BKA und Verbraucherschutz warnen vor mTan-Betrügern beim Online-Banking

Das Bundeskriminalamt und Verbraucherschützer warnen vor der Nutzung sogenannter mTans beim Online-Banking. Durch manipulierte Smartphone-Apps können diese ausspioniert werden, so Christian Funk von Kaspersky. Im ersten Quartal 2014 haben sich die Angriffe durch den Trojaner Faketoken versechsfacht. Eine Nummer sicherer geht es noch mit einem Tan-Generator, einem physischem Gerät, das im Zusammenspiel mit der EC-Karte für jede Transaktion einen Schlüssel erstellt. Allerdings ist es auch hier nur eine Frage der Zeit, bis sich Kriminelle damit beschäftigen.

Banking

Laut Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA, haben sich Phisihing-Mails oder auch Phishing-SMS verändert: „Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind.“ Das Tan-Block-Verfahren (Tan-Liste) gilt als die unsicherste Methode.

So richtig schützen kann man sich vor spionierenden Apps auf dem Smartphone sicher nicht. Zu oft rutschen diese durch jegliche Kontrollen und landen auch auf Smartphones von Nutzern, die allgemein als technisch versiert gelten. Wohl aber kann man sich vor dem Klick auf Links in Phishing-Mails schützen, wenn man die Augen offen hält. In der Regel lassen sich solche Links trotzdem erkennen. Aber dass diese Mails immer raffinierter werden, ist deutlich zu sehen.

Schützt Ihr Euch auf irgendeine Weise vor solchen Angriffen beim Online-Banking? Oder vertraut Ihr mehr drauf, dass alles Schlechte eh immer anderen passiert?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. student86 says:

    Generell kann man sich ziemlich gut schützen, indem man sich nie in irgendeinen seiner Accounts über einen Link anmeldet, sondern die jeweiligen Seiten manuell im Browser öffnet. Mache ich jedenfalls so.

  2. Ich nutze ein altes Nokia 6310 als mTan „Empfänger“ – das geht recht prima, da es sonst nichts zu tun hat (Notfallhandy) und der Akku ganz gut hält… 😉

  3. Die Grundregel ist:
    Kein Online-Banking auf der Plattform machen, auf der man die mTANs empfängt.

    Deshalb mache ich grundsätzlich kein Online-Banking auf dem Smartphone. Banking und mTAN müssen auf getrennten Plattformen laufen.

  4. Nutze ein altes Nokia 1200 als mTan Empfänger.

  5. Das würde mich jetzt aber brennend interessieren, warum die TAN-Liste das unsicherste Verfahren ist – also bei Menschen, die intelligent genug sind sie sicher zu verwahren und nicht abzutippen. Wie kann man die ohne Wohnungseinbruch missbrauchen?

  6. Der Aufwand, um ein mit mTAN gesicherten Banking-Account zu übernehmen, ist relativ hoch. Zunächst muss der Account selbst gehackt werden, man braucht also Zugangsnamen und PIN/Passwort. Dann muss ich den Bankkunden dazu bringen, meinen Trojaner, der natürlich genau zum Smartphone passen muss, auf seinem Handy zu installieren. Erst dann kann der Täter mittels TAN-SMS-Umleitung über das Konto verfügen.

    Die meisten Schadensfälle passieren momentan noch per Browser-Manipulation, d.h. dem Kunden wird nach der Anmeldung im Onlinebanking eine gefälschte Seite mit einer Test- oder Rücküberweisung präsentiert, die der Kunde dann selbst ausführt. Die Kontostände werden durch die Schadsoftware manipuliert und der getätigte Umsatz in der Umsatzliste unterdrückt, so dass der Kunde die Manipulation erst später bemerkt.

    Das ChipTAN-Verfahren ist nicht nur „etwas sicherer“. Momentan ist noch keine technische Möglichkeit bekannt, dieses Verfahren zu manipulieren. Wenn etwas passiert, dann durch Browsermanipulation, wie oben beschrieben.

  7. @ralphgl
    Genau diese Frage habe ich mir auch gestellt.

