Von der Berliner Polizei wurde heute bekannt gegeben, dass mehrere Anzeigen von Opfern betrügerischer Geldabbuchungen eingegangen seien, bei denen die Android Phones der Opfer offenbar eine entscheidende Rolle spielten.
So wurden von den Tätern zuerst die PC´s der Anwender mit einem Trojaner infiziert, welcher die Bankverbindung des Opfers ausspäht. Sodann wurde durch diese Malware ein Fenster auf dem PC der Opfer geöffnet, in welchem ein Sicherheitsupdate für das mTAN-Verfahren angekündigt wurde. Aus diesem Grunde wurde nach Handynummer und Modell gefragt, zu welchem dann eine SMS mit einem Link zu dem angeblichen Sicherheitsupdate geschickt wurde. Das vermeintliche Sicherheistupdate installierte eine Schadsoftware auf dem Handy der Opfer, welche fähig ist eingehende SMS Nachrichten abzufangen und zu untersuchen. Durch den Trojaner wurden so alle SMS Nachrichten welche eine mTAN enthielten, vom Bankkunden unbemerkt, an die Rufnummer eines anderen Handy weitergeleitet.
Damit waren die Täter in der Lage, mit den gestohlenen Bankdaten Überweisungen in Auftrag zu geben und diese dann mittels der mTAN, die an das Täterhandy umgeleitet wurden, zu autorisieren. Die betroffenen Konten wurden laut Polizeiauskunf vollständig geleert, auch wurde der Überziehungsrahmen voll ausgenutzt. Eine Rückbuchung der Beträge sei nicht mehr möglich gewesen.
Ob hier der Versicherungsschutz der Banken greift, ist zweifelhaft, da zumindestens beim “Update” der Handysoftware eine gewisse Fahrlässigkeit des Bankkunden angenommen werden darf.
Das Vorgehen passt zu der Zeus Trojaner Familie und seinem Android Abkömmling ZitMo über den wir bereits berichtet haben.
Sicherer noch als ein Nicht-Android Handy für das SMS-Tan Verfahren zu verwenden, wäre es gänzlich auf dieses zu verzichten und eine eventuell vorhandene Bankingsoftware auf HBCI+ umzustellen und einen ChipTAN-Generator zur Absicherung der Überweisungen zu verwenden. Auch mit älteren Handys ist ein Risiko beim SMS-Tan Verfahren gegeben, da die SMS-Übertragung an sich kein sicherer Weg ist und Szenarien vorstellbar sind, in welchen sich ein potentieller Angreifer zwischen Benutzer und Mobilfunkanbieter schaltet um die SMS-Nachrichten abzufangen. Selbstverständlich sollte man auch den heimischen PC absichern. Auf unseren Seiten finden Sie dazu viele Hilfestellungen und Tools.
