News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

[tobias84]

Durch eine Betrugsmasche beim Online-Banking konnten Kriminelle in den vergangenen Wochen über eine Million Euro stehlen. Die Täter machten sich ein Schlupfloch beim mTAN-Verfahren zunutze und hoben in Dutzenden Fällen zumeist höhere fünfstellige Beträge ab. Betroffen sind ausschließlich Nutzer mit Telekom-Mobilverträgen.

Zur News: Online-Banking: Betrüger überlisten mTAN-Authentifizierung

 

[Mickey Cohen]

1. haben die kein system, mit dem sie überprüfen können, ob es wirklich ein t-mobile shop ist, der da anruft?
2. wurde die angeblich verlorene sim-karte nicht gesperrt, was vermutlich den besitzer dieser zu einer "erneuten" beschwerde veranlasst hätte, was der telekom ja durchaus auffallen hätte können?
3. warum wird die ersatz-sim an den shop geschickt und nicht gleich an den kunden?

 

[M@rsupil@mi]

Sehr merkwürdige Geschichte und so wirklich klingt das auch nicht nach einer Überlistung von mTAN, sondern erschrecken geringen (bis nicht existierenden) Sicherheitsvorkehrungen bei der Beantragungen neuer Sim-Karten.

 

[Reglohln]

Wie kann es sein, dass eine Ersatz-SIM-Karte durch eine wildfremde Person und zudem noch an eine völlig neue Adresse verschickt wird? Selbst, wenn eine verloren gegangene Karte durch einen Dritten gemeldet wird, so wird diese doch dann an die im Vertrag hinterlegte Adresse verschickt und ggf. sogar per PostIdent-Verfahren. Und wieso ist davon nur die Telekom betroffen? Nur T-Mobile hat diesen Betrügern die Karten zukommen lassen und andere Provider haben verantwortungsvoll gehandelt und es nicht getan?

Mir fehlen da echt gerade die Worte.

Ergänzung (21. Oktober 2015)

so wirklich klingt das auch nicht nach einer Überlistung von mTAN

Richtig. Aber es klingt ja so viel gefährlicher und erzeugt Klicks.

 

[Lar337]

Ziemlich unverantwortliches Handeln. Insbesondere da eine fast identische Masche ja bekannt war. Da müsste eigentlich die Telekom für haften und nicht die Bank.

Wobei ich mTAN auch unabhängig davon nicht besonders toll finde.
- viele nutzen Onlinebanking auf dem Smartphone
- selbst bei PC Nutzern wird das Smartphone hin und wieder zur Synchronisation mit dem PC verbunden
---> die Trennung der Geräte ist dahin und man muss doch wieder hoffen keine Schadsoftware zu haben. Und verbreitete Software könnte auch unabhängig auf beide Geräte gelangen.

-SMS sind unverschlüsselt beim Provider. Wobei ich die Gefahr als eher gering einschätze.

 

[Taigabaer]

Keine Ahnung wie das laufen soll erstmal "einfach den Rechner zu hacken". Es geht vielleicht mit einer Fishing-Mail und setzt einen absoluten DAU voraus und das Wissen, welche Bank er überhaupt benutzt.

Eine Trojanersoftware wiederum sollte von jedem aktuellem Antivirenprogramm erkannt werden.

Wenn bei mir wirklich einer trotzdem das Login zu meiner Bank hackt, kann er zwar meine Kontobewegungen sehen, aber es nutzt es ihm 0, da meine Mobilfunknummer nicht komplett angezeigt wird - und um die Nummer eventuell zu ändern braucht es wiederum eine mTan oder beim "echten" Verlust einer Karte einen Anruf bei der Bank, die mir dann per Post einen Freischaltcode postalisch an meine offizielle Adresse schickt. Ich glaube kaum, dass der Betrüger dann an meinem Briefkasten in meinem Hausflur "campt".

Da kann sich wer will jemand als Mobilshop-Betreiber an die Telekom wenden, ohne die komplette Mobilfunknummer nutzt ihm das einfach nichts. Geschweige denn, dass er überhaupt weiss dass meine Handynummer zur Telekom gehört.