  8. Onlinebanking bzw. alles was mit Geld zu tun hat mache ich auch grundsätzlich nur über den eigenen PC. Alles andere ist mir derzeit auch zu unsicher. Ich installiere zwar auch nur Sachen aus Google Play, aber viele auch seriöse Apps -wie aktuell bei n-tv seit dem letzten Updates- wollen so viele zusätzlichen unnötige Rechte, die man als „Normal“-User nicht blocken kann. Wären solche Apps Programme für den PC würde sie kein Mensch installieren.

    Ansonsten gilt wie der Vorredner schrieb: Gesunden Menschenverstand walten lassen, Augen auf und die echte Banking-Aktivität und alles was mit TANs zu tun hat, physikalisch trennen.

  9. Ich steh‘ wohl ein wenig auf dem Schlauch, jedenfalls sehe ich das Problem nicht…

    Die Banking-App auf meinem Smartphone lässt generell keine mTANs zu, da dann die „2 Faktor Sicherheit“ nicht mehr gewährleistet wäre. Somit schon mal dort kein Risiko.

    Mache ich das Online-Banking an einem seperaten Gerät im Browser (oder App) ist es mir herzlich egal ob die mTAN (die dann auf dem Spartphone per SMS eintrifft) ausspioniert wird.
    -entweder wird sie „abgefangen“ so dass ich die SMS gar nicht erst bekomme. Dann weiß ich dass irgendwas los ist und breche den Vorgang ab. Da die mTAN nur für die im Online-Banking eingegebenen Empfängerdaten gültig ist kann ja eh‘ keiner was damit anfangen.
    -oder sie wird „dupliziert“ so dass der böse Phisher die mTAN zwar hat, ich aber davon nichts weiß. Somit hat er ca. 5 Sekunden Zeit sie zu benutzen, denn so schnell habe ich sie in die Onlinebanking-Maske eingegeben. Selbst wenn er es schafft sie so schnell zu benutzen hat er Pech, denn siehe oben, da die mTAN nur für die im Online-Banking eingegebenen Empfängerdaten gültig ist kann er nichts damit anfangen.

    Wo ist das Problem, bin ich echt zu blöd es zu erkennen? 😉

  10. @Jo: Ich weiß ja nicht bei welcher Bank du bist, aber meine(Volksbank) lässt eine Überweisung vom Handy gar nicht erst zu.

  11. @ralphgl Es gibt da effektive Trojaner: Kunde erfasst Überweisung, drückt auf Senden, der Trojaner macht daraus eine ganz andere Überweisung und sendet die an die Bank. Die Bank sendet zurück „OK, gib mal die TAN mit der Nummer 123 von deiner TAN-Liste ein“. Der Trojaner zeigt dem Kunden seine ursprüngliche Überweisung an und verlangt die TAN mit der Nr. 123 zur Eingabe. Der Kunde gibt diese TAN ein und führt somit die betrügerische Überweisung aus.

  12. also beim Online-Banking vertraue ich auf HBCI und einen Kartenleser mit Tastatur … IMO gibt’s nicht „sichereres“ …

  13. Namenlos, weil Cookies gelöscht... says:

    „Das Tan-Block-Verfahren (Tan-Liste) gilt als die unsicherste Methode.“
    soso….unmodifiziert kann das ja sein, aber nicht bei mir:

    Ich scanne meine Tan-Liste ein.

    Dann OCR.

    Dann ab in ein einfaches Textverarbeitungsprogramm.

    Nun füge ich an zwei (oder für faule nur an einer) Stellen jeder Tan-Nummer zufällige Zahlwerte hinzu.

    Also z.B. bei jeder Tan-Nummer an erster und vierter Stelle.
    So dass aus:
    Nr.1 0123456
    dann
    Nr.1 901283456
    wird.

    Diese Liste speichere ich auf dem selben Smartphone, mit dem ich auch Online-Banking betreibe. Auf dem Selben Phone sind auch *ALLE* meine anderen -für mich- wichtigen Dinge gespeichert. Ebenso „verschlüsselt“

    Wer, ausser mir, kann diesen Code knacken?

    Ich stelle jemanden gerne 10 gültige (von mir modifizierte) Tans zur Verfügung, damit mir bewiesen werden kann, das mein Verfahren „unsicher“ ist.

