mTAN mit Rufnummern-Portierung ausgehebelt

Sicherheitsexperten sprechen schon seit einiger Zeit davon, dass Kriminelle zunehmend auf Social Engineering-Methoden setzen, um zum gewünschten Ziel zu kommen. Ein aktueller Fall aus Australien zeigt, dass nicht einmal die vielgepriesene Zwei-Wege-Authentifizierung besonders sicher ist.
Ein mittelständischer Geschäftsmann setzte dort auf das von seiner Bank angebotene mTAN-Verfahren, bei dem die TAN-Nummern für das Online-Banking bei jeder Transaktion per SMS zum Mobiltelefon geschickt werden. Dies wird als bequeme, aber auch sichere Angelegenheit angepriesen, da es recht unwahrscheinlich ist, dass ein Angreifer gleichzeitig und unbemerkt Zugriff auf die Zugangsdaten zum Banking-Account und zum Handy bekommt.

Bei dem fraglichen Opfer in Australien stellte sich heraus, dass gerade letzteres gar nicht unbedingt nötig ist, berichtete das australische 'SC Magazine'. Die Zugangsdaten zum Konto hatten die Angreifer bereits vorliegen - vermutlich ausgespäht von einem Trojaner auf dem Notebook des Unternehmers. Damit konnten sie zwar einsehen, wie hoch der Kontostand ist, aber noch keine Transaktion auslösen.

Sie riefen daher während seiner Arbeitszeit bei ihm zuhause an und gaben sich als Kunden aus, die ihren vermeintlichen Geschäftspartner dringend auf dem Handy erreichen müssten. Die Tochter gab daraufhin bereitwillig die Mobilfunknummer weiter. Weiterhin sammelten sie durch einen Anruf bei der Sekretärin noch einige andere Informationen, wobei sie sich als Mitarbeiter des Finanzamtes ausgaben.

Die Daten genügten ihnen nun, um beim Kundenservice der australischen Vodafone-Niederlassung eine Portierung der Rufnummer auf eine neue SIM-Karte anzustoßen. Sobald dieser Prozess nach Angabe einiger Prüf-Daten wie dem Geburtsdatum in nur 30 Minuten abgeschlossen war, räumten sie schnell umgerechnet rund 35.000 Euro von dem Konto des Geschäftsmannes. Dieser dürfte sich im ersten Moment höchstens darüber gewundert haben, dass ihn niemand mehr auf dem Handy anruft.

Die hohe Transaktion sorgte immerhin dafür, dass die Betrugsabteilung der Bank auf das Vorgehen aufmerksam wurde. Dieses rief kurzerhand das Handy des Kontoinhabers an, um zu überprüfen, ob alles seine Richtigkeit hatte. Als mehrere Kontaktversuche scheiterten, fror man das Konto kurzerhand ein und konnte so Schlimmeres verhindern.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!