Reiche Beute: mTAN mit Dual-SIMs ausgehebelt
Das angeblich so sichere mTAN-Verfahren für das Online-Banking ist erneut zu einem Angriffsvektor geworden. In mehreren Fällen sollen die Täter nach bisherigen Erkenntnissen mindestens einen sechsstelligen Betrag erbeutet haben.
In den bisher bekannt gewordenen Fällen, in denen das mTAN-Verfahren, bei dem die TAN für den Transaktionsabschluss via SMS zugeschickt wird, musste es den Angreifern noch gelingen, parallel den Rechner und das zugehörige Smartphone mit Malware zu kapern. In den aktuellen Fällen genügten hingegen der Zugriff auf den PC oder das Notebook - und zu geringe Sicherheitsstandards bei Mobilfunkbetreibern, berichtete die Süddeutsche Zeitung.
Soweit die Polizei die Fälle bisher rekonstruieren konnte, gelang es Kriminellen auf dem PC das Passwort für das Online-Banking auszuspionieren. Hinzu kamen aber auch Daten zum Mobilfunkvertrag der Betroffenen. Letzteres nutzten die Angreifer demnach, um den Versand einer zweiten SIM-Karte mit der gleichen Rufnummer an eine ihnen zugängliche Anschrift zu veranlassen. So konnten sie auch direkt die SMS empfangen und die Konten der Opfer leer räumen. Hier ging es um Summen zwischen 50.000 und 200.000 Euro, hieß es.
Zumindest bei einem Teil der Betroffenen soll es sich dabei um Kunden der Deutschen Telekom gehandelt haben. Diese soll den Vorgang inzwischen zum Anlass genommen haben, um ihren Kundendienst abzudichten. So sollen SIM-Karten nun grundsätzlich nur noch an die bereits bekannte Adresse des Vertragspartners geschickt werden. Eine Abgabe in einer Ladenfiliale setzt außerdem die Vorlage eines Ausweises voraus, erklärte ein Telekom-Sprecher gegenüber der Zeitung.
Erneut zeigte sich hier allerdings, dass das mTAN-Verfahren längst nicht so sicher ist, wie es die Banken gern darstellen. Insbesondere ist hier anzumerken, dass noch gar nicht die volle Bandbreite möglicher Angriffsvektoren ausgeschöpft wurde - so ist es zumindest denkbar, auch die SMS selbst direkt an der Funkschnittstelle abzufangen, weil der Versand in der Regel nicht verschlüsselt ist. Deutlich mehr Schutz bietet hingegen nach dem bisherigen Erkenntnisstand der Einsatz eines TAN-Generators.
Soweit die Polizei die Fälle bisher rekonstruieren konnte, gelang es Kriminellen auf dem PC das Passwort für das Online-Banking auszuspionieren. Hinzu kamen aber auch Daten zum Mobilfunkvertrag der Betroffenen. Letzteres nutzten die Angreifer demnach, um den Versand einer zweiten SIM-Karte mit der gleichen Rufnummer an eine ihnen zugängliche Anschrift zu veranlassen. So konnten sie auch direkt die SMS empfangen und die Konten der Opfer leer räumen. Hier ging es um Summen zwischen 50.000 und 200.000 Euro, hieß es.
Zumindest bei einem Teil der Betroffenen soll es sich dabei um Kunden der Deutschen Telekom gehandelt haben. Diese soll den Vorgang inzwischen zum Anlass genommen haben, um ihren Kundendienst abzudichten. So sollen SIM-Karten nun grundsätzlich nur noch an die bereits bekannte Adresse des Vertragspartners geschickt werden. Eine Abgabe in einer Ladenfiliale setzt außerdem die Vorlage eines Ausweises voraus, erklärte ein Telekom-Sprecher gegenüber der Zeitung.
Erneut zeigte sich hier allerdings, dass das mTAN-Verfahren längst nicht so sicher ist, wie es die Banken gern darstellen. Insbesondere ist hier anzumerken, dass noch gar nicht die volle Bandbreite möglicher Angriffsvektoren ausgeschöpft wurde - so ist es zumindest denkbar, auch die SMS selbst direkt an der Funkschnittstelle abzufangen, weil der Versand in der Regel nicht verschlüsselt ist. Deutlich mehr Schutz bietet hingegen nach dem bisherigen Erkenntnisstand der Einsatz eines TAN-Generators.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - vor 2 Stunden -
Alpine-Linux: unter den schlanken Distris
d-hubs - vor 2 Stunden -
Pc startet im Multiboot Manager nach unstellung in MSconfig
js1 - Heute 11:19 Uhr -
"Ohne Privatsphäre keine Demokratie" – Der Neocypherpunk Summi
d-hubs - Gestern 12:52 Uhr -
Datenträgerverwaltung
micro300 - Vorgestern 16:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen