Artikelformat

Link: Präventionshinweis für Onlinebanking im mTAN-Verfahren

Präventionshinweis für Onlinebanking im mTAN-Verfahren

In den letzten Wochen sind beim Landeskriminalamt Berlin Strafanzeigen eingegangen, bei denen Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von betrügerischen Geldabbuchungen geworden sind.
In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

Und ich werde regelmäßig als paranoid bezeichnet, weil ich der SMS-TAN nicht traue („Wer soll das denn schon abfangen?“). Augen auf, auch innerhalb des goldenen Käfigs dafür sensibel bleiben und der Empfehlung Schlangenöl zu installieren bloß keine Folge leisten. (via)

7 Kommentare

  1. Kann ich verstehen ich mag das auch nicht. Leider bieten manchen Banken nur noch SMS TAN an. Wer dann mit seinem Smartphone Geldgeschäfte erledigte soll sich ja laut den Sicherheitsbestimmungen nicht auf dieses Telefon die TAN schicken lassen – also zweites Handy halten. Alles sehr praktikabel – schöne neue Welt.

  2. Also tut mir leid Jungs, aber wer heutzutage so blöd ist und beim Onlinebanking „irgendwelche“ Tools/Programme/Apps runterlädt, der hat ein wenig Strafe auch verdient.

    Wie oft hab ich denn schon Emails bekommen in denen steht „Nix installieren, nur trusted sources, blabla und so weiter“. Und so ein „Sicherheitsupdate“ auf dem Smartphone installiert sich ja bestimmt auch nicht silent. Da muss bestimmt der Zugriff der App manuell bestätigt werden.

    Man muss hier also schon unterscheiden zwischen einer Sicherheitslücke und schierer Dummheit. Und mal davon abgesehen: Welches Verfahren soll denn sicherer und dabei ähnlich einfach sein? (Ernsthafte Frage – kenn mich in der Hinsicht nicht aus)

  3. Also ich tätige meine geschäftlichen Bankgeschäfte auch via Smartphone (iOutbank) und Onlinebanking Programm (Outbank) und via SMS TAN verfahren.
    Dieses Abfangen geht denke ich mal dann, wenn man a) so behämmert ist und seine Apps oder Programme aus sourcen runterlädt, welche die Anschaffungskosten minimiert oder nullt – sprich: ilegal. Aber dann brauche ich mich nicht zu wundern, wenn diese App dann schon so gecrackt ist, dass die daten ein Dritter mitbekommt. und b) wenn man sein Smartphone jailbreakt und dann auch noch irgendwelche sachen installiert wovon man null ahnung hat und somit das betriebssystem geöffnet ist – sei es iPhone oder Android.

  4. Verstehe die Möglichkeit, wie da genau betrogen werden kann auch nicht wirklich.
    Und ich glaube, ohne es jemanden zu gönnen, das Problem sitzt wie meist – vor dem Gerät.
    Nutze seit einiger Zeit die mobilen TANs und bin sehr zufrieden.

    Die mobile TAN wird erst in dem Moment versandt, wenn ich bereits alle Überweisungsdaten erfasst habe, ich also nur noch die TAN brauche, um den Vorgang damit abzuschließen.
    Trifft diese dann ein, gebe ich diese auch ein und die Überweisung ist durch und die TAN verbraucht.
    Steht also auch nicht mehr für Betrügereien zur Verfügung.

    Ich wiederhole mich gern: Wie kann bei so einer Vorgehensweise betrogen werden?
    Ist zumindest mir schleierhaft.

    • Laut http://www.berlin.de/polizei/presse-fahndung/archiv/377949/index.html läuft es so:

      Rechner infizieren -> Zugangsdaten zum Onlinebanking abgreifen -> Aufforderung zur Angabe von Handynummer und -modell für Sicherheitsupdate -> SMS mit Link zu diesem Update -> SMS werden ab sofort umgeleitet -> mit den abgegriffenen Zugangsdaten neuen Überweisungsauftrag anlegen -> mit umgeleiteter mTAN bestätigen

      Es bedarf also schon einiger Gutgläubigkeit, aber deshalb ist die Aufforderung oben ja auch: sensibel bleiben, Augen auf.

  5. Jeder Bankkunde erkennt doch schon nach 2-3 Überweisungen wie das Onlinebanking aufgebaut ist. Man weiß wie die Fenster auszusehen haben, welche Eingabefelder auftauchen, wann man die SMS erwartet und den genauen Wortlaut der SMS. Auch in der SMS selber wird nochmal der Betrag und die Kontonummer des Begünstigten genannt. Diese Fenster/Eingabefelder sollten immer gleich aussehen und in der gleichen Reihenfolge auftauchen.

    Selbst meine Eltern – die mit Internet & Co bis vor einigen Jahren nichts am Hut hatten – wissen, dass sie wenn auch nur irgendetwas anders als sonst ist, im Zweifelsfall den PC einfach ausschalten und ich mir beim nächsten Besuch das ganze noch mal anschauen soll.