Skip to main content

mTAN-Mechanismus ausgehebelt: Gauner erbeuten 36 Millionen Euro

Bislang galt Online Banking als recht sicher, denn für einen Kriminellen sind ausgespähte Zugangsdaten nur dann sinnvoll, wenn er auch die passenden TAN-Codes hat. Ohne diese „Signaturen“ ist es unmöglich, Überweisungen zu tätigen und Geld abzuzweigen. Während das TAN-Verfahren in Papierform eingeführt wurde, ist wohl den meisten Anwendern das seit mehreren Jahren gängige mTAN-Verfahren bekannt, bei dem der Unterschrift-Code nach Erstellung einer Überweisung via SMS zugestellt wird. Hacker konnten diesen Mechanismus infiltrieren und im Zuge der Aktion rund 36 Millionen Euro erbeuten.

Wie die beiden Sicherheitsfirmen Versafe und Check Point verlautbarten, sei es den Tätern gelungen, Geldbeträge zwischen 500 und 250.000 Euro von mehr als 30.000 Konten abzuzweigen. Die Hacker kombinierten für diesen Angriff sowohl den Einsatz von Trojanern, als auch Phishing-Methoden. Über Spam-Mails mit verseuchten Anhängen oder schadhafte Downloader-Programme sei Schadcode auf die betroffenen Computer eingeschleust worden, der beim Aufrufen von Online Banking Systemen ein Formular angezeigt haben soll, in das User ihre Handy-Nummer eintragen sollten. In weiterer Folge sendeten die Betrüger SMS an die jeweilige Nummer mit dem Aufruf, ein Software-Update durchzuführen. Dabei handelte es sich aber nicht um Update, sondern um eine mobile Version des Zeus-Trojaners (auch „Zitmo“ genannt), der TAN-Codes abfängt und an die Hacker weiterleitet. Die Hacker hatten ab diesem Zeitpunkt ein leichtes Spiel, die betroffenen Konten zu plündern. Betroffen waren zunächst Android- und BlackBerry-Anwender aus Italien, später wurden auch Konten holländischer, spanischer und deutscher Bürger abgeräumt.

mTAN-Mechanismus ausgehebelt: Gauner erbeuten 36 Millionen Euro

mTAN-Mechanismus ausgehebelt: Gauner erbeuten 36 Millionen Euro. Bild: iStockphoto/Alex

Diese Aktion illustriert wieder einmal, wie wichtig ein ausreichender Schutz vor Viren und Trojanern ist, denn die Schuld ist in diesem Fall bei den unzureichend abgesicherten Systemen der Kunden und nicht beim mTAN-Verfahren zu suchen. Kostenlose und renommierte Anti-Viren-Programme sind beispielsweise avast Free Antivirus oder Comodo Internet Security. Zudem sei angemerkt, dass seriöse Unternehmen nur in verschlüsselten Kundenbereichen („https://“) persönliche Daten abfragen.



Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *