Wie die FAZ berichtet, haben Hacker eine neue Methode entwickelt um mTANs zu klauen und den Opfern so via online Banking die Konten leerzuräumen. Aber das ist nicht so einfach.

KOMPLIZIERTES VORGEHEN

Da der TAN-Diebstahl sehr aufwändig ist und mehrere Voraussetzungen gegeben sein müssen, ist die Zahl potentieller Opfer vermutlich zwar gering, der Schaden dafür nicht weniger erheblich.

DER ABLAUF

Wie sooft läuft das über eine Phishing-E-Mail. Öffnet man diese und klickt auf den darin angegebenen Link, wird der Prozess angestoßen. Der Absender der Nachricht ist dabei als Bank getarnt wobei sich die Webadresse nur unwesentlich von der echten unterscheidet. Einzige Auffälligkeit ist dass die Website-Identifizierung inklusive Verschlüsselungssymbol fehlt oder zumindest nicht auf die eigentliche Bank verweist. Folgt man dem Link, soll man dort den Anmeldenamen und die Pin eingeben. Begeht man auch diesen Fehler noch, kann der Angreifer ungehindert auf das Online-Konto zugreifen. Um aber auch Überweisungen tätigen zu können, brauchen Kriminelle noch eine mTan. Wie die „Süddeutsche“ berichtet, funktioniert dies über eine Schwachstelle im Mobilfunknetz, die im Übrigen seit zwei Jahren bekannt ist: Im sogenannten SS7-Netzwerk werden weltweit Telekommunikationsdaten ausgetauscht. Bekommt man Zugang zu diesem Netz, ist man auch in der Lage, Rufnummern umleiten zu lassen. Und genau so kann der Hacker dafür sorgen, dass die mTan bei ihm und nicht beim betrogenen Kunden ankommt. Die falsche Überweisung bemerkt dann der Betroffene in der Regel beim nächsten Blick auf das Konto.

EIGENTLICH SICHER

Geht man von der Mobilfunknetz-Schwachstelle aus, ist das mTAN Verfahren eigentlich sicher. Die Zwei-Faktor-Authentifizierung hat nämlich den Vorteil, dass man als Kunde eine Meldung bekommt, ob man denn die Überweisung so vornehmen möchte. Selbst beim Auslösen einer ungewollten Überweisung auf der mTan sieht man, dass die Daten nicht mit denen übereinstimmen, die man eingegeben hat. Grundsätzlich aber bleibt die Grundregel bestehen, dass man bei jedweder E-Mail, die vermeintlich von der Bank kommt, stutzig sein sollte. Besser zwei mal mehr überprüft als ein mal zu wenig.