[Prince]

Zitat:

Die Berliner Polizei hat heute vor einer Welle von betrügerischen Geldabbuchungen gewarnt, von denen Online-Banking-Nutzer betroffen sind, die das weit verbreitete SMS-TAN- beziehungsweise mTAN-Verfahren verwenden.

In den letzten Wochen seien beim Landeskriminalamt Berlin mehrere entsprechende Strafanzeigen eingegangen, hieß es. In allen Fällen sei die per SMS übermittelte mTAN für das Online-Banking abgefangen oder umgeleitet worden. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

Die Täter spähen dabei mittels eines Trojaners auf dem PC des Anwenders die Kontoverbindung aus. Weiterhin wird durch die Schadsoftware dem Bankkunden ein Fenster mit der Aufforderung zu einem zwingend notwendigen Sicherheitsupdate für das mTAN-Verfahren angezeigt, für das der Bankkunde seine Handynummer und das Handymodell angeben soll. Folgt der Bankkunde der Aufforderung und gibt die Daten ein, wird eine aktive SMS mit einem Link zum Sicherheitsupdate auf sein Smartphone geschickt.


Sofern das vermeintliche Sicherheitsupdate ausgeführt wurde, installiert sich eine Schadsoftware auf dem Smartphone, durch die die Täter Zugriff auf die an das Smartphone geschickten SMS und somit auch die auf diesem Weg zugestellten TANs bekommen. Durch die Täter können so nun Überweisungen vom Konto des Bankkunden in Auftrag gegeben werden. Auf diese Weise wird das Konto in der Regel vollständig auch inklusive des verfügbaren Überziehungsrahmens geleert. Eine Rückbuchung ist nicht möglich und auch der Versicherungsschutz der Bank dürfte nicht greifen, da das Problem im Grunde durch die Fahrlässigkeit des Nutzers zustande kam.

Die Polizei rät daher zu erhöhter Vorsicht, bei entsprechenden Meldungen. Im Zweifel sollte man sich lieber einmal mehr bei der eigenen Bank erkundigen, ob diese tatsächlich ein Software-Update für ihre Banking-Anwendungen bereitgestellt hat.

Der aktuelle Fall stellt dabei einen eher klassischen Angriff auf das Online-Banking dar. Allerdings ist das SMS-TAN-Verfahren auch nicht sicher, wenn das Mobiltelefon nicht mit Schad-Software infiziert ist. Denn die SMS-Übertragung an sich ist kein sicherer Kommunikationsweg. Einem Angreifer ist es durchaus möglich, sich zwischen Nutzer und Mobilfunkbetreiber zu setzen und die Nachrichten abzufangen. Eine entsprechende Warnung hatten gerade die australischen Netzbetreiber herausgegeben und die Banken zur Umstellung auf andere Authentifizierungs-Methoden aufgefordert.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Quagmire22]

Wie kann man auch denken das SMS TAN Sicher sei !?
Vor allem auf dem Handy

Bin mir nicht mal so Sicher wenn ich es zu Hause mache, aber da hab ich zumindest meinen TAN-Generator.

Also PP

[Prince]

Naja ich fand SMS-Tan immer recht praktisch wenn man mal unterwegs ist, und schnell was überweisen will.

[Quagmire22]

Dafür isses das auch, aber war nur ne Frage der Zeit bis die HackerZ das Knacken ^^

[thyriel]

Zitat:

Zitat von Quagmire22

Dafür isses das auch, aber war nur ne Frage der Zeit bis die HackerZ das Knacken ^^

Hast du den Artikel auch gelesen ?
Das hat doch null mit hacken zu tun, das ist reine Dummheit der Benutzer...

[Quagmire22]

Zitat:

Zitat von thyriel

Hast du den Artikel auch gelesen ?
Das hat doch null mit hacken zu tun, das ist reine Dummheit der Benutzer...

Ja hab ich ... du scheinbar nicht !?

Zitat:

Die Täter spähen dabei mittels eines Trojaners auf dem PC des Anwenders die Kontoverbindung aus

Also meines wissens muss man dafür Programmieren können, vll bissl Hackfähigkeiten haben, oder kannst du so einfach nen Code schreiben, den bei jemanden auf nem PC bekommen und damit an die Daten kommen ??



Klar bei Dummheit kann auch kein Antivir helfen

[thyriel]

Was hat ein Trojaner am PC damit zu tun die TANs am Handy auszuspionieren ?
Ist doch reine dummheit sich am Handy ein "Sicherheitsupdate" zu installieren für sms

Und zwischen ich schreib nen Code der n scheiß anstellt und bring den User irgendwie dazu den zu installieren, und ich schreib n Code der sich über ne Sicherheitslücke selbst installiert ist ein riesen Unterschied