Wenig überraschend: Nutzer von Mobile Banking besuchen ihre Bank-Filiale seltener.

© Reuters/SHANNON STAPLETON

Digital Life
10/24/2013

Betrüger erbeuten über SMS-TANs mehrere 100.000 Euro

Angreifer umgehen in Deutschland das mTAN-Verfahren mit ausgetauschten SIM-Karten der Telekom. Es soll ein Schaden in sechsstelliger Höhe entstanden sein.

In Deutschland häufen sich laut einem Bericht der Süddeutschen Zeitung die Fälle einer neuartigen Form von Betrug beim Online-Banking. Dabei nutzen die Angreifer das mTAN-Verfahren aus, bei dem eine für fünf Minuten gültige TAN per SMS auf das Handy geschickt wird. Bislang sind in Deutschland zumindest sieben Fälle bekannt, bei denen größere Summen erbeutet wurden. So sollen bei zwei Fällen in Mittelhessen und einem Fall in Hannover 200.000 Euro gestohlen worden sein. Eine Frau aus Wangen im Allgäu wurde auf diesem Weg um 77.000 Euro erleichtert, die Bank hat die Summe aber mittlerweile wieder zurückerstattet.

Neue SIM-Karte bestellt

Die meisten Banken verzichten mittlerweile auf gedruckte TAN-Listen und empfehlen ihren Kunden das mTAN-Verfahren. Dieses gilt als sicherer, da zwei verschiedene Geräte erforderlich sind: ein Handy und ein Computer. Hat der Angreifer nicht Zugriff auf beide Geräte, bleibt auch das Bankkonto sicher. Das in Deutschland verwendete Verfahren ist recht aufwändig.

Der Angreifer spähte den Computer mit Hilfe eines Trojaners aus und erhielt so die Zugangsdaten für das Online-Banking sowie die verknüpfte Telefonnummer. Über die deutsche Telekom bestellte er dann eine Ersatz-SIM-Karte mit der entsprechenden Telefonnummer. Die Sicherheitsfragen konnte er mit Hilfe der über den Trojaner erbeuteten Informationen beantworten. Daraufhin konnte der Angreifer die notwendigen TAN-SMS über sein Handy empfangen.

Chipkarte als sichere Alternative

Die Telekom hat das Austauschverfahren mittlerweile erschwert. Die neue SIM-Karte wird nur noch an die registrierte Kundenadresse versandt und die alte SIM erhält automatisch eine Warn-SMS. Wer eine Austausch-Karte im Shop beantragen möchte, muss jetzt einen Ausweis vorlegen. Experten empfehlen als sichere Alternative unter anderem das cardTAN-Verfahren, das auch in Österreich angeboten wird und einen Chipkartenleser zur Verifizierung von Transaktionen heranzieht.

Bereits im Vorjahr wurde ebenfalls das mTAN-Verfahren Ziel eines groß angelegten Angriffes. Mit Hilfe des Trojaners ZeuS wurden von mehr als 30.000 Bankkunden rund 36 Millionen Euro gestohlen. Dabei übertrug allerdings ein mit dem Trojaner infizierter PC die Schadsoftware auf das Smartphone weiter. Diese fing dann die TAN-Codes ab und leitete sie an den Angreifer weiter.