Online-Banking: Betrüger überlisten mTAN-Authentifizierung
Durch eine Betrugsmasche beim Online-Banking konnten Kriminelle in den vergangenen Wochen über eine Million Euro stehlen. Die Täter machten sich ein Schlupfloch beim mTAN-Verfahren zunutze und hoben in Dutzenden Fällen zumeist höhere fünfstellige Beträge ab. Betroffen sind ausschließlich Nutzer mit Telekom-Mobilverträgen.
Die Authentifizierung via mobiler Transaktionsnummer (mTAN) gilt eigentlich als recht sicher, da mit PC und Mobiltelefon zwei verschiedene und voneinander unabhängige Endgeräte erforderlich sind. Der Nutzer initiiert eine Überweisung am Rechner und bekommt anschließend einen SMS-Sicherheitscode an sein Handy geschickt, den er zum Abschluss der Überweisung wiederum im Online-Portal seiner Bank eingeben muss. Betrüger konnten dieses Verfahren allerdings überlisten, indem sie sich als Angestellte eines Mobilfunk-Shops ausgaben.
Die Kriminellen spionierten zunächst über eine Spähsoftware auf den Rechnern der Betroffenen deren Zugangsdaten für das Online-Banking sowie deren Handynummer aus. Anschließend riefen die Betrüger bei der Deutschen Telekom an und behaupteten, Mitarbeiter eines Handyshops zu sein und den Verlust der SIM-Karte eines Kunden melden zu wollen. Durch die von der Telekom anschließend an die angeblichen Handyshop-Mitarbeiter ausgestellte Ersatz-SIM-Karte konnten die Kriminellen schließlich die mTAN-Codes empfangen und so die Konten der Opfer plündern.
Betroffen sind Kunden diverser Kreditinstitute. Laut Süddeutscher Zeitung sind einem Postbank-Kunden durch die Betrugsmasche über 30.000 Euro gestohlen worden. Ein Postbank-Sprecher kündigte an, die Erstattung des Schadens kurzfristig einzuleiten. Auch andere Banken sollen für geschädigte Kunden die Erstattung eingeleitet haben.
Zwar gab es in den letzten Jahren schon mehrfach Betrügereien bei der mTAN-Authentifizierung; seinerzeit gaben sich die Kriminellen bei Mobilfunkanbietern aber nicht als Mitarbeiter eines Shops aus, sondern als Kunden und baten erfolgreich um eine Ersatz-SIM-Karte. Nach diversen bekannt gewordenen Fällen trafen die Anbieter neue Sicherheitsmaßnahmen und verlangen inzwischen unter anderem die Vorlage eines Personalausweises bei der Übergabe der neuen SIM-Karte.
Die Deutsche Telekom teilte in einer ersten Stellungnahme mit, inzwischen die „Maßnahmen zur Händleridentifikation verschärft“ zu haben. Die neuen Sicherheitsvorkehrungen greifen demnach seit einigen Tagen.
Die jüngste Betrugsserie beschränkt sich nicht nur auf Kunden der Deutschen Telekom. Auch beim Mobilfunkanbieter Telefónica (O2, E-Plus) soll es mindestens einen entsprechenden Fall geben. Zudem berichten Polizeikreise von einer deutlich höheren Schadensumme; diese gehe eher in Richtung zwei Millionen Euro.