Die Polizei Berlin weist in einer Pressemeldung auf Fälle von betrügerischen Geldabbuchungen hin. Betroffen sind Nutzer von Android-Geräten, die das mTAN-Verfahren nutzen. Ursache ist dabei die Angreifbarkeit des mTAN-Verfahrens in Kombination mit fehlerhaftem Nutzerverhalten – sprich: mangelnder Kenntnis des Prinzips dieses Authentisierungsverfahrens. Dies soll kein Vorwurf an die Bankkunden sein – Online-Banking sollte ja nicht allein den Sicherheits- und IT-Experten vorbehalten sein.
Hier sind die Banken mal wieder dazu aufgerufen, ihre Nutzer initial und regelmäßig über die Sicherheitsaspekte bei der Nutzung ihrer Online-Banking-Plattform aufzuklären. Das mTAN-Verfahren ist ein Out-of-Band-Verfahren, d.h. zur Authentisierung und zum Abschluss einer Banktransaktion werden zwei voneinander unabhängige Kanäle (PC und Smartphone) herangezogen. Dieses Vorgehen kann einen recht guten Schutz gegen „Man-in-the-Middle“-Angriffe herstellen. Voraussetzung ist allerdings, dass die beiden Kanäle voneinander unabhängig bleiben und ein Angreifer nicht einen Kanal nutzen kann, um den anderen zu kompromittieren. Die Opfer, deren PC mit einem Trojaner infiziert war, haben dieses Prinzip unterlaufen dem Angreifer über den Kanal „PC“ die Mobilfunknummer und das Endgerätemodell übermittelt. Über eine Phishing-SMS konnte damit auch das Smartphone kompromittiert und die mTAN abgefangen werden.
Weitere Artikel
Kritischer Krypto-Bug in OpenSSL öffnet zwei Drittel des Webs für Eavesdropping
McAfee Labs prognostizieren für 2014 mehr Angriffe durch mobile Ransomware und Security-Aware-Attacken
Whitelisting-Anbieter Bit9 räumt Sicherheitsprobleme in der eigenen Infrastruktur ein
Diese mobilen Schädlinge machten 2012 den Smartphone-Nutzern zu schaffen: SMS-Trojaner, Backdoor-Programme und Spyware