  14. Stefan Musil says:

    Im Grunde genommen muss man hier erst mal zwischen der Möglichkeit, schuldhaftem Verhalten und“passiert eben mal“ differenzieren.

    Klar ist der sicherste Weg immer noch das Geld im Mondschein vergraben, aber wir wollen ja auch leben…

    Das PIN/TAN Verfahren ist genauso zertifiziert wie die mTan und der Rest dieser Dinge. Es sind ergo Verfahren, die als zertifiziert und sicher gelten. Insofern ist erst einmal alles gut.

    In Deutschland wird das Schuldrecht gepflegt. Hier nützt also die Behauptung der Bank allein „wir waren’s nicht“ also schon einmal gar nix.

    Die TAN-Liste, nun ja, die liegt in der Regel immer irgendwo rum und sicher ist das schon einmal gar nicht.
    mTan, wir glauben immer das der Weg der SMS bis zu unserem Telefon sicher ist, das ist schon einmal nicht so, zumindest gilt dieser Weg im Kontext der Bank laut Zertifikat als „sicher“.

    Kommen wir aber mal zur Praxis. Was nutzen wir ? Wir nutzen Banking Apps, bzw. die App auf der WEBsite unserer Bank. Wenn wir Überweisungen tätigen, ensteht bei der mTan, vom Eintreffen der SMS mit der mTan bis zur Entwertung dieser durch die Ein- und Freigabe, mit Zugeständnissen in etwa ein Zeitfenster von 10 Sekunden. Das macht es schon vom Timing her für einen Angreifer schwierig, denn die Vollbaustellen in Deutschland welche wir „Datenleitung“ nennen verhindern da zeitnahe Reaktionen. Ergo kann dieser mTan-Schädling sich nur auf dem Telefon einnisten und das auch nur wenn es ein Telefon mit etwas Intelligenz ist. Das grenzt die Möglichkeiten schon einmal ein.

    Im weiteren muss man mal ganz klar und deutlich sagen, das wenige in Deuschland überhaupt so viel auf dem Konto haben das so eine Überweisung von 500,- Euro mal eben schnell durchgeht. Ergo wird man da kleinere Beträge nutzen und damit ist ein „abräumen“ des Kontos schon einmal kaum möglich.

    Die Banking-App kommt wiederum von der Bank, da sollte in diesem Sinne kein „Hintergrundprogramm“ eben mal einfach „Knöppchen“ drücken können, wenn ja, ist das nicht unser Problem.

    Ein viel größeres Zeitfenster ensteht nach meinem Gefühl wenn man so einen Tan-Generator an den Bildschirm hält. Das was dieser Tan-Generator veranstaltet, kann man in aller Ruhe auch mit einem Programm auslesen und entsprechend verarbeiten. Welcher Sache können wir also vertrauen ?

    Im Grunde genommen ist es vollkommen egal was passiert. Reagiert die Bank nicht auf diese „Wasserstandsmeldungen des BKA“ gibt es auch für uns keinen Handlungsbedarf. Wir sind im Sinne des Rechtes Nutzer die darauf vertrauen müssen das das uns dargebotene Verfahren sicher ist. 70% der PC und Smartphone-Nutzer sind deutlich keine Experten. Die liegen sozusagen IMMER vollkommen unter Beschuss und müssen darauf vertrauen können das diese Verfahren sicher sind.

    Was können wir aber tun um so den Wahrscheinlichkeitsfaktor zu senken das uns so etwas trifft ? Nun Smartphonetechnisch sich lieber für 79 Cent eine App kaufen,als sich das SMARTphone mit irgendwelchen Werbeträgern zupflastern zu lassen. Einen Virenscanner installieren der zumindest behauptet das System im Griff zu haben. Wer denn den Schritt noch gehen will, Banking App und SMS Empfang von einander trennen (günstiges PrepaidHandy). Wer via PC OnlineBanking betreibt sollte evtl.einen sogeannten KeyScrambler einsetzen der die Eingaben zwischen Tastatur und Rechner verschlüsselt, so das Keylogger nur Datenmüll rauslesen können…

