Auch das mTAN-Verfahren kann keine hundertprozentige Sicherheit beim Online-Banking bieten. Bei der Polizei Berlin häufen sich derzeit Anzeigen Betroffener, denen trotz des mTAN-Verfahrens die Konten geplündert wurden.

Die mTAN (mobile Transaktionsnummer) wird per SMS auf das Mobiltelefon des Kunden gesendet. Damit wird dann ein Vorgang, beispielsweise eine Überweisung, verifiziert. Neuerdings findet auch die Legitimation für Abholungen an Packstationen der DHL per mTAN statt.

Allerdings ist das mTAN-Verfahren nur dann sicher, so lange sich Gauner nicht der geheimen Nummern bemächtigen können. Dies ist nun durch eine Manipulation der Smartphones der Opfer geschehen. In allen Fällen seien die über SMS übermittelte mTAN für das Online-Banking abgefangen oder umgeleitet worden, berichtet die Berliner Polizei. Betroffen waren demnach Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

Doppelter Angriff auf die Bankkunden

Dabei wurden die Bankkunden Opfer einer doppelten Attacke: Zuerst wurde auf ihren PCs ein Trojaner eingeschleust, der die Bankdaten ausspähte und den Cyber-Gangstern Zugang zu den Konten der Kunden gewährte. Die Schad-Software spähte aber nicht nur die Daten aus, sie zeigte zudem einen Warnhinweis, dass ein zwingend notwendiges Sicherheitsupdate für das mTAN-Verfahren vorgenommen werden müsse. Dafür sollte der Bankkunde seine Handynummer und das Handymodell angeben. Die Opfer folgten der Aufforderung, gaben die gefragten Daten ein und bekamen einen Link zu einem "Sicherheitsupdate" auf das Mobiltelefon geschickt.

Sofern das vermeintliche Sicherheitsupdate ausgeführt wurde, installierte sich eine Schadsoftware auf dem Smartphone, die die Kurzmitteilungen auf die Tätertelefone umleitete. (awe)