Anzeige
Onlinebanking sollte mit mTAN eigentlich sicher sein.
Onlinebanking sollte mit mTAN eigentlich sicher sein. (Bild: Peter Parks/AFP/Getty Images)

Onlinebanking Bankbetrüger klauen mTANs mit Zweit-SIM-Karte

Mit Hilfe geklauter Bankdaten und einer beim Provider bestellten zweiten SIM-Karte des Opfers leiten Betrüger mTANs auf ihre eigenen Mobilgeräte um. Solche Betrugsfälle häufen sich aktuell und kosten Opfer mehrere tausend Euro.

Anzeige

Betrügern ist es offenbar gelungen, das bisher als weitgehend sicher geltende mTAN-Verfahren für Onlinebanking mit kopierten SIM-Karten zu umgehen. Darauf deuten mehrere Betrugsfälle innerhalb der vergangenen Wochen hin, wie die Süddeutsche Zeitung berichtet. In einem Fall hoben Betrüger Mitte September vom Konto einer Frau 58.000 Euro ab, in einem anderen waren es Ende August 77.000 Euro. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.

Die Betrüger spionierten den Computer der Bankkunden aus und kamen so an das Passwort fürs Onlinebanking, schreibt die Süddeutsche Zeitung. Anschließend hätten sie sich eine zweite SIM-Karte für die Nummer des Kunden besorgt. Fortan seien alle für den Kunden bestimmten SMS auch an die Betrüger gegangen - darunter die mTAN-Nummern.

Das mTAN-Verfahren war von deutschen Banken sukzessive seit 2003 eingeführt worden, um Onlinebanking sicherer zu machen. Davor hatten Banken an Kunden, die ihr Konto online verwalten wollten, ausschließlich gedruckte Listen mit TAN-Nummern verschickt. Das neue Verfahren funktioniert nach dem Prinzip der Zwei-Faktor-Authentifizierung: Es werden zwei unterschiedliche Kommunikationskanäle genutzt, bis eine Überweisung von der Bank getätigt wird. Das galt bisher als weitgehend sicher.

Wer als Bankkunde am Computer eine Überweisung in Auftrag gibt, muss für das mTAN-Verfahren einen Sicherheitscheck bestehen. Dabei wird eine mehrstellige Transaktionsnummer, die TAN-Nummer, per SMS auf das Handy des Kunden geschickt. Das Gerät muss bei der Bank registriert sein. Der Kunde gibt den Code anschließend im Onlinebanking-Menü seines Browsers ein, um die Echtheit des Auftrags zu bestätigen.

Neuartiger Angriff auf das mTAN-Verfahren

Es habe schon zuvor Angriffe auf das mTAN-Verfahren gegeben, die jüngsten Fälle zeigten allerdings eine neue Qualität, sagt Florian Glatzner, Referent beim Bundesverband der Verbraucherzentrale (vzbv). Bisher sei der Computer der Onlinebanking-Kunden der zentrale Ansatzpunkt für Missbrauchsversuche gewesen, nicht das Handy. Der PC sei mit einer Schadsoftware infiziert worden. Sobald das Handy an den Rechner angeschlossen worden sei, habe sich die Schadsoftware dann auch auf den zweiten Authentifizierungskanal verbreitet.

"Die Betrüger konnten sich in den aktuellen Fällen aber einfach beim Mobilfunkanbieter eine zusätzliche SIM-Karte im Namen des betroffenen Bankkunden bestellen", sagt Glatzner. "Da sprechen wir von Identitätsdiebstahl." Dass ein solch simpler Trick funktioniere, zeige völlig unzureichende Sicherheitsmaßnahmen seitens der Telefonanbieter. Bisherige Schutzvorkehrungen, wie beispielsweise sein für das mTAN-Verfahren benutztes Handy nicht mit dem Computer zu synchronisieren, liefen angesichts der neuesten Meldungen ins Leere, sagt Glatzner.

Mehrere Geschädigte sind Kunden der Deutschen Telekom. Laut einem Sprecher war der Diebstahl nur möglich, weil die Betrüger am gehackten Computer sensible Informationen wie Bankverbindungen oder Kundenadressen auslesen konnten. Auf diese Weise hätten sie eine zusätzliche SIM-Karte für eine Mobilfunknummer beantragen können und sie an eine beliebig wählbare Adresse senden lassen. Die Firma allein habe den Betrug also nicht ermöglicht.