    Was aber wohl am einfachsten ist, die Bankbuchungen regelmäßig prüfen und bei Buchungen die mit uns nichts zu tun haben sofort an der Hupe ziehen und die Bank über einen möglichen Missbrauch informieren und sich dabei nicht von irgendwelchen inkompetenten Mitarbeitern auf den nächsten Tag vertrösten lassen, wenn dann die Kollegin da ist die die Rufnummer vom zuständigen Mitarbeiter der Bank weiß…

    Es ist wie überall im Leben, aufpassen und aufmerksam sein…

  15. Ich würde gerne Bankixx nutzen, doch welches sichere Lesegerät kann man hier nutzen?

  16. „Schützt Ihr Euch auf irgendeine Weise vor solchen Angriffen beim Online-Banking?“

    aber klar doch, ich nutze exzessiv den GMV ;-)!

    das mit grossem abstand beste tool unter den kostenlosen…

  17. Sascha, Glückwunsch zum Artikel 1984. 😉
    Was an der TAN-Liste gefährlich sein sollte, raff ich auch nicht. Ich denke, es wird davon ausgegangen, dass ein Vollpfosten vor dem Rechner sitzt, der bei der Aufforderung, sich auf einen Seite „ichklauedeinetans.com“ mit den Daten seiner Bank „einzuloggen“ und die TANs einmal abzutippen genau das macht.
    Das passiert mit mTANs nicht, denn an die TANs kommt man ja nicht dran.
    Aber, so, wie mich noch kein Schädlich erwischt hat (jedenfalls nicht, dass ich es gemerkt hätte), so glaube ich auch, dass mich keine App erwischt, die meine mTANs abgreift, meine Überweisung manipuliert und mein Konto leer fegt. Das ist für die Betrüger, die diese Apps schreiben, aber auch gar nicht die Frage: Sie brauchen nur eine hinreichend große Anzahl von Vollidioten, und die gibt es tatsächlich, sowohl für die TAN-Liste, als auch die mTANs.

  18. Smart TAN 🙂

    Würde nie im Leben Online Banking auf einem Smartphone oder Tablet machen. Hab ja auch keinen Zettel mit der EC PIN im Portemonnaie.

  19. @Zelda: schau mal auf chipdrive.de vielleicht ist da was dabei

  20. noch ne „kleine“ anmerkung zum thema: ich nutze bei all meinen banken schon sehr lange iTAN… und halte das bei meinem gebrauch fuer extrem sicher.

    und wenn ich mal zwei klassische banking-„plattformen“ vergleichen darf: zum einen ein windows-pc mit mehr oder weniger guten security-paket und banking per browser… und zum anderen ein smartphone mit banking app und banking aussschliesslich im mobilfunknetz, dann halte ich variante zwei schon mal fuer um welten sicherer als variante eins. und das auch noch, wenn eins statt dem browser ebenfalls eine banking-software verwendet.

    alleine schon deshalb, weil ein windows pc auch ohne das zutun des anwenders verseucht werden kann… und ich wette haus und hof, dass der allergroesste anteil der heim-pcs trotz „antiviren-software“ verseucht ist.

    nie im leben wuerde ich heute nochmals mein banking einem windows pc anvertrauen ;-)!

    und mit iTAN liste, die daheim im schrank liegt und einem smartphone mit banking app und einem benutzer, der einigermassen weiss, wo moegliche gefahren beim online banking liegen koennen… was soll da, bitte schoen, noch schief gehen?

  21. besucherpete says:

    Ich bin da ziemlich schmerzfrei, mache Online-Banking schon lange auf mobilen Geräten (Smartphone und Tablet) sowohl unterwegs als auch zu Hause. Ich möchte heut nicht mehr extra den Rechner anwerfen müssen, nur weil mir einfällt, dass ich noch eine Überweisung machen müsste. Und zu allem Überfluss nutze ich mTAN auf dem gleichen Smartphone, auf dem die Banking-App läuft. Dieses Szenario mag für viele der Super-GAU sein, mir aber ist es den Komfortgewinn auf jeden Fall wert und das Risiko m.E. überschaubar. Vielleicht falle ich ja eines Tages damit auf die Nase, aber ich glaube ehrlich gesagt nicht, dass das mal passiert.