Wer Banking UND mTan auf einem Handy ausführt, den müsste man wegen grober Fahrlässigkeit auf seinen Kosten sitzen lassen.

 

[DonMürmel]

Ich habe mich schon zum Frühstück über den SZ Artikel aufgeregt.
Aus meiner Sicht (subjektiv) sieht es nach einem simplen "Man in the middle Angriff" aus.
Der Fehler hier liegt eindeutig bei den roten Rüpeln aus Bonn. Hier werden wild und ungeprüft
SIM Karten in die weite Welt rausgeschickt, vernehmlich an Menschen die sich als T-Com Shop Mitarbeiter
ausgeben.
Ich sehe hier keinen Fehler und keine Sicherheitslücke im mTAN System, oder gar einen Hack oder
Hacker Angriff.
Auch wurde meiner Ansicht nach das mTAN System nicht überlistet oder Angegriffen, das System
hat eine mTAN bekommen die vollkommen legal und richtig erzeugt wurde und auch richtig versand
wurde. Ledigleich die Eingabe der mTAN erfolgte von einem anderen PC, von einer anderen Person, die
die mTAN abgefangen hat.

Die Wahrheitsgetreue Überschrift sollte heißen: T-Mobile: Betrüger ergaunern SIM Karten
Das damit im Endeffekt Online-Banking betrügereien vorgenommen wurden steht zwar im
Zusammenhang, ist aber nicht Kernpunkt.

 

[Amusens]

ähm verstehe ich nicht ??? da haben sich Betrüger als "Mobilfirma" ausgeben und sind ins Haus so gekommen??? Und haben sich an den PC vom "Mobilkunden" gesetzt?? oder habe ich da was übersprungen im Text???

 

[BRM1]

Das hatten wir doch schon mal http://www.zeit.de/digital/datenschutz/2013-10/online-banking-mtan-unsicher.
Die gleiche Vorgehensweise und nichts daraus gelernt.
Wenn ich mir den unteren Beitrag " Experten raten vom mTan- Verfahren ab " durchlese dürfte so etwas gar nicht mehr möglich sein
[h=2][/h][h=2][/h][h=2]
[/h]

 

[mokabo]

ähm verstehe ich nicht ??? da haben sich Betrüger als "Mobilfirma" ausgeben und sind ins Haus so gekommen??? Und haben sich an den PC vom "Mobilkunden" gesetzt?? oder habe ich da was übersprungen im Text???

Schon echt schwierig den Artikel zu lesen und zu verstehen.. Ich kann mich auch erinnern, dass genau dieses Szenario letztes Jahr schon in den Medien war. Unglaublich, wie einfach SIM-Karten gesperrt werden und neue Karten an beliebige Leute verschickt werden.

 

[Tramizu]

1. haben die kein system, mit dem sie überprüfen können, ob es wirklich ein t-mobile shop ist, der da anruft?

Das gibt es. Die Shops müssen eine Kennung nennen. Warum das hier nicht gegriffen hat, keine Ahnung.

 

[Jesterfox]

@mokabo: Jepp, das Thema ist nicht wirklich neu, nur die Masche um an eine 2. Sim zu kommen ist n bissl anders.

 

[WhiteShark]

Schon echt schwierig den Artikel zu lesen und zu verstehen.. Ich kann mich auch erinnern, dass genau dieses Szenario letztes Jahr schon in den Medien war. Unglaublich, wie einfach SIM-Karten gesperrt werden und neue Karten an beliebige Leute verschickt werden.

Das schockt mich jetzt auch. Gerade weil genau dieses Problem letztes Jahr schon in den Medien war, darf das jetzt nicht schon wieder kommen.
Da ist aber nicht mTan schuld, sondern ganz allein die Telekom. Und die sollte auch die volle Haftung übernehmen.

