Lücke im mTAN-Verfahren

Neue Betrugsmasche beim Online-Banking

von - 21.10.2015
mTAN-Verfahren nicht sicher
Foto: Shutterstock/Dean Drobot
Cyber-Kriminelle haben einen neuen Weg gefunden, das eigentlich als sicher geltende mTAN-Verfahren zu umgehen. Dutzende Bankkunden sollen um teils fünfstellige Beträge erleichtert worden sein.
Das „mobile TAN“-Verfahren (mTAN) gilt beim Online-Banking als deutlich sicherer als beispielsweise das klassische TAN-Verfahren, bei dem Bankkunden einfach eine Transaktionsnummer von einer Liste verwenden. Nun haben Betrüger aber nach Informationen der Süddeutschen Zeitung (SZ) eine Möglichkeit gefunden, wie sie mTAN-Nutzer um teilweise fünfstellige Beträge erleichtern können. Ein Postbank-Kunde soll in einem Fall sogar um mehr als 30.000 Euro betrogen worden sein.
Online-Banking
Online-Banking der Postbank: Mindestens ein Kunde wurde laut SZ um mehr als 30.000 Euro erleichtert.
Das mTAN-Verfahren ist ein sogenanntes Zwei-Wege-Verfahren. Der Kunde verwendet etwa seinen Computer, um eine Überweisung zu starten. Die Bank sendet ihm dann eine SMS mit einer Transaktionsnummer auf sein Handy – also auf ein anderes Gerät, das nicht mit seinem PC identisch ist. Diese Nummer muss er wiederum im Browser eingeben, um die Buchung zu autorisieren.
Bei dem von der SZ beschriebenen Trick schleusen die Kriminellen zunächst einen Trojaner auf fremde PCs. Dieser spioniert die Zugangsdaten zum Online-Banking und die Handy-Nummer des Opfers sowie seinen Namen aus. Diese Daten verwenden die Ganoven dann, um sich beim Mobilfunk-Provider als Mitarbeiter eines Handy-Shops auszugeben. In den bekannt gewordenen Fällen waren nur Telekom-Kunden betroffen. Der angebliche Mitarbeiter meldet also der Telekom den angeblichen Verlust der SIM-Karte des Kunden und bittet um Aktivierung einer Ersatz-SIM.
Sobald die neue SIM-Karte aktiviert ist, führen die Betrüger eine oder mehrere Überweisungen durch. Das Opfer hat keine Chance, dies zu verhindern. Seine eigene SIM-Karte funktioniert ja nicht mehr. Die Telekom hat das Verfahren nach Informationen der SZ jetzt verschärft. Der hier beschriebene Betrug soll deswegen nicht mehr möglich sein. Der bei den bislang betroffenen Kunden entstandene Schaden soll ersetzt werden, schreibt die Süddeutsche.