Angriff auf mTAN-Verfahren brachte 36 Mio. € Beute

Im November hatte die Berliner Polizei vor dem Angriff gewarnt, bei dem einer ganzen Reihe von Smartphone-Nutzern die Konten leergeräumt wurden. Die deutschen Nutzer machten laut der nun vorliegenden Analyse der Security-Firmen Check Point und Versafe aber nur 20 Prozent der Betroffenen aus. Deutlich mehr Opfer forderte die Attacke beispielsweise in Italien.

Die Täter hatten dabei die PCs der Anwender mit einem Zeus-Trojaner infiziert. Dieser modifizierte die aufgerufene Webseite eines Finanzinstituts so, dass die Telefonnummer des Handys abgefragt wurde - vorgeblich zur Verbesserung des mTAN-Verfahrens, bei dem die TAN für eine bestimmte Transaktion via SMS zugestellt wird.

Die Nummer wurde nun genutzt, um dem Betroffenen eine Smartphone-Variante von Zeus unterzuschieben. Anschließend konnten die Schädlinge so zusammenarbeiten, dass sie eine Transaktion auf dem Bankkonto auslösten und mit der TAN vom Smartphone bestätigten. Üblicherweise wurde dabei der gesamte verfügbare Betrag auf dem Konto an die Täter überwiesen.

Laut den Sicherheitsunternehmen konnten so letztlich über 30.000 Bank-Accounts erfolgreich angegriffen werden. Dabei sollen die Täter eine Summe von immerhin 36 Millionen Euro erbeutet haben. Opfer wurden nach bisherigen Berichten in Deutschland vor allem Nutzer mit einem Windows-PC und einem Android-Smartphone. Aber auch Blackberrys waren durch den fraglichen mobilen Zeus-Trojaner betroffen. Inwieweit diese speziell angepasste Malware inzwischen auch für andere Plattformen wie iOS zur Verfügung steht, ist noch unklar.

Der Angriff als solcher war also sehr komplex, bedurfte aber trotzdem immer noch einiger Sorglosigkeit auf Seiten des Opfers. Nutzer, die grundlegende Sicherheitsempfehlungen hinsichtlich der Verbreitung von Tools durch Banken oder der Aktualität von Virenscannern beachten, dürften keine Probleme bekommen haben.