 

[XCPTNL]

Wie bereits von anderen schon erwähnt, kapiere ich nicht weshalb die Karte an einen (angeblichen) Shop gesendet wird und nicht an den Kunden selbst. Und es muss ja ja auch eine Adresse geben, an die die Ersatzkarte verschickt wurde... hier wurde anscheinend auch nichts geprüft? Sehr dubios. Aber hin oder her, am Ende war vor allem der Betroffene selbst mal wieder maßgeblich mit Schuld, denn "Die Kriminellen spionierten zunächst über eine Spähsoftware auf den Rechnern der Betroffenen deren Zugangsdaten für das Online-Banking sowie deren Handynummer aus." Immer wieder das gleiche Lied irgendwie...

 

[z1ckZack]

Leider bieten viel zu wenig Banken andere verfahren an. Da war ja sogar die i-Tan liste sicherer. Jetzt muss ich mich auf den Call Center Mitarbeiter der Mobilfunkanbieter verlassen.
Wobei alle betroffenen ja anscheinend auch über Trojaner/keylogger ausgespäht wurden, ansonsten hätten die Kriminellen wohl nicht die Zugnagsdaten zum Onlinebanking bekommen.

 

[Snooty]

Zwar gab es in den letzten Jahren schon mehrfach Betrügereien bei der mTAN-Authentifizierung; seinerzeit gaben sich die Kriminellen bei Mobilfunkanbietern aber nicht als Mitarbeiter eines Shops aus, sondern als Kunden und baten erfolgreich um eine Ersatz-SIM-Karte.

Na, das ist ja diesmal ein riesengroßer Unterschied zu früher. Kein Wunder, dass diese Masche wieder geklappt hat ...

Echt Wahnsinn, dass hier nicht genauer geprüft wird.

 

[CaptainStor]

Die Telekom schickt einfach so SIM-Karten raus?
Diese Hundehirne ...

 

[WhiteShark]

Da war ja sogar die i-Tan liste sicherer. Jetzt muss ich mich auf den Call Center Mitarbeiter der Mobilfunkanbieter verlassen.

Ne iTan ist wesentlich unsicherer. Gerade weil es sich da um Universal-TANs handelt. Man braucht nur eine TAN über Phishing zu erhalten und kann sich den vollen verfügbaren Betrag überweisen. SMS-Tans sind nur für eine Transaktion gültig und es steht sogar in der SMS der Betrag.
Die Telekom darf halt nicht einfach fremden eine Karte schicken.

 

[CD]

Sehr merkwürdige Geschichte und so wirklich klingt das auch nicht nach einer Überlistung von mTAN, sondern erschrecken geringen (bis nicht existierenden) Sicherheitsvorkehrungen bei der Beantragungen neuer Sim-Karten.

Jup, eigentlich hat das ganze wenig mit mTan zu tun. Viel mehr demonstriert es mal wieder, wie leicht man sich in Systeme "hacken" kann: Einfach bei den Leuten anrufen, sich als XY ausgeben und zack ist man drinne.

Die Telekom hat da natürlich auch keine Lust gross nen Aufwand zu treiben - was die Sicherheit ihrer Kunden angeht interessiert die das genauso viel bzw. wenig wie so gut wie alle anderen Unternehmen. Die Telekom hat einfach das Problem, dass sie gross und damit ein attraktives Ziel für solche Spielereien ist.

Und mal ganz ehrlich, die Authentifizierung "per Telefon" ist überall der reinste Witz - egal wo du anrufst wirst normalerweise maximal nach dem aktuellen Wohnort und ggf. noch dem Geburtsdatum gefragt, beides keine super geheimen Daten die wirklich nur die richtige Person wissen könnte.

 

[hi-tech]

Tja...
Social Engineering bzw. Social Hacking ist jetzt nicht so neu und trotzdem verpassen es große Unternehmen darauf hin ihre Prozesse zu optimieren.
Aber Hacker haben oft auch Insiderwissen und sind nicht dumm. Kein System ist 100% sicher.
Da kann man nur immer hoffen nicht selbst betroffen zu sein.