BKA und Verbraucherschutz warnen vor mTan-Betrügern beim Online-Banking
Das Bundeskriminalamt und Verbraucherschützer warnen vor der Nutzung sogenannter mTans beim Online-Banking. Durch manipulierte Smartphone-Apps können diese ausspioniert werden, so Christian Funk von Kaspersky. Im ersten Quartal 2014 haben sich die Angriffe durch den Trojaner Faketoken versechsfacht. Eine Nummer sicherer geht es noch mit einem Tan-Generator, einem physischem Gerät, das im Zusammenspiel mit der EC-Karte für jede Transaktion einen Schlüssel erstellt. Allerdings ist es auch hier nur eine Frage der Zeit, bis sich Kriminelle damit beschäftigen.
Laut Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA, haben sich Phisihing-Mails oder auch Phishing-SMS verändert: „Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind.“ Das Tan-Block-Verfahren (Tan-Liste) gilt als die unsicherste Methode.
So richtig schützen kann man sich vor spionierenden Apps auf dem Smartphone sicher nicht. Zu oft rutschen diese durch jegliche Kontrollen und landen auch auf Smartphones von Nutzern, die allgemein als technisch versiert gelten. Wohl aber kann man sich vor dem Klick auf Links in Phishing-Mails schützen, wenn man die Augen offen hält. In der Regel lassen sich solche Links trotzdem erkennen. Aber dass diese Mails immer raffinierter werden, ist deutlich zu sehen.
Schützt Ihr Euch auf irgendeine Weise vor solchen Angriffen beim Online-Banking? Oder vertraut Ihr mehr drauf, dass alles Schlechte eh immer anderen passiert?
Wird geladen ...
Generell kann man sich ziemlich gut schützen, indem man sich nie in irgendeinen seiner Accounts über einen Link anmeldet, sondern die jeweiligen Seiten manuell im Browser öffnet. Mache ich jedenfalls so.
Ich nutze ein altes Nokia 6310 als mTan „Empfänger“ – das geht recht prima, da es sonst nichts zu tun hat (Notfallhandy) und der Akku ganz gut hält… 😉
Die Grundregel ist:
Kein Online-Banking auf der Plattform machen, auf der man die mTANs empfängt.
Deshalb mache ich grundsätzlich kein Online-Banking auf dem Smartphone. Banking und mTAN müssen auf getrennten Plattformen laufen.
Nutze ein altes Nokia 1200 als mTan Empfänger.
Das würde mich jetzt aber brennend interessieren, warum die TAN-Liste das unsicherste Verfahren ist – also bei Menschen, die intelligent genug sind sie sicher zu verwahren und nicht abzutippen. Wie kann man die ohne Wohnungseinbruch missbrauchen?
Der Aufwand, um ein mit mTAN gesicherten Banking-Account zu übernehmen, ist relativ hoch. Zunächst muss der Account selbst gehackt werden, man braucht also Zugangsnamen und PIN/Passwort. Dann muss ich den Bankkunden dazu bringen, meinen Trojaner, der natürlich genau zum Smartphone passen muss, auf seinem Handy zu installieren. Erst dann kann der Täter mittels TAN-SMS-Umleitung über das Konto verfügen.
Die meisten Schadensfälle passieren momentan noch per Browser-Manipulation, d.h. dem Kunden wird nach der Anmeldung im Onlinebanking eine gefälschte Seite mit einer Test- oder Rücküberweisung präsentiert, die der Kunde dann selbst ausführt. Die Kontostände werden durch die Schadsoftware manipuliert und der getätigte Umsatz in der Umsatzliste unterdrückt, so dass der Kunde die Manipulation erst später bemerkt.
Das ChipTAN-Verfahren ist nicht nur „etwas sicherer“. Momentan ist noch keine technische Möglichkeit bekannt, dieses Verfahren zu manipulieren. Wenn etwas passiert, dann durch Browsermanipulation, wie oben beschrieben.
