Für Aufsehen sorgte unlängst der Fall einer Bankkundin, der rund 78 000 Euro vom Bankkonto verschwanden und im Online-Banking das mTAN-Verfahren genutzt hat. Wie sicher ist das Verfahren noch?
Auch wenn die Details des Falls noch nicht vollständig geklärt sind – klar scheint zu sein, dass der Onlinebankräuber im ersten Schritt zunächst den Computer der Bankkundin wohl mit Hilfe eines Trojaner-Angriffs ausgespäht hat. So verschaffte er sich Zugang zu ihrem Konto. Soweit, so bekannt.
Im zweiten Schritt allerdings besorgte sich der Betrüger offenbar beim Mobilfunk-Provider der Kundin eine neue Sim-Karte, die er telefonisch aktivierte, wie die Süddeutsche Zeitung berichtet. Dafür war bei dem Anbieter die Nennung von Namen, Adresse und Geburtsdatum der Kundin nötig – Daten, die der Betrüger offenbar auch ausspioniert hatte. Nachdem die Sim-Karte umgestellt worden war, funktionierte das Handy der Kundin nicht mehr, danach kam es zu dem „Bankraub“. „Im Ergebnis viel zu einfach konnten die Täter die Mobilrufnummer des Opfers auf eine andere SIM-Karte übertragen lassen“, wundert sich Frank-Christian Pauli, Leiter des Fachbereichs Finanzdienstleistungen beim Verbraucherzentrale Bundesverband.
Damit ist eine weitere Masche aufgetaucht, um das bislang als sehr sicher geltende mTAN-Verfahren zu kompromittieren. Dass das passieren würde, war zu erwarten, da immer mehr Banken das Verfahren anbieten – und wurde spätestens seit November 2012 auch dokumentiert : Das Landeskriminalamt Berlin berichtete über Straftaten, bei denen Verbraucher von der Webseite der vermeintlichen Bank den Hinweis bekamen, er solle eine Sicherheitssoftware auf seinem Smartphone installieren. Folgten Sie diesem Aufruf, hatten sie nun auch einen Trojaner auf dem Handy, der die bisher sicheren SMS auslesen und an die Betrüger weiterleiten konnte.
Was sollte man jetzt also als Verbraucher tun ? Klar ist: Für jeden, der Online-Banking macht, muss es Priorität haben, den eigenen Computer zu schützen und seine Sicherheitssoftware laufend zu aktualisieren. Denn auch in diesem neuen Fall war der Computer das Einfallstor für den Bankräuber. Wichtige Sicherheitstipps finden Sie in einem älteren Post von mir.
Aber auch seinen Mobilfunkvertrag sollte man offenbar gut im Auge behalten – und sicherheitshalber mal beim eigenen Anbieter nachfragen, wie sie die eigenen Kunden vor derartigen Manipulationsversuchen schützen. Um den Betrug mit Hilfe von zusätzlichen SIM-Karten zu verhindern, verschickt zum Beispiel die Deutsche Telekom diese Karten nur noch an die bekannte Kundenadresse, wie eine Rückfrage von mir dort ergeben hat. Alternativ können Kunden eine neue Karte in einem Telekom-Shop erhalten. Dort müssen sie sich allerdings ausweisen. Außerdem schaltet der Anbieter nur noch Karten frei, für die bei ihm ein Auftrag eingegangen ist – um zu verhindern, dass Karten aus dem so genannten grauen Markt freigeschaltet werden. Und bei der Beauftragung einer so genannten Multi-SIM wird zur Information zudem eine SMS an die Haupt-SIM verschickt. Falls ein Kunde diese nicht beauftragt hat, wäre er auf diese Weise also alarmiert.
Klar ist aber auch: Sicherer als das mTAN-Verfahren ist die Nutzung eines eigenen TAN-Generators – ein Verfahren, das auch etliche Banken anbieten. Wer Sicherheitsbedenken hegt, sollte auf dieses Verfahren umsteigen. Doch es bleibt abzuwarten, was sich die Täter an Versuchen einfallen lassen, auch diesen Kanal knacken.
Weitere Beiträge
0 Kommentare