Hackern ist es gelungen, das mTAN-Verfahren zu überlisten und SMS mit den Transaktionsnummern an ihre eigenen Geräte umzuleiten. So konnten sie die Konten von Online-Banking-Kunden plündern. O2-Telefónica bestätigte gegenüber der Süddeutschen Zeitung, dass auch deutsche Kunden betroffen seien.
Um den Hack durchzuführen, brauchten die Betrüger Zugangsdaten für das Online-Banking und Mobilfunknummern der Opfer. Es ist denkbar, dass dies mit Hilfe von Phishing-Mails und -Websites oder Trojanern geschehen ist. Anschließend verschafften sie sich Zugang zum SS7-Netzwerk, über das Provider die Vermittlung von Gesprächen und SMS regeln. Dadurch konnten sie die SMS umleiten, eine Überweisung tätigen und mit der abgefangenen mTAN bestätigen.
Laut Tobias Urban, Projektleiter „Betrugsschutz beim Online-Banking“ am if(is), war das mTAN-Verfahren schon häufiger Ziel von Angriffen. Er empfiehlt daher das ChipTAN-Verfahren, bei dem der Kunde die TAN-Nummern selbst mit Hilfe einer Chipkarte und eines Lesegeräts generiert. Im aktuellen Video von Cyberschutzraum erklärt Urban zudem, wie es zu dem Hack kommen konnte, ob Kunden ihr Geld zurückbekommen und wie man sich gegen solche Angriffe schützen kann.
Das Service-Video von Cyberschutzraum finden Sie hier: https://youtu.be/zOxDRkt5AdI
Mehr Informationen zum Projekt Betrugsschutz beim Online-Banking finden Sie hier: https://www.internet-sicherheit.de/forschung/zahlungssysteme-und-banktransaktionen/forschungsprojekt-betrugsschutz-beim-online-banking.html
