BKA und Verbraucherschutz warnen vor mTan-Betrügern beim Online-Banking

Das Bundeskriminalamt und Verbraucherschützer warnen vor der Nutzung sogenannter mTans beim Online-Banking. Durch manipulierte Smartphone-Apps können diese ausspioniert werden, so Christian Funk von Kaspersky. Im ersten Quartal 2014 haben sich die Angriffe durch den Trojaner Faketoken versechsfacht. Eine Nummer sicherer geht es noch mit einem Tan-Generator, einem physischem Gerät, das im Zusammenspiel mit der EC-Karte für jede Transaktion einen Schlüssel erstellt. Allerdings ist es auch hier nur eine Frage der Zeit, bis sich Kriminelle damit beschäftigen.

Banking

Laut Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA, haben sich Phisihing-Mails oder auch Phishing-SMS verändert: „Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind.“ Das Tan-Block-Verfahren (Tan-Liste) gilt als die unsicherste Methode.

So richtig schützen kann man sich vor spionierenden Apps auf dem Smartphone sicher nicht. Zu oft rutschen diese durch jegliche Kontrollen und landen auch auf Smartphones von Nutzern, die allgemein als technisch versiert gelten. Wohl aber kann man sich vor dem Klick auf Links in Phishing-Mails schützen, wenn man die Augen offen hält. In der Regel lassen sich solche Links trotzdem erkennen. Aber dass diese Mails immer raffinierter werden, ist deutlich zu sehen.

Schützt Ihr Euch auf irgendeine Weise vor solchen Angriffen beim Online-Banking? Oder vertraut Ihr mehr drauf, dass alles Schlechte eh immer anderen passiert?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. besucherpete says:

    Ich bin da ziemlich schmerzfrei, mache Online-Banking schon lange auf mobilen Geräten (Smartphone und Tablet) sowohl unterwegs als auch zu Hause. Ich möchte heut nicht mehr extra den Rechner anwerfen müssen, nur weil mir einfällt, dass ich noch eine Überweisung machen müsste. Und zu allem Überfluss nutze ich mTAN auf dem gleichen Smartphone, auf dem die Banking-App läuft. Dieses Szenario mag für viele der Super-GAU sein, mir aber ist es den Komfortgewinn auf jeden Fall wert und das Risiko m.E. überschaubar. Vielleicht falle ich ja eines Tages damit auf die Nase, aber ich glaube ehrlich gesagt nicht, dass das mal passiert.

  2. wenn jem die bankdaten hat und über dein konto was bestellt oder irgendwo hin überweist…
    das man doch zurück verfolgen oder ?
    hat man den dann nicht die daten des täters ?

  3. @orakel1965. Wenn die Überweisung nach Estland geht, dann viel Spass mit der Tätersuche

  4. Warum ist die TAN-Liste, im Vergleich zu mTAN, unsicher? Ganz einfach: Eine mTAN wird per SMS an ein zweites Gerät gesendet. In der SMS ist neben der TAN auch die Kontonummer des Zielkontos vermerkt, wodurch es für den Angreifer nötig wird beide Geräte/Wege zu manipulieren. Bei der Verwendung von TAN-Listen reicht ein Trojaner, der die Überweisung im Hintergrund manipuliert und somit gibt es keine Möglichkeit zu erkennen, ob die angezeigten Informationen echt sind oder nicht.

    Wer fahrlässig die empfohlenen Sicherheitsvorkehrungen ignoriert, dem hilft natürlich auch das sicherste Online-Banking-Verfahren nicht.

  5. ich fühle mich mit dem iphone sehr gut geschützt gegenüber solchen dingen. weiß jemand etwas zu berichten, dass ich mich lieber nicht so sicher fühlen sollte?

  6. Onlinebanking via StarMoney am PC und Pinpad. SMS Tan auch aber dass ist noch ein alter Knochen und hat mit Smartphone nix zu tun, eher selten in Gebrauch. Ohne Onlinebanking geht es halt geschäftlich nicht mehr. Auf Mails von einer Bank reagiere ich nie. Augen auf beim klicken auf Links gehört auch dazu.

  7. LinuxMcBook says:

    @Alle
    TAN-Listen sind unsicher, weil die TANs per Man-in-the-middle Attacke abgefangen werden können. Dabei ist es dann egal, ob die Liste normalerweise bei euch im Safe liegt oder ob ihr sie auf dem Smartphone mit zwei extra Ziffern speichert.

    @Sascha
    „Eine Nummer sicherer geht es noch mit einem Tan-Generator, einem physischem Gerät, das im Zusammenspiel mit der EC-Karte für jede Transaktion einen Schlüssel erstellt. Allerdings ist es auch hier nur eine Frage der Zeit, bis sich Kriminelle damit beschäftigen.“

    Nein, wüsstest du, wie dieses System funktioniert, dann wüsstest du auch, dass es dafür nicht einmal theoretische Angriffsszenarien gibt. Keine Chance das zu unterwandern.

    Einzig wenn ein Trojaner die Bankseite etwas wie „Aufgrund eines Softwareupdates zeigt ihr TAN-Generator zur Zeit nur die Empfängerkontonummer xyz an und nicht die von Amazon, wie von Ihnen gewünscht. Das macht aber nichts. Vertrauen Sie uns.“

    Wer dann trotzdem überweist, dem darf man gern noch sein restliches Geld wegnehmen.

  8. Vor einigen Wochen lief schon mal ein Beitrag im Fernsehen. Ich habe daraufhin auf das Chiptan verfahren gewechselt.

  9. Noch ein Gedanke:
    mTAN ist u.a. deshalb nicht mehr sicher, weil Fremde den Mobilfunkprovider recherchiert und über diesen eine 2. SIM-Karte besorgt haben. Damit bekommen sie auch die mTANs für selbst erfasste Überweisungsaufträge. Die PIN kommt vom Trojaner auf dem PC oder Smartphone. Dagegen hilft dann auch kein Uralt-Handy, und offenbar hat es schon solche Fälle gegeben.

  10. Fürs Onlinebanking nutze ich einen PC mit fester IP und ohne Standardgateway und ohne DNS Server. Um die Webseite der Bank zu erreichen, habe ich per ROUTE ADD Befehl den einzigen Weg ins Internet auf die IP der Bank gelegt. Das sollte zumindest etwaige Trojaner auf dem PC den Wind aus den Segeln nehmen, der kann ja nicht nach Hause telefonieren.

  11. agesilaos says:

    @Timo
    Ich hab einen Zettel mit diversen Pins im Port­mo­nee.
    Sieht dann aber so aus: http://meine-passwortkarte.de/files/typ1.pdf

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.