Auch das mTAN-Verfahren kann keine hundertprozentige Sicherheit beim Online-Banking bieten. Bei der Polizei Berlin häufen sich derzeit Anzeigen Betroffener, denen trotz des mTAN-Verfahrens die Konten geplündert wurden.
Die mTAN (mobile Transaktionsnummer) wird per SMS auf das Mobiltelefon des Kunden gesendet. Damit wird dann ein Vorgang, beispielsweise eine Überweisung, verifiziert. Neuerdings findet auch die Legitimation für Abholungen an Packstationen der DHL per mTAN statt.
Allerdings ist das mTAN-Verfahren nur dann sicher, so lange sich Gauner nicht der geheimen Nummern bemächtigen können. Dies ist nun durch eine Manipulation der Smartphones der Opfer geschehen. In allen Fällen seien die über SMS übermittelte mTAN für das Online-Banking abgefangen oder umgeleitet worden, berichtet die Berliner Polizei. Betroffen waren demnach Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.
Doppelter Angriff auf die Bankkunden
Dabei wurden die Bankkunden Opfer einer doppelten Attacke: Zuerst wurde auf ihren PCs ein Trojaner eingeschleust, der die Bankdaten ausspähte und den Cyber-Gangstern Zugang zu den Konten der Kunden gewährte. Die Schad-Software spähte aber nicht nur die Daten aus, sie zeigte zudem einen Warnhinweis, dass ein zwingend notwendiges Sicherheitsupdate für das mTAN-Verfahren vorgenommen werden müsse. Dafür sollte der Bankkunde seine Handynummer und das Handymodell angeben. Die Opfer folgten der Aufforderung, gaben die gefragten Daten ein und bekamen einen Link zu einem "Sicherheitsupdate" auf das Mobiltelefon geschickt.
Sofern das vermeintliche Sicherheitsupdate ausgeführt wurde, installierte sich eine Schadsoftware auf dem Smartphone, die die Kurzmitteilungen auf die Tätertelefone umleitete. (awe)
Das rät die Polizei:
Wenn Sie Onlinebankkunde sind und über Ihren PC eine vermeintliche Aufforderung Ihrer Bank zu einem Sicherheitsupdate für Ihr Handy bekommen, folgen Sie dieser keinesfalls, sondern erkundigen Sie sich bitte sofort bei ihrer Bank, ob diese Aufforderung zum Sicherheitsupdate tatsächlich von Ihrer Bank stammt. Dies gilt im Übrigen auch für sämtliche, per Mail versandte, scheinbar von Bank- und Kreditinstituten oder ähnlichen. stammende Anfragen.
Darüber hinaus verringert eine aktuelle Virenschutzsoftware (auf PC und Smartphone), die Nutzung der Firewall sowie ein vorsichtiges Besuchen von Internetseiten die Gefahr der Infizierung des eigenen Rechners mit Schadsoftware.