  22. wenn jem die bankdaten hat und über dein konto was bestellt oder irgendwo hin überweist…
    das man doch zurück verfolgen oder ?
    hat man den dann nicht die daten des täters ?

  23. @orakel1965. Wenn die Überweisung nach Estland geht, dann viel Spass mit der Tätersuche

  24. Warum ist die TAN-Liste, im Vergleich zu mTAN, unsicher? Ganz einfach: Eine mTAN wird per SMS an ein zweites Gerät gesendet. In der SMS ist neben der TAN auch die Kontonummer des Zielkontos vermerkt, wodurch es für den Angreifer nötig wird beide Geräte/Wege zu manipulieren. Bei der Verwendung von TAN-Listen reicht ein Trojaner, der die Überweisung im Hintergrund manipuliert und somit gibt es keine Möglichkeit zu erkennen, ob die angezeigten Informationen echt sind oder nicht.

    Wer fahrlässig die empfohlenen Sicherheitsvorkehrungen ignoriert, dem hilft natürlich auch das sicherste Online-Banking-Verfahren nicht.

  25. ich fühle mich mit dem iphone sehr gut geschützt gegenüber solchen dingen. weiß jemand etwas zu berichten, dass ich mich lieber nicht so sicher fühlen sollte?

  26. Onlinebanking via StarMoney am PC und Pinpad. SMS Tan auch aber dass ist noch ein alter Knochen und hat mit Smartphone nix zu tun, eher selten in Gebrauch. Ohne Onlinebanking geht es halt geschäftlich nicht mehr. Auf Mails von einer Bank reagiere ich nie. Augen auf beim klicken auf Links gehört auch dazu.

  27. LinuxMcBook says:

    @Alle
    TAN-Listen sind unsicher, weil die TANs per Man-in-the-middle Attacke abgefangen werden können. Dabei ist es dann egal, ob die Liste normalerweise bei euch im Safe liegt oder ob ihr sie auf dem Smartphone mit zwei extra Ziffern speichert.

    @Sascha
    „Eine Nummer sicherer geht es noch mit einem Tan-Generator, einem physischem Gerät, das im Zusammenspiel mit der EC-Karte für jede Transaktion einen Schlüssel erstellt. Allerdings ist es auch hier nur eine Frage der Zeit, bis sich Kriminelle damit beschäftigen.“

    Nein, wüsstest du, wie dieses System funktioniert, dann wüsstest du auch, dass es dafür nicht einmal theoretische Angriffsszenarien gibt. Keine Chance das zu unterwandern.

    Einzig wenn ein Trojaner die Bankseite etwas wie „Aufgrund eines Softwareupdates zeigt ihr TAN-Generator zur Zeit nur die Empfängerkontonummer xyz an und nicht die von Amazon, wie von Ihnen gewünscht. Das macht aber nichts. Vertrauen Sie uns.“

    Wer dann trotzdem überweist, dem darf man gern noch sein restliches Geld wegnehmen.

  28. Vor einigen Wochen lief schon mal ein Beitrag im Fernsehen. Ich habe daraufhin auf das Chiptan verfahren gewechselt.

  29. Noch ein Gedanke:
    mTAN ist u.a. deshalb nicht mehr sicher, weil Fremde den Mobilfunkprovider recherchiert und über diesen eine 2. SIM-Karte besorgt haben. Damit bekommen sie auch die mTANs für selbst erfasste Überweisungsaufträge. Die PIN kommt vom Trojaner auf dem PC oder Smartphone. Dagegen hilft dann auch kein Uralt-Handy, und offenbar hat es schon solche Fälle gegeben.

  30. Fürs Onlinebanking nutze ich einen PC mit fester IP und ohne Standardgateway und ohne DNS Server. Um die Webseite der Bank zu erreichen, habe ich per ROUTE ADD Befehl den einzigen Weg ins Internet auf die IP der Bank gelegt. Das sollte zumindest etwaige Trojaner auf dem PC den Wind aus den Segeln nehmen, der kann ja nicht nach Hause telefonieren.

  31. agesilaos says:

    @Timo
    Ich hab einen Zettel mit diversen Pins im Port­mo­nee.
    Sieht dann aber so aus: http://meine-passwortkarte.de/files/typ1.pdf

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.