Online-Banking Neue Schadprogramme greifen sich mobile TAN

Eigentlich galt es als sicher, die Transaktionsnummer für Online-Überweisungen per SMS auf das Handy zu erhalten. Doch Smartphones entpuppen sich als angreifbar.

Transaktionsnummern (TANs) fürs Online-Banking nicht im Dutzend auf einen Zettel gedruckt, sondern bei Bedarf einzeln per SMS aufs Handy geschickt: Dieses Verfahren ist nicht nur praktisch, es sollte Online-Banking auch sicherer machen.

Die sieben Computer-Todsünden

mehr...

Doch auch wer mit seinem Smartphone das sogenannte mTAN-Verfahren nutzt, muss vor Angriffen auf der Hut sein: "Nutzer sind es mittlerweile gewohnt, auf ihren Handys Apps und andere Programme zu installieren", erklärt Jens Liebchen von der IT-Sicherheitsfirma RedTeam Pentesting in Aachen. Dieses Verhalten werde von Angreifern ausgenutzt.

Die Kriminellen geben sich dabei oft als die Bank des Nutzers aus, erklärt Liebchen: "Der Nutzer wird zum Beispiel zur Installation neuer Anwendungen aufgefordert." Diese als Apps getarnte Schadsoftware greift dann zum Beispiel mTANs ab.

Misstrauen sei vor allem dann angebracht, wenn Programme direkt und nicht über den jeweiligen App-Store des Betriebssystems installiert werden sollen. Hundertprozentige Sicherheit gebe es aber auch auf den offiziellen App-Seiten nicht: "Hier angebotene Programme können unter Umständen ebenfalls kompromittiert sein", sagt Liebchen.

So haben Kriminelle bereits beliebte Apps kopiert, mit Schadcode modifiziert und unter einem ähnlichen Namen wie das Original zum Download bereitgestellt. Aktuell ist zum Beispiel ein Android-Schädling mit der Bezeichnung "Mitmo" im Umlauf. Er installiert sich, wenn der Nutzer auf einen Link in einer SMS klickt, und leitet eintreffende SMS mit TAN-Nummern weiter.

Falsches Zertifikat

Etwas anders funktioniert der Banking-Trojaner "Spy-Eye", der es derzeit auf Smartphones mit dem Betriebssystem Symbian abgesehen hat. Sein Angriff beginnt auf dem PC: Die Drahtzieher präparieren eine Online-Banking-Seite so, dass der Nutzer aufgefordert wird, seine Handy-Seriennummer (IMEI) und Mobilfunknummer einzutippen.

Anschließend erscheint auf dem Smartphone die Aufforderung zur Installation eines Zertifikats. Das sorgt aber mitnichten für zusätzliche Sicherheit, sondern greift ebenfalls mTAN-Nummern ab.