Online-Banking per mTAN: BSI warnt vor neuer Schadsoftware
Online-Banking:
Neue Schadsoftware aufgetaucht
Foto: A.Z. / Falko Matte - Fotolia.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
warnt vor einer neuen Schadsoftware,
die Smartphones angreift, um
mTAN für das Online-Banking auszulesen. Dabei infiziert die Software
zunächst den PC des Nutzers und im Anschluss das für das
Online-Banking genutzte Smartphone.
Kombinierter Angriff auf PC und Smartphone
Der Angriffsweg, teilt das BSI mit, führe zunächst über eine Infektion des PCs mit einer speziellen Schadsoftware. Rufe der Nutzer mit dem infizierten PC dann seine Online-Banking-Webseite auf, würden zusätzliche Felder oder Nachrichten eingeblendet. In der Optik der Webseite der Bank gehalten, forderten diese den Nutzer dazu auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten.
Online-Banking:
Neue Schadsoftware aufgetaucht
Foto: A.Z. / Falko Matte - Fotolia.com
Über den Link, den der Nutzer daraufhin per SMS erhält, lädt er jedoch eine
Schadsoftware auf sein Smartphone, die bei künftigen Online-Transaktionen die
mTAN mitliest. So können Angreifer zum Beispiel Überweisungen manipulieren
und auf fremde Konten umleiten.
Wenn der Trojaner heimlich mitsurft
Bei der Schadsoftware handelt es sich möglicherweise um eine erweiterte Variante des Trojaners OddJob, der nicht die Log-In-Daten des Online-Banking-Kunden abgreift, sondern auf einer bestehenden Session "mitsurft". Dabei bemerkt der Nutzer nicht einmal, dass der Trojaner heimlich aktiv ist. Die Schadsoftware ist so raffiniert, dass sie das Abmelden des Kunden im Online-Banking verhindert und die Session weiter aufrecht erhält. Während der Kunde glaubt, er habe sich erfolgreich ausgeloggt und das Online-Banking verlassen, können die Täter im Banking-Account des Kunden ungestört agieren. Wird nun auch noch eine mTAN vom Smartphone des Nutzers abgefangen, können auch Überweisungen nach Belieben ausgeführt und per mTAN betätigt werden.
BSI warnt vor Zunahme von Angriffen
Solche Angriffe, glaubt das BSI, werden künftig weiter zunehmen. Zum einen versuchten die Angreifer, mit den verbesserten Sicherheitsmechanismen im Online-Banking Schritt zu halten. Zum anderen lasse sich beobachten, dass die Zahl der Angriffe über Smartphones steige - auch weil viele Nutzer den Schutzbedarf mobiler Endgeräte noch unterschätzten: Obwohl heute fast jeder Vierte ein Smartphone oder Handy mit Internetzugang besitze, sei über einem Drittel nicht bekannt, dass ein Smartphone dieselben Sicherheitsvorkehrungen und Schutzmaßnahmen wie ein PC benötige.