Hacker-Attacke auf Online-Banking von Telekom-Kunden

Mehr als eine Million Euro erbeuteten Hacker über Online-Banking-Konten. In mehreren Dutzend Fällen gelang es den Angreifern über das mTan-Verfahren der Telekom zumeist hohe fünfstellige Beträge abzubuchen, wie die Süddeutsche Zeitung berichtet.

Mehrere Banken nutzen das System der Telekom mit mobilen Transaktionsnummern, der so genannten mTan. Will ein Kunde einer Bank online über seinen Account eine Überweisung durchführen, schickt das System an das Smartphone des Kunden eine Tan-Nummer, über die die Transaktion freigeschalten werden kann. Weil dabei zwei unterschiedliche Systeme zum Einsatz kommen gilt das Verfahren, das die Telekom seit etwa vier Jahren anbietet, als vergleichsweise sicher. Tatsächlich wurde auch im aktuellen Fall die eigentliche Sicherheitstechnologie nicht ausgehebelt.

Dennoch wurde das System bereits mehrmals, zu erst 2011 und 2014 erfolgreich umgangen. 2014 kam unter anderem auch ein mobiler Trojaner für das Smartphone-Betriebssystem Android zum Einsatz, der die mTans an die Geräte der Betrüger weitergeleitet hatte.

In der aktuellen Angriffswelle scheinen jedoch lediglich Telekom-Kunden betroffen zu sein. Wie eine Telekom-Sprecherin gegenüber der Süddeutschen Zeitung erklärte, installieren die Angreifer zunächst auf dem Rechner der Opfer eine Spionagesoftware.

Auf diesem Weg verschaffen sie sich Zugang zu Konto-Informationen und dem entsprechenden Passwort. Sobald die Angreifer auch die Mobilnummer des Opfers kennen, melden diese bei der Telekom den Verlust des Handys und wollen dann eine Ersatzkarte aktiveren lassen. Allerdings geben sie dabei vor, Mitarbeiter eines Mobilfunk-Ladens zu sein.

Auf diesem Weg leiten die Angreifer dann die mTan, die für eine Online-Überweisung nötig ist, an ihre eigenen Mobilfunknummern weiter und können die illegale Überweisung abschließen.

In einem ersten Schritt habe die Telekom nun die Sicherheitsabfragen für die Identifikation von verifizierten Händlern verschärft.

Dass sich die Angreifer als offizielle Händler ausgeben gibt dieser Betrugswelle eine neue Qualität. Bei den vorgegangenen Kampagnen hatten sich die Hacker unter falschen Namen eine weitere Sim-Karte zukommen lassen. Nachdem aber die Mobilfunkbetreiber nun bei der Vergabe von Ersatzkarten die Vorlage eines Passwortes oder Ausweises verlangen, haben sich die Betrüger einen neuen Weg gesucht. Laut Telekom-Sprecherin soll die Zahl der Betrügereien im mittleren zweistelligen Bereich liegen.

Die Süddeutsche berichtet von einem Betrugsfall eines Postbankkunden. Dabei seien in einem ersten Schritt von einem Konto 30.000 Euro auf das Girokonto des Kunden überwiesen worden. Anschließend wurde diese Summe in neun Tranchen an verschiedene Konten der Hacker überwiesen, um das Limit für Online-Überweisungen zu umgehen. Die Postbank erklärte, dass man den Schaden kurzfristig regulieren werde.

Was wohl gehackt wurde, ist der Rechner des Kunden. Jedenfalls haben sich darüber (oder über Phishing) Kriminelle die nötigen Kundeninformationen für den Betrug besorgt. Das Grundproblem liegt also in der Sicherung des Rechners. Das Verfahren des Online-Bankings wurde dabei nicht gehackt.

[Update: 12:49] In einer aktuellen Stellungnahme der Deutschen Telekom heißt es, dass die Telekom nach Bekanntwerden von Fällen mit mTan-Betrug 2014 umgehend Sicherheitsmaßnahmen umgesetzt und von Anfang an sehr eng mit den Ermittlungsbehörden zusammen gearbeitet habe.

Auch damals sei die Basis des Betrugs gewesen, dass der Rechner der Opfer ausspioniert wurde und die Täter so neben der Bankverbindung und der PIN für das Online-Banking auch Kundengeheimnisse für die Aktivierung einer zusätzlichen SIM-Karte auslesen konnten. Damals habe die Telekom mit verschärften Sicherheitsvorkehrungen auf die Sicherheitsvorfälle reagiert.

“Jetzt haben die Täter ihre Methoden zum Betrug mit mTans weiter verfeinert. Grundlage des Vorgehens sind nach wie vor gehackte Kundenrechner, über die Kundendaten ausspioniert werden. Mit diesen Daten geben die Täter vor, als Händler im Namen ihrer Kunden eine neue Ersatz-SIM-Karte aktivieren zu wollen”, so die Telekom in einer Aussendung.

Es seien umgehend die Maßnahmen zur Händleridentifikation verschärft worden, bestätigt die Telekom.

Dennoch betreffen die ausspionierten Rechner der Opfer auch die Telekom. Daher empfiehlt der Provider, dass Anwender dieser Online-Banking-Technologie, aktuelle Antiviren-Lösungen installieren, keine veraltete Software verwenden und sich über sich über Phishing-Methoden und weitere Angriffsmöglichkeiten informierten sollten. Weitere Informationen liefert die Telekom über: www.sicherdigital.de und www.telekom.com/abuse.

Zudem informiere die Telekom, sofern bekannt, betroffene Nutzer, dass der Rechner mit Schadcode infiziert ist. Im Schnitt versende die Telekom im Schnitt etwa 200.000 solcher Mails und Briefe pro Monat.

Tipp: Interessieren Sie Sich für digitale Geschäftsmodelle? Lesen sie dazu unser Interview mit Lumir Bourenanu, CTO der eurodata tec.