Telekom ändert Bestellprozess von Zusatz-SIM-Karten

Der Sprecher räumte aber ein, dass Kunden bislang von der Bestellung einer weiteren SIM-Karte nicht in Kenntnis gesetzt worden wären. Das habe die Firma nun geändert. Wer eine neue Karte bestellt, kann sie nur noch an die bei Vertragsabschluss definierte Kundenadresse liefern lassen. Zusätzlich schickt der Betreiber eine Info-SMS an die Haupt-SIM der Kunden, sobald der Bestellauftrag für eine zweite SIM-Karte eingeht, die Multi-SIM. So sollen die Kontrollmöglichkeiten der Kunden verbessert werden. Die Telekom empfehle allen Kunden zudem einen Virenschutz für den Computer.

Glatzner vom Bundesverband der Verbraucherzentrale hält die Maßnahmen der Telekom für eine Mindestlösung. "Das hätte schon viel früher passieren müssen." Das mTAN-Verfahren empfehle er grundsätzlich keinem Verbraucher. Er rät Kunden, die nicht aufs Onlinebanking verzichten wollen, auf das sogenannte Chip-TAN-Verfahren auszuweichen. Dazu ist ein kleines externes Gerät nötig, das sich Kunden meist selbst kaufen müssen. Darin wird daheim vor dem Computer die Bankkarte geschoben. Dann wird eine TAN erzeugt, über ein mehrstufiges Verfahren wird die Transaktion mit der Bank abgewickelt. "Der Chip-Generator kostet Geld, aber das ist gut investiert", sagt Glatzner. Das Verfahren gilt als betrugssicher - noch.

Nachtrag vom 25. Oktober 2013, 17:30 Uhr

Der Originaltext und die Überschrift suggerierten, dass das mTAN-Verfahren an sich unsicher sei. Das stimmt nicht. Es handelt sich um einen Betrugsfall mit gestohlenen Bankdaten und einer ergaunerten zweiten SIM-Karte des Opfers. Wir haben den Text entsprechend angepasst.


eye home zur Startseite
Anonymer Nutzer 29. Okt 2013

Security by Obscurity also? LOL! xD Das ist ja mal mega dreist :D Aber echt mal, hier...

MistelMistel 28. Okt 2013

Zwei Karten mit gleicher Nummer einbuchen geht, wenn jemand anruft klingeln alle Handys...

lisgoem8 28. Okt 2013

Doch habe ich. In der Hoffnung das es mal ein Politiker mit liesst, habe ich auf...

Citrixx 27. Okt 2013

Das Problem mit den Sammelüberweisungen besteht immer noch. Man hat an dieser Stelle...

vol1 27. Okt 2013

Ich hasse "Kundenschutz", der ist schlimm genug bei Onlinediensten, die merken, wenn man...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w)
    Dr. Noll GmbH, Bad Kreuznach
  2. Software-Entwickler (m/w) für Embedded-Systeme
    Diehl Metering GmbH, Nürnberg
  3. Senior Consultant WWS (m/w)
    ADVARIS Informationssysteme GmbH, Bruchsal
  4. Softwareentwickler (m/w) C++
    CST - Computer Simulation Technology AG, Darmstadt

Detailsuche



Anzeige
Hardware-Angebote
  1. VORBESTELLBAR: ASUS GeForce GTX 1080 Founders Edition
    789,00€
  2. NUR NOCH BIS DIENSTAG: Logitech G900 Chaos Spectrum (kabelgebunden/kabellos)
    nur 159,00€ statt 179,00€
  3. TIPP: PCGH i5-6600K Overclocking Aufrüst Kit @ 4.5 GHz
    nur 649,90€

Weitere Angebote


Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. IT-Sicherheit SWIFT-Hack vermutlich größer als bislang angenommen
  2. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  3. APT28 Hackergruppe soll CDU angegriffen haben

  1. Re: wer sich so eine wanze in die wohnung stellt

    Noro_Eisenheim | 00:09

  2. Re: Einfach nicht wählen.

    plutoniumsulfat | 30.05. 23:59

  3. Re: Damit erhöht sich die digitale Kluft...

    plutoniumsulfat | 30.05. 23:59

  4. Re: Was ich im Artikel viel lieber gelesen hätte

    Eheran | 30.05. 23:58

  5. Analog abschalten ist dumm

    HelpbotDeluxe | 30.05. 23:58


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel