Kriminelle habe es wohl geschafft, die Konten einer Reihe deutscher Bankkunden, die das sogenannte mTAN-Verfahren beim Online-Banking verwenden, leer zu räumen.
Anzeige
Beim mTAN-Verfahren schickt die Bank eine TAN auf ein Handy. Mittels dieser TAN kann dann eine Transaktion (z.B. Überweisung) auf einem zweiten Rechner autorisiert und damit freigeschaltet werden. Durch diese, sogenannte Zwei-Faktor-Authentifizierung, sollte eigentlich Missbrauch ausgeschlossen sein. Selbst wenn der Computer von Schadprogrammen befallen ist, müssten die Kriminellen ja das Handy des Opfers haben, um Zahlungen per mTAN freizugeben.
Aus diesem Grund sollte man keine Banking-Apps auf Smartphones oder Tablet PCs einsetzen, da dort die App nicht nur die Überweisung tätigt, sondern auch für die TAN-Generierung sorgt. Aber auch bei dem von fast allen angebotenen mTAN-Verfahren hatte ich hier im Blog gewarnt (siehe Online-Banking: mTAN und Banking-Apps unsicher). Gelingt es Kriminellen, die SMS mit der mTAN abzufangen, könnten sie bei einem gehackten Online-Konto Buchungen zum Schaden des Konto-Besitzers durchführen.
Genau das ist wohl Anfang Januar 2017 bei Kunden des Anbieters O2 passiert. Sofern diese Online-Banking mit mTAN-Absicherung nutzten, konnten die Kriminellen die SMS auf beliebige Handys umleiten und dann die Konten der Opfer leer räumen. Bei Interesse, ich habe drüben im IT-Blog den Artikel Online-Banking: mTAN über UMTS gehackt, Konten abgeräumt zum Thema veröffentlicht.
Ähnliche Artikel:
Online-Banking: mTAN und Banking-Apps unsicher
Warnung: Phishing-Angriff auf Online-Banking-Kunden
Achtung: Banking-Trojaner für Android unterwegs
Achtung: Banking-Trojaner zielt auf Android
Online-Banking: App-TANs (u.a. der Sparkassen) unsicher
Online-Banking-Betrug bei Telekom-Mobilfunkkunden
