In den letzten Wochen sind beim Landeskriminalamt Berlin Strafanzeigen eingegangen, bei denen Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von betrügerischen Geldabbuchungen geworden sind.
In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.
Die Täter spähen mittels eines Schadprogramms (Trojaner), das auf dem Computer des Bankkunden unerkannt installiert wurde, die Kontoverbindung (Kontonummer und Zugangs-PIN) aus und erreichen so den Zugriff auf das Onlinebankkonto. Weiterhin wird durch die Schadsoftware dem Bankkunden ein Fenster mit der Aufforderung zu einem zwingend notwendigen Sicherheitsupdate für das mTAN-Verfahren angezeigt, für das der Bankkunde seine Handynummer und das Handymodell angeben soll. Folgt der Bankkunde der Aufforderung und gibt die „erforderlichen“ Daten ein, wird eine aktive SMS mit einem Link zum Sicherheitsupdate auf sein Smartphone geschickt, das er mit „Bestätigen“ ausführen muss.

Sofern das vermeintliche Sicherheitsupdate ausgeführt wurde, installiert sich eine Schadsoftware auf dem Smartphone, durch die die Täter Zugriff auf die an das Smartphone geschickten SMS, so auch die mTAN, die per SMS übermittelt wird, bekommen. Ab sofort werden alle SMS, die eine mTAN enthalten, vom Bankkunden unbemerkt an ein anderes Handy (Täterhandy) umgeleitet.
Durch die Täter können nun Überweisungen vom Konto des Bankkunden in Auftrag gegeben werden, die dann per mTAN, die an das Täterhandy umgeleitet werden, autorisiert werden. Auf diese Weise wird das Konto vollständig (auch incl. des verfügbaren Überziehungsrahmens) geleert. Eine Rückbuchung ist nicht möglich.

Die Polizei rät:
Wenn Sie Onlinebankkunde sind und über Ihren PC eine vermeintliche Aufforderung Ihrer Bank zu einem Sicherheitsupdate für Ihr Handy bekommen, folgen Sie dieser keinesfalls, sondern erkundigen Sie sich bitte sofort bei ihrer Bank, ob diese Aufforderung zum Sicherheitsupdate tatsächlich von Ihrer Bank stammt. Dies gilt im Übrigen auch für sämtliche, per Mail versandte, scheinbar von Bank- und Kreditinstituten o. ä. stammende Anfragen.
Darüber hinaus verringert eine aktuelle Virenschutzsoftware (auf PC und Smartphone), die Nutzung der Firewall sowie ein vorsichtiges Besuchen von Internetseiten die Gefahr der Infizierung des eigenen Rechners mit Schadsoftware.

[datensicherheit.de, 05.03.2011] Eine neue Schadsoftware-Variante greife zurzeit Smartphones an, so eine aktuelle Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dabei würden mTAN-Nummern für das Onlinebanking mitgelesen. Der Angriffsweg führe zunächst über eine Infektion des PCs mit einer speziellen Schadsoftware:
Beim Aufruf einer Onlinebanking-Website über einen infizierten PC werden demnach zusätzliche Felder oder Nachrichten eingeblendet. In der Optik der Website der Bank gehalten, fordern diese den Nutzer dazu auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten. Mit dem Link, den der Nutzer daraufhin per SMS erhält, lädt er jedoch eine Schadsoftware auf sein Smartphone, die bei künftigen Online-Transaktionen die mTAN mitliest. So können Angreifer zum Beispiel Überweisungen manipulieren und auf fremde Konten umleiten.
Grundsätzlich sei das mTAN-Verfahren, bei dem für jede Transaktion eine „mobile TAN“ per SMS an das Handy übermittelt wird, ein Sicherheitsgewinn im Vergleich zu herkömmlichen Verfahren, denn der Onlinebanking-Vorgang und die Übermittlung der TAN erfolgen auf verschiedenen Übertragungswegen. Die aktuelle Schadsoftware versuche, den Nutzer zur Eingabe der Handy-Date am PC zu bewegen, um damit diese Trennung auszuhebeln, so das BSI.
Diese Art von Angriffen wird nach Einschätzung des BSI künftig weiter zunehmen. Zum Einen versuchen die Angreifer, mit den verbesserten Sicherheitsmechanismen im Onlinebanking Schritt zu halten. Zum Anderen lässt sich beobachten, dass die Zahl der Angriffe über Smartphones steigt – auch weil viele Nutzer den Schutzbedarf mobiler Endgeräte noch unterschätzen – obwohl heute fast jeder Vierte ein Smartphone oder Handy mit Internetzugang besitzt (24 Prozent), ist über einem Drittel (36 Prozent) nicht bekannt, dass ein Smartphone dieselben Sicherheitsvorkehrungen und Schutzmaßnahmen wie ein PC benötigt.

Weitere Informationen zum Thema

BSI für Bürger, 04.02.2011
Wie sicher sind Smartphones? / Sicherheitsrisiken und Schutzmaßnahmen bei der Nutzung von mobilen Endgeräten

BSI für Bürger
Online-Banking

BSI für Bürger
Phishing / Gefährliche Umleitung für Ihre Passwörter