@ralphgl
Genau diese Frage habe ich mir auch gestellt.
Onlinebanking bzw. alles was mit Geld zu tun hat mache ich auch grundsätzlich nur über den eigenen PC. Alles andere ist mir derzeit auch zu unsicher. Ich installiere zwar auch nur Sachen aus Google Play, aber viele auch seriöse Apps -wie aktuell bei n-tv seit dem letzten Updates- wollen so viele zusätzlichen unnötige Rechte, die man als „Normal“-User nicht blocken kann. Wären solche Apps Programme für den PC würde sie kein Mensch installieren.
Ansonsten gilt wie der Vorredner schrieb: Gesunden Menschenverstand walten lassen, Augen auf und die echte Banking-Aktivität und alles was mit TANs zu tun hat, physikalisch trennen.
Ich steh‘ wohl ein wenig auf dem Schlauch, jedenfalls sehe ich das Problem nicht…
Die Banking-App auf meinem Smartphone lässt generell keine mTANs zu, da dann die „2 Faktor Sicherheit“ nicht mehr gewährleistet wäre. Somit schon mal dort kein Risiko.
Mache ich das Online-Banking an einem seperaten Gerät im Browser (oder App) ist es mir herzlich egal ob die mTAN (die dann auf dem Spartphone per SMS eintrifft) ausspioniert wird.
-entweder wird sie „abgefangen“ so dass ich die SMS gar nicht erst bekomme. Dann weiß ich dass irgendwas los ist und breche den Vorgang ab. Da die mTAN nur für die im Online-Banking eingegebenen Empfängerdaten gültig ist kann ja eh‘ keiner was damit anfangen.
-oder sie wird „dupliziert“ so dass der böse Phisher die mTAN zwar hat, ich aber davon nichts weiß. Somit hat er ca. 5 Sekunden Zeit sie zu benutzen, denn so schnell habe ich sie in die Onlinebanking-Maske eingegeben. Selbst wenn er es schafft sie so schnell zu benutzen hat er Pech, denn siehe oben, da die mTAN nur für die im Online-Banking eingegebenen Empfängerdaten gültig ist kann er nichts damit anfangen.
Wo ist das Problem, bin ich echt zu blöd es zu erkennen? 😉
@Jo: Ich weiß ja nicht bei welcher Bank du bist, aber meine(Volksbank) lässt eine Überweisung vom Handy gar nicht erst zu.
@ralphgl Es gibt da effektive Trojaner: Kunde erfasst Überweisung, drückt auf Senden, der Trojaner macht daraus eine ganz andere Überweisung und sendet die an die Bank. Die Bank sendet zurück „OK, gib mal die TAN mit der Nummer 123 von deiner TAN-Liste ein“. Der Trojaner zeigt dem Kunden seine ursprüngliche Überweisung an und verlangt die TAN mit der Nr. 123 zur Eingabe. Der Kunde gibt diese TAN ein und führt somit die betrügerische Überweisung aus.
also beim Online-Banking vertraue ich auf HBCI und einen Kartenleser mit Tastatur … IMO gibt’s nicht „sichereres“ …
„Das Tan-Block-Verfahren (Tan-Liste) gilt als die unsicherste Methode.“
soso….unmodifiziert kann das ja sein, aber nicht bei mir:
Ich scanne meine Tan-Liste ein.
Dann OCR.
Dann ab in ein einfaches Textverarbeitungsprogramm.
Nun füge ich an zwei (oder für faule nur an einer) Stellen jeder Tan-Nummer zufällige Zahlwerte hinzu.
Also z.B. bei jeder Tan-Nummer an erster und vierter Stelle.
So dass aus:
Nr.1 0123456
dann
Nr.1 901283456
wird.
