mTAN mit Rufnummern-Portierung ausgehebelt

Bank, Gebäude, Finanzwesen Bildquelle: OZinOH / Flickr
Sicherheitsexperten sprechen schon seit einiger Zeit davon, dass Kriminelle zunehmend auf Social Engineering-Methoden setzen, um zum gewünschten Ziel zu kommen. Ein aktueller Fall aus Australien zeigt, dass nicht einmal die vielgepriesene Zwei-Wege-Authentifizierung besonders sicher ist.
Ein mittelständischer Geschäftsmann setzte dort auf das von seiner Bank angebotene mTAN-Verfahren, bei dem die TAN-Nummern für das Online-Banking bei jeder Transaktion per SMS zum Mobiltelefon geschickt werden. Dies wird als bequeme, aber auch sichere Angelegenheit angepriesen, da es recht unwahrscheinlich ist, dass ein Angreifer gleichzeitig und unbemerkt Zugriff auf die Zugangsdaten zum Banking-Account und zum Handy bekommt.

Bei dem fraglichen Opfer in Australien stellte sich heraus, dass gerade letzteres gar nicht unbedingt nötig ist, berichtete das australische 'SC Magazine'. Die Zugangsdaten zum Konto hatten die Angreifer bereits vorliegen - vermutlich ausgespäht von einem Trojaner auf dem Notebook des Unternehmers. Damit konnten sie zwar einsehen, wie hoch der Kontostand ist, aber noch keine Transaktion auslösen.

Sie riefen daher während seiner Arbeitszeit bei ihm zuhause an und gaben sich als Kunden aus, die ihren vermeintlichen Geschäftspartner dringend auf dem Handy erreichen müssten. Die Tochter gab daraufhin bereitwillig die Mobilfunknummer weiter. Weiterhin sammelten sie durch einen Anruf bei der Sekretärin noch einige andere Informationen, wobei sie sich als Mitarbeiter des Finanzamtes ausgaben.

Die Daten genügten ihnen nun, um beim Kundenservice der australischen Vodafone-Niederlassung eine Portierung der Rufnummer auf eine neue SIM-Karte anzustoßen. Sobald dieser Prozess nach Angabe einiger Prüf-Daten wie dem Geburtsdatum in nur 30 Minuten abgeschlossen war, räumten sie schnell umgerechnet rund 35.000 Euro von dem Konto des Geschäftsmannes. Dieser dürfte sich im ersten Moment höchstens darüber gewundert haben, dass ihn niemand mehr auf dem Handy anruft.

Die hohe Transaktion sorgte immerhin dafür, dass die Betrugsabteilung der Bank auf das Vorgehen aufmerksam wurde. Dieses rief kurzerhand das Handy des Kontoinhabers an, um zu überprüfen, ob alles seine Richtigkeit hatte. Als mehrere Kontaktversuche scheiterten, fror man das Konto kurzerhand ein und konnte so Schlimmeres verhindern. Bank, Gebäude, Finanzwesen Bank, Gebäude, Finanzwesen OZinOH / Flickr
Diese Nachricht empfehlen
Kommentieren86
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 18:00 Uhr LG 55UH8509 139 cm (55 Zoll) Fernseher (Ultra HD, Triple Tuner, Smart TV, HDR, 3D)
LG 55UH8509 139 cm (55 Zoll) Fernseher (Ultra HD, Triple Tuner, Smart TV, HDR, 3D)
Original Amazon-Preis
1.449,99
Im Preisvergleich ab
1.249,00
Blitzangebot-Preis
1.299,00
Ersparnis zu Amazon 10% oder 150,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden