Kriminelle tricksen mTAN-Verfahren aus

Es ist die Horrorvorstellung eines jeden Bankkunden: Plötzlich ist das Konto leergeräumt oder noch schlimmer, steht weit in den Miesen. So ist es kürzlich offenbar einigen Kunden des Mobilfunkanbieters O2 ergangen. Kriminelle haben sich eine Sicherheitslücke im Mobilfunknetz zunutze gemacht, um das eigentlich als sicher geltende Online-Banking-Verfahren mTAN auszuhebeln.

© Björn Wylezich/Fotolia

Doch von vorne: Beim mTAN-Verfahren handelt es sich um ein zweistufiges Sicherheitsverfahren, bei dem der Bankkunde zusätzlich zu seinen Log-in-Daten für jede Transaktion ein einmaliges Kennwort auf sein Handy geschickt bekommt. Es wird von fast allen Banken angeboten und galt bislang als relativ sicher. Doch offenbar haben Betrüger eine Möglichkeit gefunden, das System zu überlisten und Geld auf die eigenen Konten zu überweisen. In einem ersten Schritt brachten sie Bankkunden durch eine Phishing-Mail dazu, ihre Zugangsdaten wie Kontonummer, Kennwort und Handynummer auf einer gefälschten Webseite einzugeben. Diese Daten reichten den Kriminellen aus, um sich einzuloggen.

Um die mTANs schließlich umzuleiten, nutzten sie eine Schwachstelle im sogenannten SS7-Netzwerk der Mobilfunkanbieter. SS7 wird benötigt, um SMS in fremde Netze zu verschicken oder Telefonate im Ausland bereit zu stellen – und eben auch, um eine Umleitung von eingehenden SMS auf eine andere Rufnummer einzurichten. Eigentlich sollte außer dem Mobilfunkanbieter niemand Zugriff auf dieses Netzwerk haben. Die Hacker hatten jedoch eine Möglichkeit gefunden und konnten daher die eingehenden mTANs ganz komfortabel auf ihre eigenen Handys umleiten. Und damit hatten sie alle Daten, um die Konten der Opfer leer zu räumen.

Es ist hinlänglich bekannt, dass sich Kriminelle immer wieder neue Mittel und Wege einfallen lassen, um die Sicherheitsvorkehrungen beim Online-Banking zu umgehen. Umso schlimmer, dass die Sicherheitslücke im aktuellen Fall bereits seit 2014 bekannt ist und die Mobilfunkanbieter daher eigentlich ausreichend Zeit hatten, sie zu schließen. Doch das ist offenbar nicht geschehen, denn im Darknet werden Zugänge zum SS7-Netzwerk bereits für rund 1000 Euro gehandelt, wie der Sicherheitsforscher Hendrik Schmidt der Süddeutschen Zeitung berichtete. Und nicht nur O2, sondern auch andere Netzprovider weltweit sind betroffen. Dabei wäre es relativ einfach, den Kriminellen die Tour zu vermasseln, indem man die Funktion der Rufumleitung durch Provider im Ausland einfach blockiert.

Die Kunden selbst können sich vor der Masche nur beim ersten Schritt schützen, indem sie Vorsicht walten lassen, wenn sie ihre Daten eingeben. Zwar werden Phishing-Mails immer professioneller und die Seiten sehen denen der Banken oft täuschend ähnlich. Ein Blick auf die URL in der Adressleiste offenbart aber meist Unterschiede zur offiziellen Webadresse der Bank. Wer ganz sicher gehen will, sollte sich einen TAN-Generator zulegen und auf das PushTAN-Verfahren umstellen. So eliminieren Bankkunden die Schwachstelle Mobiltelefon aus dem Online-Banking-Prozess.

Götz Schartner
www.8com.de