Diese Liste speichere ich auf dem selben Smartphone, mit dem ich auch Online-Banking betreibe. Auf dem Selben Phone sind auch *ALLE* meine anderen -für mich- wichtigen Dinge gespeichert. Ebenso „verschlüsselt“
Wer, ausser mir, kann diesen Code knacken?
Ich stelle jemanden gerne 10 gültige (von mir modifizierte) Tans zur Verfügung, damit mir bewiesen werden kann, das mein Verfahren „unsicher“ ist.
Im Grunde genommen muss man hier erst mal zwischen der Möglichkeit, schuldhaftem Verhalten und“passiert eben mal“ differenzieren.
Klar ist der sicherste Weg immer noch das Geld im Mondschein vergraben, aber wir wollen ja auch leben…
Das PIN/TAN Verfahren ist genauso zertifiziert wie die mTan und der Rest dieser Dinge. Es sind ergo Verfahren, die als zertifiziert und sicher gelten. Insofern ist erst einmal alles gut.
In Deutschland wird das Schuldrecht gepflegt. Hier nützt also die Behauptung der Bank allein „wir waren’s nicht“ also schon einmal gar nix.
Die TAN-Liste, nun ja, die liegt in der Regel immer irgendwo rum und sicher ist das schon einmal gar nicht.
mTan, wir glauben immer das der Weg der SMS bis zu unserem Telefon sicher ist, das ist schon einmal nicht so, zumindest gilt dieser Weg im Kontext der Bank laut Zertifikat als „sicher“.
Kommen wir aber mal zur Praxis. Was nutzen wir ? Wir nutzen Banking Apps, bzw. die App auf der WEBsite unserer Bank. Wenn wir Überweisungen tätigen, ensteht bei der mTan, vom Eintreffen der SMS mit der mTan bis zur Entwertung dieser durch die Ein- und Freigabe, mit Zugeständnissen in etwa ein Zeitfenster von 10 Sekunden. Das macht es schon vom Timing her für einen Angreifer schwierig, denn die Vollbaustellen in Deutschland welche wir „Datenleitung“ nennen verhindern da zeitnahe Reaktionen. Ergo kann dieser mTan-Schädling sich nur auf dem Telefon einnisten und das auch nur wenn es ein Telefon mit etwas Intelligenz ist. Das grenzt die Möglichkeiten schon einmal ein.
Im weiteren muss man mal ganz klar und deutlich sagen, das wenige in Deuschland überhaupt so viel auf dem Konto haben das so eine Überweisung von 500,- Euro mal eben schnell durchgeht. Ergo wird man da kleinere Beträge nutzen und damit ist ein „abräumen“ des Kontos schon einmal kaum möglich.
Die Banking-App kommt wiederum von der Bank, da sollte in diesem Sinne kein „Hintergrundprogramm“ eben mal einfach „Knöppchen“ drücken können, wenn ja, ist das nicht unser Problem.
Ein viel größeres Zeitfenster ensteht nach meinem Gefühl wenn man so einen Tan-Generator an den Bildschirm hält. Das was dieser Tan-Generator veranstaltet, kann man in aller Ruhe auch mit einem Programm auslesen und entsprechend verarbeiten. Welcher Sache können wir also vertrauen ?
Im Grunde genommen ist es vollkommen egal was passiert. Reagiert die Bank nicht auf diese „Wasserstandsmeldungen des BKA“ gibt es auch für uns keinen Handlungsbedarf. Wir sind im Sinne des Rechtes Nutzer die darauf vertrauen müssen das das uns dargebotene Verfahren sicher ist. 70% der PC und Smartphone-Nutzer sind deutlich keine Experten. Die liegen sozusagen IMMER vollkommen unter Beschuss und müssen darauf vertrauen können das diese Verfahren sicher sind.
