Drucken
06.04.2011, 10:00 Uhr | Sascha Plischke
Mit einem ausgefeilten Angriff hebeln Kriminelle das für besonders sicher gehaltene mTAN-Verfahren aus und nehmen damit besonders deutsche Online-Banking-Nutzer ins Visier. Das berichtet der Sicherheitsdienstleister F-Secure.
Bei der Attacke infiziert ein Trojaner namens SpyEye den PC des Opfers. Der gaukelt ihm beim nächsten Besuch des Online-Banking-Portals eine Nachricht seiner Bank vor, nach der er ein neues Sicherheitszertifikat auf sein Handy herunterladen sollte. Dabei handelt es sich jedoch ebenfalls um Malware. Nach dem Download können die Kriminellen den gesamten Einwahlvorgang überwachen – sie erlangen unbemerkt Zugriff auf das Konto.
Das so genannte mTAN-Verfahren, auch als Mobil-TAN- oder sms-TAN-Verfahren bezeichnet, gilt eigentlich als eines der sichersten Online-Banking-Verfahren. Dabei hinterlegt der Kunde seine Handy-Nummer bei seiner Bank. Will er eine Online-Überweisung starten, übermittelt die Bank ihm per SMS eine speziell für diese Transaktion gültige TAN. Die ist nur zeitlich begrenzt einsetzbar und gilt nur für die online eingegebenen Zielkonto-Daten und den angegebenen Betrag. Erst wenn der Kunde die per SMS übermittelte TAN eingibt, führt die Bank die Überweisung aus. Ähnlich wie das chipTAN-Verfahren sind klassische Man-in-the-Middle-Angriffe auf diese Weise unmöglich. Die Hacker müssen sich nicht nur zwischen Bank und Computer des Kunden einschalten, sondern auch die SMS mit der TAN abfangen, manipulieren und an den Kunden weiterleiten.
Genau das scheint in dem aktuellen Fall geglückt zu sein. Der Angriff ist ebenso komplex wie ausgeklügelt: Über einem der vielen üblichen Infektionswege übertragen die Kriminellen einen speziellen Trojaner auf den Computer ihres Opfers. Der wird aktiv, wenn der Besitzer des infizierten Computers ein Online-Banking-Portal aufruft. Dann blendet er dort eine Nachricht ein, die scheinbar von der betreffenden Bank stammt. In ihr wird der Kunde aufgefordert, ein neues Sicherheitszertifikat auf seinem Handy zu installieren. Er muss noch seine Handyrufnummer sowie die IMEI genannte Seriennummer seines Mobiltelefons eingeben. Per SMS erhält er einen Installer für das Zertifikat. Am Ende des Installationsvorgangs erscheint die Nachricht: "Die Seriennummer des Zertifikats: 88689-1299F". Das Handy ist zu diesem Zeitpunkt bereits infiziert.
Wie sicher sind iTAN, mTan und chipTAN? zum Video
Die nun aktive Spionagesoftware übertragt bei der nächsten Transaktion im Online-Banking offenbar die von der Bank übertragenen mTAN-Daten per Internet an einen Web-Server. Dann sind die Kriminellen in der Lage, die Transaktion zu manipulieren und zum Beispiel Geld auf ihre eigenen Konten zu überweisen. Bisher spezialisiert sich die Spionage-Software auf Nokia-Handys mit dem Mobil-Betriebssystem Symbian. Sie lässt sich jedoch auch auf andere Betriebssysteme anpassen. Weil der Angriff so ausgeklügelt ist, dürften viele Anwender auf ihn hereinfallen.
Einzig stutzig machen könnte die Nutzer die Eingabe der IMEI, sie abzufragen ist eigentlich unüblich. Ansonsten fällt die Attacke vor allem durch ihre Finesse auf. Es ist zudem erst das zweite Mal, dass Kriminelle den Schutz durch mTAN aushebeln konnten. Im Herbst 2010 tauchte zwar eine Variante des Zeus-Trojaners auf, der mTAN vom Smartphone abfängt. Sie nahm jedoch vor allem englischsprachige Bankkunden ins Visier. Nun sind erstmals Deutsche ausdrücklich Ziel eines solchen Angriffs geworden.
Innovative, cloud-basierte Techno- logie mit bewährtem Virenschutz. Bewährter Rundum-Schutz - egal ob Privat, bei der Arbeit, Online-Banking oder -Shopping oder sozialen Netzwerken. weiter zum Angebot
Sascha Plischke
(60)
Gustav schrieb:
am 6. April 2011 um 17:54:41
(0) 
(0)
Online Banking: mTAN Trojaner
ella schrieb: Ella scheint schon in einer Seniorenwohnanlage zu leben.(...) Scheinbar hat sie kein Konto von
dem Abbuchungen etc. erfolgen! Sie glaubt sicherlich, dass ihr Vermieter etc. zu ihrer Bank geht uns das Geld sich auszahlen lässt - Frau, oh Frau... - Also ich meine, die Banken müssen für diese Lücken im Internet komplett haften. Sie verdienen sich mit dem Internetbankig dick und dösig! Die Bank muss dem Kunden den möglichen Fehler nachweisen!!!
mehr
Kommentar melden
Wolf49 schrieb:
am 6. April 2011 um 16:54:54
(1) (1)
Online Banking
Das mTAN-Verfahren ist sicher. Wer aber seine Daten auf eine einfache Anfrage ins Internet schickt, ist selbst dran schuld.
Warum soll für solche Dummheit die Bank haften? Ich schreibe meine PIN ja auch nicht auf meine Bank- oder Kreditkarte!
mehr
Kommentar melden
Alf schrieb:
am 6. April 2011 um 16:21:24
(0) (0)
online banking
Zum Glück gibts ja Starmoney, ich glaube kaum daß es da Probleme gibt.Oder chipTAN sollte auch sicher sein.
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Attraktive und sportive Mode für Sie und Ihn: kompromisslose Qualität, die überzeugt. zum Special
Entdecken Sie die neuen Kollektionen zu Top-Preisen: jetzt online bestellen! zu den Angeboten
Zeigen Sie Flagge - alles für die per- fekte EM-Party in Schwarz-Rot-Gold.
von GINGAR.de
Damenmode in den schönsten Sommerfarben - online bestellen und sparen. bei KLiNGEL.de
Ganz einfach: Bildschirminhalt als Grafik speichern. zum Video
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
