Sicherheit im Internet ist enorm wichtig. Vor allem da auch Überweisungen und Einkäufe mittlerweile zum Großteil schon über das World Wide Web getätigt werden. Trotz mittlerweile enormen Sicherheitsvorkehrungen ist es Betrügern gelungen rund 100.000 Euro via Online-Überweisung zu stehlen.
Auch interessant: Entwickler von Android-Trojaner “Heart App” verhaftet
Vor knapp drei Jahren wurde das mobile TAN-Verfahren (mTan) eingeführt, welches zu diesem Zeitpunkt als sicher galt, da es auf zwei unterschiedliche Systeme zurückgreift und so Betrügern den Zugang erschwert. Theoretisch ist das auf jeden Fall so. In der Praxis stellt es aber allem Anschein nach eine zu einfach überwindbare Hürde dar, denn wie auch schon im Herbst vergangenen Jahres, haben jetzt erneut einige Betrüger es geschafft, diese zu umgehen und dabei über 100.000 Euro erbeutet.
Zweite SIM-Karte
Normalerweise wird für eine Online-Überweisung eine Verfügernummer sowie ein Passwort benötigt. Sobald diese eingegeben wurden und man sich im netbanking-Interface befindet, kann man die Bankdaten des Empfängers sowie den Betrag und den Verwendungszweck angeben. Im Anschluss bekommt man eine SMS mit einem TAN auf das Mobiltelefon zugesandt, welcher jetzt nur noch eingegeben werden muss.
Dieses System birgt im Prinzip jetzt zwei Schwachstellen in sich. Zum einen muss man an die Verfügernummer sowie an das Passwort, zum anderen an den TAN, der per SMS an das Handy zugestellt wird, kommen. So unglaublich sich das jetzt auch anhören mag, die ersten beiden Komponenten sind schneller beschafft, als man vielleicht glauben mag. Keylogger, das sind kleine Programme die alle Eingaben auf der Tastatur mitschreiben, die nicht von Antiviren-Lösungen erkannt werden, gibt es mittlerweile wie Sand am Meer.
Jetzt müssen also die Schurken nur mehr das Smartphone oder zumindest die Nummer in ihre Gewalt bringen. Dazu haben sie einfach einen O2-Shop in einem Saturn-Elektronikmarkt aufgesucht, wo man keinen Ausweis vorlegen muss, um eine zweite SIM-Karte für eine bestimmte Nummer ausgestellt zu bekommen. Folglich können die Räuber alle SMS mitlesen und auch TANs anfordern.
Der Rest ist ein Kinderspiel
Nun war es für die Täter ein Leichtes, sich in das Postbank-Konto des Opfers einzuloggen, den Rahmen anzuheben und das Geld zu überweisen. Zwei Überweisungen über 28.000 Euro sind an ein Konto mit einem russisch klingenden Namen überwiesen worden.
Nach einem Anruf bei der Postbank sowie ihrem Mobilfunkbetreiber O2 wurde dem Opfer gesagt, dass die Räuber sich eine zweite SIM-Karte ausstellen ließen und mit dieser das Konto ausgeräumt haben. Zusätzlich zu diesem Einzelfall ist noch ein weiterer bekannt geworden, der nach dem gleichen Schema abgelaufen ist. Auch dieser war Kunde bei O2 sowie der Postbank.
Fehler bei O2-Shop
Komischerweise ist die Bank kurze Zeit später gleich für den Schaden aufgekommen, wobei hier der Fehler bzw. die Schuld viel eher bei O2 oder eigentlich dem O2 Shop bei Saturn liegt. Es kann doch wohl nicht sein, dass ein fremder eine zweite SIM-Karte ausgestellt bekommt, ohne dass dessen Identität überprüft wird.
Auch wenn das mTan-System sicherer ist als viele andere, so ist doch noch sehr viel Verbesserungspotential vorhanden und vor allem bei Überweisungen im Internet sollte man besonders vorsichtig sein. Um den Keylogger zu verhindern, kann man beispielsweise die Bildschirmtastatur von Windows verwenden. In vielen Fällen werden diese Eingaben nicht von den Spionageprogrammen aufgezeichnet.
Quelle: Süddeutsche