Ratgeber

Auch mTAN kann unsicher sein: Tatanga räumt Konten ab

Das mobile TAN-Verfahren gilt als sehr sicher. Doch wenn der Rechner nicht ausreichend geschützt ist, hilft es auch nichts, wenn die TAN per SMS aufs Handy kommt. Das zeigt der Trojaner Tatanga, der es auf die Konten deutscher Online-Banking-Kunden abgesehen hat.

Das mobile TAN-Verfahren gilt bislang als sicher, weil zwei voneinader unabhängige Geräte involviert sind.
Das mobile TAN-Verfahren gilt bislang als sicher, weil zwei voneinader unabhängige Geräte involviert sind.(Foto: picture-alliance/ dpa)

Tatanga kennen Nintendo-Freunde vielleicht noch aus dem Super Mario Land. Im legendären Computerspiel entführt der lilafarbene Außerirdische eine Prinzessin, um sie zu heiraten und Herrscher über das von ihr regierte Sarasaland zu werden. Jetzt ist Tatanga zurück. Diesmal aber nicht, um Königreiche an sich zu reißen, sondern Bankkonten: Cyber-Kriminelle versuchen mit der gleichnamigen Schadsoftware, mobile TAN-Nummern beim Online-Banking auszuspionieren.

Tatanga hätte es auf die Konten deutscher Bankkunden abgesehen, meldet der Sicherheitsdienst Trusteer, der den Trojaner kürzlich entdeckt hat. Der Angriff läuft über die "Man-in-the-Browser"-Methode. Ist der Trojaner erstmal auf dem Rechner, wird er aktiv, sobald der Kunde die Seite seiner Bank aufruft. Es erscheint dann eine Meldung, dass die Bank einen Sicherheitscheck auf dem Computer ausführe und überprüfe, ob der Nutzer eine Transaktionsnummer (TAN) auf seinem Handy empfangen könne.

Überweisung nach Kontostand

Während die mTAN per SMS aufs Handy des Kunden kommt, initiiert Tatanga im Hintergrund eine Überweisung – natürlich ohne dass der Nutzer davon etwas mitbekommt. Dabei prüft der Trojaner sogar den Kontostand des Opfers und wählt bei mehreren Konten dasjenige aus, bei dem am meisten zu holen ist. Folgt der Kunde den Instruktionen auf der gefälschten Bankenseite und gibt die TAN in das eingeblendete Formular ein, legitimiert er damit die Transaktion auf das Konto der Betrüger.

Die SMS der Bank enthält zwar den Betrag sowie das Zielkonto der Überweisung, dies habe aber nichts zu bedeuten, heißt es auf der manipulierten Bankenwebsite: Es handele sich lediglich um "Testdaten" für die Sicherheitsüberprüfung und es werde kein Geld vom Konto abgebucht.

Schlechtes Deutsch enttarnt

Wer sich den Text genau durchliest, wird schnell merken, dass nicht alles mit rechten Dingen zugeht: Die eingeschleuste Seite ist gespickt mit Grammatik- und Rechtschreibfehlern. "Sehr geehrter Nutzer von Online-Banking um die Sicherheit zu verbessern, unsere Bank prüft die Aktivierung der Rufnummern fur smsTAN aufgefuhrt", heißt es etwa in dem offensichtlich maschinell ins Deutsche übertragenen Text.

Doch an der Übersetzung können die Kriminellen noch feilen. Und technisch sei der Trojaner schon jetzt äußerst raffiniert und vielschichtig, warnen die Experten von Trusteer. Das zeige sich unter anderem daran, dass Tatanga nach dem Diebstahl sämtliche Spuren des Betrugs verschleiert. Mit etwas gesundem Menschenverstand lassen sich aber auch ausgefeilte Attacken abwehren: Keine Bank fragt ihre Nutzer nach TANs für Sicherheitsüberprüfungen oder um Zugriff auf das Konto zu erhalten.  

Quelle: n-tv.de

Empfehlungen