Ratgeber

Polizei warnt: Betrug mit mTAN-Verfahren

Die Berliner Polizei warnt vor einer Betrugsmasche im Online-Banking. Die Täter nutzen das SMS-TAN-Verfahren, um die Konten leerzuräumen - und haben damit offenbar in vielen Fällen Erfolg. Der Trick funktioniert allerdings nur, wenn die Kunden mitspielen.

Ein aktueller Virenschutz sollte für alle, die Onlinebanking nutzen, selbstverständlich sein.
Ein aktueller Virenschutz sollte für alle, die Onlinebanking nutzen, selbstverständlich sein.

Die TAN-Liste auf Papier hat beim Online-Banking weitgehend ausgedient. Die meisten Banken setzen auf TAN-Generatoren oder senden die Transaktionsnummer per SMS aufs Kundenhandy. Beide Verfahren galten bislang als sicher. Doch auch das mobile TAN-Verfahren ist anfällig für Betrug. Dann jedenfalls, wenn es die Nutzer den Angreifern leicht machen. Bekannt ist die Masche schon länger, doch derzeit häufen sich beim Landeskriminalamt die Anzeigen von Bankkunden, denen Online-Gangster die Konten leergeräumt haben. Betroffen sind derzeit offenbar nur Besitzer von Android-Geräten.

Ziel des Angriffs ist zunächst aber gar nicht das Telefon, sondern der Computer, der mit einem Trojaner infiziert wird. Das Schadprogramm spioniert die Kontoverbindung und die Zugangs-PIN aus. Diese Daten allein reichen allerdings nicht aus, um eine Überweisung durchzuführen. Das geht nur mit der entsprechenden TAN – und um die zu bekommen, brauchen die Täter Zugang zum Mobiltelefon. Dafür erscheint ein Browserfenster mit der Aufforderung zu einem angeblich dringend notwendigen Sicherheitsupdate für das mTAN-Verfahren. Der Bankkunde soll dafür seine Mobilfunknummer und das Handymodell angeben.

Wenn die Betrüger diese Daten haben, schicken sie eine aktive SMS mit einem Link zum "Sicherheitsupdate" auf das Smartphone. Ein Klick auf "Bestätigen" reicht, um das vermeintliche Update zu starten. In Wirklichkeit installiert sich nun auch auf dem Telefon eine Schadsoftware, die alle ankommenden Kurzmitteilungen filtert. SMS, die eine mTAN enthalten, werden auf das Handy der Täter umgeleitet. Mit PIN und Bankdaten können diese nun Überweisungen zu ihren Gunsten ausführen. 

Das Geld ist weg

Die Kriminellen würden auf diese Weise nicht nur das Guthaben plündern, warnt die Polizei, sondern auch den verfügbaren Überziehungsrahmen strapazieren. Zurückbuchen lässt sich das Geld nicht – das ist bei Überweisungen allenfalls für wenige Stunden möglich, wenn überhaupt. Und auch von der Bank dürfte es keine Rückerstattung geben: Erst im April entschied der Bundesgerichtshof, dass Banken nicht haften müssen, wenn Kunden leichtfertig mit ihren Onlinebanking-Daten umgehen.

Für die Betroffenen sind die Folgen bitter. Grund zur Panik besteht beim Online-Banking aber nicht, solange man grundsätzliche Regeln beachtet. Eine Firewall und ein aktueller Virenschutz sollten selbstverständlich sein, um den Rechner vor Angriffen von außen zu schützen. Und wenn man beim Onlinebanking zu angeblichen Sicherheitsupdates aufgefordert wird oder an ungewöhnlicher Stelle PIN und TANs angeben muss, ist grundsätzlich Skepsis angebracht. Im Zweifel sollte man sich lieber bei der Bank rückversichern.      

Quelle: n-tv.de

Video-Empfehlungen
Empfehlungen