Immerhin sind sie kreativ, diese Kriminellen: Das mTAN-Verfahren zur Absicherung des Onlinebankings wurde schon mehrfach ausgetrickst, immer wieder mussten die Banken und Mobilfunkanbieter nachbessern. Aber nun haben Betrüger doch noch eine neue Masche entdeckt. So konnten sie insgesamt mehr als eine Million Euro von Telekom-Kunden in Deutschland stehlen. Das berichtet die Süddeutsche Zeitung. Im Bericht ist von Fällen "im mittleren zweistelligen Bereich" bei verschiedenen Banken die Rede.

Eigentlich soll das mTAN-Verfahren vor Kriminellen schützen: Onlinebanking-Kunden müssen sich auf der Website der Bank einloggen und bekommen für jede Überweisungen, die sie tätigen wollen, eine einmal gültige Transaktionsnummer auf ihr Handy geschickt. Ein Angreifer müsste also in irgendeiner Form sowohl den Computer als auch das Handy des Kunden kontrollieren oder sich in die jeweiligen Datenübertragungen einklinken können, um selbst Überweisungen tätigen zu können.

Genau das ist in diesen Fällen gelungen. Wobei der Angriffsweg einige Besonderheiten aufweist:

  • Alle Opfer waren Telekom-Kunden.
  • Laut Zeitungsbericht konnten die Angreifer auf den Computern ihrer Opfer eine Software installieren, mit der sie die Zugangsdaten zum Onlinebanking auslesen konnten. So etwas ist entweder über einen Keylogger möglich, der heimlich Tastatureingaben mitschneidet und an einen Server sendet, den die Angreifer kontrollieren. Oder die Opfer werden auf eine gefälschte Website gelockt, wo sie ihre Zugangsdaten eingeben, ohne zu merken, dass es nicht die echte Seite ihrer Bank ist.
  • Anschließend dürften sich die Täter mit den abgefangenen Daten eingeloggt haben, um den Kontostand des Betroffenen zu überprüfen und möglicherweise weitere persönliche Daten zu suchen.
  • Von den – vermutlich je nach Kontostand – infrage kommenden Opfern "beschafften" sich die Angreifer die Handynummer. Wie, bleibt im SZ-Bericht unbeantwortet. Denkbar ist, dass die Täter, wenn sie einen Computer schon so weit unter ihrer Kontrolle hatten, auch E-Mail-Postfächer durchsuchen konnten, bis sie eine Mail mit der Handynummer fanden. Denn die Bank-Websites zeigen ihren Kunden die einmal hinterlegte Nummer normalerweise nicht vollständig an.
  • Schließlich gaben sich die Täter gegenüber der Telekom als Mitarbeiter eines Mobilfunkshops aus. Sie behaupteten, ihr Kunde habe seine SIM-Karte verloren, weshalb die Telekom nun bitte eine Ersatz-SIM aktivieren möge. Die gehörte allerdings den Angreifern, und fortan konnten sie sich im Onlinekonto eines Opfers einloggen und bekamen für Überweisungen eine mTAN auf ihr eigenes Handy. 

Telekom hat reagiert

Die SZ berichtet nun von einem Fall, in dem einem Postbank-Kunden auf diese Weise mehr als 30.000 Euro gestohlen wurden. Die Täter überwiesen zunächst drei höhere Beträge vom Tagesgeld- auf das Girokonto des Opfers. Anschließend überwiesen sie sich das Geld in neun verschieden hohen Tranchen auf ihre eigenen Konten, um das Überweisungslimit des Kunden zu umgehen.

Die Telekom will mittlerweile ihre Maßnahmen zur Identifikation von Händlern und Mobilfunkshop-Betreibern verschärft haben, so dass ein Betrug mit diesem Trick nicht mehr möglich sei.

Als Alternative zum mTAN-Verfahren bietet sich das Chip-TAN-Verfahren an: Onlinebanking-Kunden müssen sich dazu kleines Gerät kaufen, das Transaktionsnummer in Verbindung mit der EC-Karte generiert. Das Chip-TAN-Verfahren konnte bisher nur in Fällen ausgehebelt werden, die noch etwas spezieller sind als die nun bekannt gewordenen.