In den letzten Wochen gab es beängstigende Nachrichten für alle Online Banking Nutzer. Ein Betrügerteam schaffte es, das mTAN Verfahren für Online Überweisungen gezielt zu kompromittieren. Doch was genau steckte hinter diesem Betrug und wichtiger noch: ist das mTAN Verfahren weiterhin sicher? Wir geben Antworten.
Der Angriff auf das Online Banking erfolgte zweigeteilt. Zunächst wurden Computer von Online Banking Nutzern mit einem Schadprogramm infiziert, etwa durch Phishing-E-Mails mit schadhaften Dateianhängen. Hatte sich das Programm erst eingenistet, war es den Betrügern möglich, die Zugangsdaten für das Online Banking auszuspähen.
Allein mit den Login-Daten ist es jedoch nicht möglich, eine Überweisung zu fälschen, doch das Schadprogramm konnte noch mehr: als sich der Nutzer von dem infizierten Computer beim Online Banking anmeldete, fügte die Schadsoftware ein zusätzliches Formularfeld zur Abfrage der Handynummer im Internet-Browser ein. So gab der Online Banking Nutzer unwissentlich neben den Login-Daten auch seine Handynummer den Angreifern preis, an die die mobilen TANs gesendet werden.
In einem zweiten Schritt gaben sich die Täter dann bei der deutschen Telekom als Mitarbeiter eines Mobilfunk-Shops aus und meldeten die SIM-Karte der erbeuteten Handynummer als verloren. Die Betrüger aktivierten dann eine Ersatzkarte und konnten damit die mTAN des Nutzers empfangen. So erlangten sie vollen Zugriff auf das Konto und tätigten in mehreren Fällen hohe Überweisungen. Dabei, so scheint es, konnten die Angreifer ausnutzen, dass die Sicherheitsverfahren beim Mobilfunkanbieter zur Identifikation des Bestellers nicht ausreichend waren. Trotz nicht hinreichend bestätigter Identität wurde eine Ersatz-SIM geliefert.
Die Telekom führte daraufhin neue Sicherheitsmaßnahmen ein und verschärfte die Identifikationsschritte für Händler. Nach Angaben des Unternehmens soll ein Betrug nun nicht mehr möglich sein.
Mobile TAN: Sicherheit durch zwei Systeme
Soll eine Überweisung über das Online Banking ausgeführt werden, wird eine mobile Transaktionsnummer (kurz mTAN) per SMS auf das Handy des Nutzers geschickt. Stimmen Betrag und Empfängerdaten sowohl online als auch in der SMS überein, kann die Überweisung mit der zusätzlich per SMS verschickten Transaktionsnummer freigeben werden. Mit Computer und Mobiltelefon werden zwei voneinander unabhängige Systeme zur Identifikation und Bestätigung genutzt, somit ist das mTAN-Verfahren weiterhin eine der sichersten Möglichkeiten zum flexiblen Online Banking.