https://www.faz.net/-1v0-6z732

Sicherheitslücken : Doppelschlag aufs Online-Konto

  • -Aktualisiert am

Nichts ist mehr sicher: Ein Virus fängt die SMS-Tan ab. Bild: picture-alliance/ dpa

Ein Computervirus macht den von den Banken versprochenen Sicherheitsgewinn durch neue Verfahren für Online-Überweisungen zunichte. In Spanien wurden mit seiner Hilfe schon drei Millionen Euro erbeutet.

          3 Min.

          Banken und Sparkassen stellen in Deutschland auf ein neues Verfahren für Online-Überweisungen um. Statt der bisherigen indizierten Transaktionsnummern auf Papier, mit denen eine Buchung als virtueller Unterschriftenersatz bestätigt werden muss, kann der Bankkunde nun einen eigenen Tan-Generator einsetzen oder sich die Transaktionsnummer als SMS-Nachricht auf sein Handy oder Smartphone schicken lassen.

          Die Kreditinstitute begründen die Umstellung mit einem erheblichen Sicherheitsvorteil. Doch ein neuer Computervirus, der erstmals in Spanien aufgetaucht ist und sich allmählich in ganz Europa verbreitet, macht diesen Sicherheitsgewinn zunichte. Dieser Virus befällt derzeit Smartphones mit einem Android-Betriebssystem und fängt dort die von der Bank dem Kunden geschickten SMS-Tan ab. Die spanischen Sicherheitsbehörden schätzen die bisher entstandenen Schäden auf rund drei Millionen Euro.

          Software für automatisierten Bankraub

          Mit diesem Virus erbeuten die Online-Kriminellen nicht nur Kontonummer und Pin sowie die Gerätekennung und die Teilnehmerkennung des Smartphones von Bankkunden, die ihre Online-Überweisungen nur auf dem Smartphone erledigen, sondern auch von Computeranwendern, die am häuslichen PC sitzen und sich die für eine Überweisung nötige Tan via SMS zuschicken lassen.

          „Der Angriff auf die Bankkunden ist ausgesprochen komplex“, meint Marco Preuss, Chef des Schadsoftwarelabors von Antivirenprogrammhersteller Kaspersky in Deutschland. Die Schadsoftware fordert den Smartphone-Besitzer auf, für eine notwendig gewordene Sicherheitsabfrage seine Kontonummer und aus Sicherheitsgründen natürlich getrennt davon seine Pin einzugeben. Die Schadsoftware überspielt diese Kontendaten auf einen „Dropzone“ genannten Server der Online-Kriminellen.

          Dort ist eine Software installiert, die sich mit der erbeuteten Kontonummer und Pin beim Bankserver anmeldet und eine SMS-Tan bestellt. Der Trojaner auf dem Smartphone fängt die SMS-Tan ab und leitet sie zur Dropzone der Kriminellen um. Die dortige Software für den automatisierten Bankraub tätigt damit eine Überweisung vom Konto des Opfers auf ein kurzfristig angelegtes Konto bei einem Kreditinstitut in demselben Land. Je Überweisung werden meistens 200 Euro bis 300 Euro erbeutet. Um sich vor diesem miesen Trick zu schützen, hilft nur eines: niemals einer angeblichen Sicherheitsabfrage vertrauen und deshalb auf keinen Fall die eigene Kontonummer samt Pin noch einmal eingeben.

          Auch eine verschlüsselte Verbindung kann ausfindig gemacht werden

          Wer seine Online-Überweisungen zu Hause am PC erledigt und sich lediglich die Transaktionsnummer als SMS zustellen lässt, galt bisher als nicht gefährdet. Doch das Anwendungspaket für den automatischen Bankraub greift auch hier an. Das ist zwar bisher erst in nur wenigen dokumentierten Fällen passiert. Doch die nehmen seit März 2012 erheblich zu.

          Die vom Trojaner auf dem Smartphone erbeuteten Daten verwenden die Kriminellen, um die Datenverbindung des Kunden zu seiner Bank zu identifizieren. Über eine Funkzellenabfrage ermittelt die Raubsoftware auf dem Server der organisierten Kriminalität den Standort des Bankkunden, der sich eine SMS-Tan auf sein Smartphone hat schicken lassen. Danach startet die Software eine Art Geolokalisationsdienst, um Internetknotenrechner in der Umgebung des ermittelten Smartphone-Standorts zu identifizieren.

          Mit einer Deep Packet Inspection genannten Auswertmethode werden die über die verschiedenen ermittelten Knotenrechner transportierten Datenpäckchen auf die Internetprotokolladresse der Bank untersucht, von der auch die mitgelesene SMS-Tan stammt. Auf diese Weise kann mit erheblichem Rechenaufwand auch eine verschlüsselte Verbindung vom Anwender-PC zum Server von dessen Bank ausfindig gemacht werden.

          Täuschend echt nachgemachte Websites

          Ist diese Datenverbindung zur Bank identifiziert, werden die Datenpäckchen abgegriffen und über den Server der Kriminellen umgeleitet. Dem Bankkunden am PC wird vorgegaukelt, es habe eine Verbindungsstörung gegeben. Deshalb sei seine Online-Sitzung beendet und die zuletzt vorgenommene Transaktion noch nicht ausgeführt worden. Die Kriminellen greifen mittlerweile auf täuschend echt nachgemachte Websites der betroffenen Kreditinstitute zurück und können dem Bankkunden so weismachen, sein Browser halte immer noch eine Verbindung zum Bankserver aufrecht.

          Gibt der Bankkunde aufforderungsgemäß noch einmal seine Kontonummer und Pin ein, bestätigt die Dropzone-Software ihm die Eingabe, gibt sie an den Bankserver weiter und fordert anschließend eine SMS-Tan an, die sie abfängt und damit Geld auf ein „Sonderkonto“ der Gauner überweist. Auch dieser üblen Masche können Bankkunden entgehen. Sie sollten immer, wenn eine Verbindungsstörung gemeldet wurde, die Browser-Sitzung beenden und eine völlig neue Verbindung zum Bankserver aufbauen. Das aber machen bisher die wenigsten Online-Anwender und gehen damit ein hohes Risiko ein, dass ihr Konto leergeräumt wird.

          Topmeldungen

          Donald Trump gab bekannt, den G-7-Gipfel doch nicht im familieneigenen Hotel in Miami auszurichten.

          Twitter : G7-Gipfel im nächsten Jahr doch nicht in Trump-Hotel

          Dies gab Donald Trump auf seinem Twitter-Account bekannt. Der Präsident der Vereinigten Staaten musste zuvor heftige Kritik für seine Entscheidung einstecken, den G-7-Gipfel in seinem Hotel in Miami ausrichten zu wollen.

          „Super Saturday“ : Britische Regierung beantragt Brexit-Verschiebung

          Das britische Parlament hat eine Entscheidung über den Brexit-Deal verschoben. Premierminister Boris Johnson kündigt an, er werde „weiterhin alles tun, damit wir am 31. Oktober die EU verlassen.“ Trotzdem muss er Brüssel um einen Aufschub bitten.