Was können wir aber tun um so den Wahrscheinlichkeitsfaktor zu senken das uns so etwas trifft ? Nun Smartphonetechnisch sich lieber für 79 Cent eine App kaufen,als sich das SMARTphone mit irgendwelchen Werbeträgern zupflastern zu lassen. Einen Virenscanner installieren der zumindest behauptet das System im Griff zu haben. Wer denn den Schritt noch gehen will, Banking App und SMS Empfang von einander trennen (günstiges PrepaidHandy). Wer via PC OnlineBanking betreibt sollte evtl.einen sogeannten KeyScrambler einsetzen der die Eingaben zwischen Tastatur und Rechner verschlüsselt, so das Keylogger nur Datenmüll rauslesen können…
Was aber wohl am einfachsten ist, die Bankbuchungen regelmäßig prüfen und bei Buchungen die mit uns nichts zu tun haben sofort an der Hupe ziehen und die Bank über einen möglichen Missbrauch informieren und sich dabei nicht von irgendwelchen inkompetenten Mitarbeitern auf den nächsten Tag vertrösten lassen, wenn dann die Kollegin da ist die die Rufnummer vom zuständigen Mitarbeiter der Bank weiß…
Es ist wie überall im Leben, aufpassen und aufmerksam sein…
Ich würde gerne Bankixx nutzen, doch welches sichere Lesegerät kann man hier nutzen?
„Schützt Ihr Euch auf irgendeine Weise vor solchen Angriffen beim Online-Banking?“
aber klar doch, ich nutze exzessiv den GMV ;-)!
das mit grossem abstand beste tool unter den kostenlosen…
Sascha, Glückwunsch zum Artikel 1984. 😉
Was an der TAN-Liste gefährlich sein sollte, raff ich auch nicht. Ich denke, es wird davon ausgegangen, dass ein Vollpfosten vor dem Rechner sitzt, der bei der Aufforderung, sich auf einen Seite „ichklauedeinetans.com“ mit den Daten seiner Bank „einzuloggen“ und die TANs einmal abzutippen genau das macht.
Das passiert mit mTANs nicht, denn an die TANs kommt man ja nicht dran.
Aber, so, wie mich noch kein Schädlich erwischt hat (jedenfalls nicht, dass ich es gemerkt hätte), so glaube ich auch, dass mich keine App erwischt, die meine mTANs abgreift, meine Überweisung manipuliert und mein Konto leer fegt. Das ist für die Betrüger, die diese Apps schreiben, aber auch gar nicht die Frage: Sie brauchen nur eine hinreichend große Anzahl von Vollidioten, und die gibt es tatsächlich, sowohl für die TAN-Liste, als auch die mTANs.
Smart TAN 🙂
Würde nie im Leben Online Banking auf einem Smartphone oder Tablet machen. Hab ja auch keinen Zettel mit der EC PIN im Portemonnaie.
@Zelda: schau mal auf chipdrive.de vielleicht ist da was dabei
noch ne „kleine“ anmerkung zum thema: ich nutze bei all meinen banken schon sehr lange iTAN… und halte das bei meinem gebrauch fuer extrem sicher.
und wenn ich mal zwei klassische banking-„plattformen“ vergleichen darf: zum einen ein windows-pc mit mehr oder weniger guten security-paket und banking per browser… und zum anderen ein smartphone mit banking app und banking aussschliesslich im mobilfunknetz, dann halte ich variante zwei schon mal fuer um welten sicherer als variante eins. und das auch noch, wenn eins statt dem browser ebenfalls eine banking-software verwendet.
alleine schon deshalb, weil ein windows pc auch ohne das zutun des anwenders verseucht werden kann… und ich wette haus und hof, dass der allergroesste anteil der heim-pcs trotz „antiviren-software“ verseucht ist.
nie im leben wuerde ich heute nochmals mein banking einem windows pc anvertrauen ;-)!
und mit iTAN liste, die daheim im schrank liegt und einem smartphone mit banking app und einem benutzer, der einigermassen weiss, wo moegliche gefahren beim online banking liegen koennen… was soll da, bitte schoen, noch schief gehen?