Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 14. Dezember 2017

IT-Sicherheit

Geldraub mit der mobilen TAN

Von Regine Bönsch | 11. Mai 2017 | Ausgabe 19

Hacker machen sich Sicherheitslücke im Mobilfunknetzen zunutze und kapern Überweisungen.

Weltweit sind erneut Onlinekonten geplündert worden. Auch in Deutschland soll es Anfang Januar Bankkunden erwischt haben. Wie viele Überweisungen weltweit auf den Konten Krimineller landeten, ist unklar. Fest steht nur: Eine bekannte Sicherheitslücke in Mobilfunknetzen habe geholfen, die mobilen TANs fürs Onlinebanking abzufangen. Und: Auch Kunden von Telefónica waren betroffen.

Doch ganz so einfach ist die Methode nicht. Sie setzt eine zweiteilige Attacke voraus. Zunächst müssen sich die Angreifer z. B. über Phishing-Mails die Kontonummer, Passwort und Mobilfunknummer von Kunden besorgen. Wer auf sie hereinfällt, öffnet ein Scheunentor. Kriminelle können später die Zugangsdaten mitlesen. Mehr noch: Sie können sogar selbst Überweisungsaufträge eingeben.

Auch, wer nur ab und an im Onlinekonto aktiv ist, ist nicht gefeit. Hackerbanden schleusen über eine Internetseite, auf der sich der Nutzer bewegt, einen Trojaner auf den Computer, der mitliest, wenn der Kunde das nächste Mal sein Online-Banking nutzt.

Fehlt nur noch die TAN zur Aktivierung der Überweisung. Und hier kommen die Mobilfunker ins Spiel. Im 2017er-Fall soll die sogenannte SS7-Schnittstelle (Signalling System 7) zur Manipulation genutzt worden sein. Klassischerweise tauschen sich darüber weltweit die Telekommunikationsfirmen aus. Bereits 2014 machte der Chaos Computer Club darauf aufmerksam, dass über SS7 Mobilfunkkunden verfolgt, Telefonate abgehört oder SMS umgeleitet werden können. Auch aktuell sollen laut Süddeutscher Zeitung Handys so manipuliert worden sein. Die SMS mit der TAN landet somit auf einem Gerät der Betrüger.

Die SS7-Lücke soll durch angepasste Firewalls geschlossen werden können. Die Telekom beispielsweise habe das Anfang des Jahres getan, heißt es. Telefónica erklärte, dass die Sicherheit ständig geprüft werde, doch das sei sehr kompliziert. „Die polizeilichen Ermittlungen laufen noch, wir stehen in engem Kontakt mit den Behörden und Bankinstituten“, hieß es dazu.

Sowohl das Bundesamt für Sicherheit in der Informationstechnik als auch Experten wie Kaspersky empfehlen Online-Banking-Nutzern längst, auf das mobile TAN-Verfahren zu verzichten und besser TAN-Generatoren einzusetzen.

stellenangebote

mehr