News 14.03.2013, 12:14 Uhr

Geknackt: E-Banking via SMS-Code

Das sehr sichere Login-Verfahren mittels Handycode (mTAN) ist kürzlich geknackt worden. Seien Sie auf der Hut, die ersten Schweizer wurden offenbar bereits Opfer der E-Banking-Gangster.
Derzeit ist eine E-Banking-Schad-Software auf Smartphones im Umlauf, warnt die Melde- und Analysestelle Informationssicherung MELANI vor der aktuellen E-Banking-Angriffswelle. Und so geht ein Angriff vor sich:
Malware statt Zertifikat
Zuerst wird eine Schad-Software auf dem Computer des Opfers installiert. Sobald es sich erstmals in sein E-Banking-Konto einloggt, taucht die Frage nach dem Handymodell sowie nach der Handynummer auf. So können die Kriminellen ihren Opfern eine SMS schicken, in der vorgegaukelt wird, dass es von der Bank stammt. Die Nachricht fordert dazu auf, das neue Sicherheitszertifikat auf das Smartphone herunterzuladen. Dabei handelt es sich jedoch nicht um ein Zertifikat, sondern um eine Schad-Software, die alle E-Banking-Transaktions-SMS abfängt, um damit Zahlungen vornehmen zu können.
Wenn Sie beim Login per mTAN etwas Ungewöhnliches feststellen, sollten Sie den Vorgang sofort abbrechen und Ihre Bank kontaktieren.
Artikel drucken
Sandra Adlesgruber
Kommentare
Avatar
Hans Nötig
14.03.2013
Wir verneigen uns vor deiner Weisheit und erstarren in Ehrfurcht, grosser Effendi. Doch bedenke bitte, dass es nicht nur mit Dummheit, sondern auch mit Unerfahrenheit zu tun haben kann, wenn man auf einen wirklich gut gemachten Phishing-Versuch reinfällt.
Avatar
jodelboy
14.03.2013
Benutze seit ein paar Monaten nicht mehr die SMS-Authentifizierung, sondern die Photo-TAN-App (Raiffeisen). Der Ablauf der Anmeldung damit ist ähnlich wie bei der SMS-Auth: 1. Vertragsnummer & Passwort eingeben 2. Bildmatrix (ähnlich QR-Code, einfach noch mit Farben) erscheint 3. Dieses Bild "scannt" man mit der Photo-TAN-App auf dem Handy (bei mir: Android), es wird ein Code daraus erstellt 4. Man ist im E-Banking. Allerdings muss jede einzelne Transaktion abermals per Photo-TAN-App verifiziert werden. Dieses App funktioniert auch "Offline", also wenn das Handy keine Internetverbindung hat. Somit muss ja irgendein Code auf dem Smartphone gespeichert sein, der all die Grafiken entschlüsseln kann? So wäre es doch möglich, diesen Code auszulesen und auf einem anderen Gerät einzuspeisen. Die Vertragsnummer & Passwort können relativ einfach geklaut werden (Spyware, Keylogger, MitM-Attacke) und schon hat man alle Komponenten, um Transaktionen zu tätigen - Bin ich paranoid oder besteht diese Möglichkeit? :o
Avatar
Alexxa
15.03.2013
Jedes System kann "geknackt" werden. Zumal wenn so komplexe Geräte wie Smartphones verwednet werden. Auch einen Scan eines Bildes kann man locker simulieren per Hack-App ... Also ein richtig sicheres System gibt es nicht. Am Besten ist ein separates (kostenloses) Bankkonto mit wenig Geld aufmachen fürs Onlinebanking. Und da packst Du regelmäßig wieder neues Geld er Dauerauftrag drauf. so ist das Risiko minimiert.
Avatar
greedo
15.03.2013
naja also wer ohne rücksprache oder offizielle ankündigung der bank irgendwelche massnahmen durchführt oder programme installiert, ist wohl selbst schuld. geknackt wurde da nichts, sondern reingelegt. übrigens noch ein wort zu einem meiner vorposter: es gibt keine gut gemachten phishing-versuche. nur user, die keine ahnung haben...
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.