Polizei Berlin warnt vor Online-Banking-Trojaner
Die Polizei Berlin warnt derzeit vor Online-Banking, so teilt man mit: In den letzten Wochen sind beim Landeskriminalamt Berlin Strafanzeigen eingegangen, bei denen Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von betrügerischen Geldabbuchungen geworden sind. In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen. Dabei handelt es sich anscheinend um den Schädling ZitMo (ZeuS-in-the-Mobile), der Android und BlackBerry-Geräte befallen kann.
Diese App spioniert Kontodaten und PIN aus, zu diesem Zweck versucht der Trojaner den Benutzer zu überzeugen, dass er das Banking-Programm sei, welches ein Sicherheits-Update installieren will. Hat man dieses getan, dann ist Tür und Tor offen: die Angreifer können so Überweisungen von eurem Konto in Auftrag geben und mit der abgefangenen mTAN autorisieren. Also, Augen auf und gegebenenfalls mobile Online-Banking-Benutzer sensibilisieren.
Ich bin mal gespannt wie lange es dauert bis die Kommentare ala „War ja klar das bei einem Androiden sowas passiert“ kommen.
War ja klar, dass bei einem Androiden sowas passiert.
send from my iPhone
…oder die „mit Brain.exe passiert sowas nicht, wie blööööd muss man sein!“-Kommentare.
mit Brain.exe passiert sowas nicht, wie blööööd muss man sein!
(Im Gegensatz zu Brain.apk)
Fies, klar – aber das größte Sicherheitsrisiko sitzt weiter vor dem Bildschirm. Wer sowas installiert, hat selber schuld!
Ja also wie kann man im Jahr 2012 noch so dumm sein?
Aber anders lernen es manche Menschen wohl nicht. Ist wie mit den Kaffeefahrten. Wer sich da noch reinlegen lässt, hats auch so verdient.
Keine Ahnung, warum solche Artikel immer wieder im Blog auftauchen. Naja, wohl zur Belustigung. Oder hat tatsächlich jemand Mitleid mit solchen Opfern?
Erinnert mich an die Geschichte mit dem Typen der in einen Fluss gefahren ist, nur weil sein Navi es ihm sagte.
Nein, kein Mitleid mit solchen Leuten. Im Gegenteil.
„Selber Schuld“, „kein Mitleid“, „wer kann noch so dumm sein“… Ach, ich warte einfach auf den Tag, an dem ihr auch mal auf sowas reinfallt. Und dann lache ich mich kaputt über euch 😀
Schon „Aktivierungskode“ sollte einem doch zu denken geben.
wer installiert sich auch son schwachsinn, sorry…. ?!
gibt es virenscanner, die sowas erkennen? avast, kaspersky?
Wie wär’s mit Avira?
@Martin: +1
Ein Grund keine Smartphones zu benutzen ist meines Erachtens die riesige Grauzone was Schadsoftware angeht. Die Antivirusproggies für Smartphones stecken noch in den Kinderschuhen, die Entwickler von Schadsoftware aber sind bereits sehr versiert und es wird noch ein Riesenfiasko geben wenn die ganzen Botnetbetreiber erstmals bemerken wie lukrativ Schadsoftware auf Mobilen sein kann – Dann wird es Telefonrechnungen, unerlaubte Geldabbuchungen und Spam-SMS geben das es nur so hagelt
Habt ihr euch mal den Text wirklich durchgelesen und verstanden. Es fehlen wichtige Informationen. Das ganze kann ja nur funktionieren, wenn man das Online-Banking auch direkt auf dem Handy macht, oder man seine Kontonummer und Bankleitzahl inklusive PIN im diesem Programm eingibt.
Wenn man wie vorgesehen am Computer Onlinebanking mit SMS TAN und am Handy dann die SMS bekommt ist kaum kein Risiko.
@ Oliver Benduhn:
Ich habe das eher so verstanden, dass man sich zunächst einen Trojaner auf dem PC einfängt, der dann die PIN für das Online-Banking ausspäht. Damit haben die Täter Zugriff auf das Online-Banking, kommen aber noch nicht an die nötigen mTANs.
Deshalb produziert der Trojaner zusätzlich noch ein Popup, das angeblich von der Bank kommt. Für das mTAN-Verfahren sei noch ein Sicherheitsupdate des verwendeten Handys erforderlich. Wenn der arglose User seine Handynummer in das Eingabefeld des Trojaner-Popups eintippt, bekommt er auf das Handy eine SMS mit dem Android-Trojaner. Dieser fängt dann künftig die SMS-Nachrichten mit den mTANs ab und leitet sie direkt an die Betrüger weiter.
Nun haben die Täter freien Zugriff auf das Konto: Die PIN haben sie vom PC ausgespäht. Sie loggen sich beim Online-Banking ein, veranlassen eine Überweisung, die passende mTAN wird vom infizierten Handy aus zu den Betrügern weitergeleitet, ohne dass der User etwas davon mitbekommt. Fertig.
Diese Masche setzt also sogar vorraus, dass man das Online-Banking am PC macht und nicht auf dem Handy.
Keine einzige Bank würde auf die Idee kommen irgendwelche Transaktionen über Smartphones oder WLAN Verbindungen zu tätigen, nur der geneigte User ist so hohl in der Birne und schreit nach so etwas. Solchen Leuten gehört es einfach nicht besser auch Mitleid ist hier fehl am Platze.