Erhöhung der Sicherheit ein Wechsel der Mobilfunkkarte notwendig ist. Der Kunde soll von der Bank eine neue Mobilfunk-SIM erhalten, die aber schon jetzt freigeschaltet werden muss. Im Hintergrund versucht der Trojaner, die bei der Bank hinterlegte Mobilfunknummer zu ändern, so dass eine Nummer der Täter genutzt wird.
Üblicherweise bekommt das Opfer vorher noch eine SMS von seiner Bank, die einen Bestätigungscode für die Umstellung enthält. Durch den „Sicherheitshinweis“ soll der Bankkunde also dazu überredet werden, die Bestätigung zur Änderung der Mobilfunknummer einzugeben. Danach haben die Täter vollen Zugriff auf das Konto des Opfers und können so lange beliebige Überweisungen tätigen, bis das Konto leer ist. Wenn die Hinweisseite überzeugend genug ist, wird dieser Angriff sicher erfolgreich sein. Obwohl der Schädling bislang nur in Spanien gesichtet wurde ist es nur eine Frage der Zeit, bis das System auch in anderen Ländern angewandt wird.
Wir empfehlen Ihnen (nicht nur aufgrund der neuen Bedrohung), Homebanking nach Möglichkeit per HBCI mittels Chipkarte zu nutzen und das mTAN-Verfahren nur im Notfall in Betracht zu ziehen. Die anfängliche Investition in eine Homebankingsoftware und einen Kartenleser amortisiert sich durch das deutlich bessere Sicherheitsniveau in kurzer Zeit. Zusätzlich sollten Sie einen selbst aktualisierenden Virenscanner installieren.
Weitere Informationen zum Thema Homebanking finden Sie bei uns auf folgenden Seiten:
Fragen beantworten wir gerne in unserem Forum.