Hacker haben Bankkonten von O2-Kunden ausgeraubt

SicherheitSicherheitsmanagement

Der Angriff wurde in mehreren Schritten vorgetragen. Wenn Opfer auf eine Phishing-Mail hereingefallen waren, spähten die Angreifer deren Mobilfunknummer aus. Dann beantragten sie dafür eine neue SIM und hebelten mit deren Hilfe das mTAN-Verfahren aus.

Hackern ist es erneut gelungen, das lange Zeit als sicher geltende mTAN-Verfahren zu umgehen und so Konten von Nutzer von Online-Banking leerzuräumen. Nachdem von einem ähnlichen Fall bereits 2015 Kunden der Deutschen Telekom betroffen waren, sind nun nach Informationen der Süddeutschen Zeitung Kunden von O2 ins Visier der Kriminellen geraten. Das könnte auch daran liegen, dass die Telekom die Hürden erhöht hatte, indem sie es damals erschwerte, eine neue SIM zu beantragen.

Hacker (Bild: Shutterstock)

Laut SZ sind von der aktuellen Betrugswelle auch Personen in Deutschland betroffen. Inzwischen hat O2 aber wohl Vorkehrungen getroffen, um diese Betrugsmasche zu verhindern. Das Unternehmen erklärte gegenüber dem Blatt: “Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.” Der Provider sei inzwischen gesperrt und die Kunden informiert worden. Die Polizei ermittelt noch.

Ärgerlich ist für die Betroffenen der Vorfall gleich zweifach: Erstens müssen sie sich vorwerfen lassen, auf eine Phishing-Mail hereingefallen und ihre Anmeldedaten für das Bankkonten Unbefugten preisgegeben zu haben. Zweitens nutzten die Angreifer eine schon seit Jahren bekannte und mehrfach öffentlich angeprangerte Schwachstelle in SS7 aus, die von den Telekommunikationsanbietern längst hätte geschlossen werden können. Laut SZ haben die sich nun im April in Berlin getroffen, um darüber zu beraten.

Die Angreifer verschickten zunächst Mails, um deren Empfänger auf sogenannte Phishing-Seiten zu locken, also echten Anmeldeseiten von Banken täuschend echt nachempfundenen Webseiten. Dort fragten sie unter einem Vorwand – oft werden dazu ironischerweise Sicherheitsgründe genannt – Kontonummer, Passwort und Mobilfunknummer ab. Kontonummer und Passwort verwendeten sie dann, um sich erst einmal einen Eindruck von der Vermögenslage zu verschaffen.

Ausgewähltes Webinar

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Erschien ihnen ein Angriff lohnend, beantragten sie für die Mobilfunknummer eine neue SIM-Karte. Um die bei jedem Überweisungsvorgang versandte TAN-Nummer auf diese Telefonnummer umzuleiten, nutzten sie dann die Schwachstelle in SS7 aus. Die Hacker griffen dazu auf das sogenannte Home Location Register (HLR) zu, eine Datenbank, mit der Provider untereinander prüfen können, ob eine SIM-Karte gültig ist.

Auf dem Schwarzmarkt sind Zugänge zu dieser Datenbank, die eigentlich Providern vorbehalten sein sollten, von SZ befragten Experten zufolge schon für rund 1000 Euro erhältlich. Bei welchem Provider der oder die für den aktuellen Angriff genutzten Zugänge korrumpiert wurden und inwieweit der darin verwickelt ist, ist derzeit noch unklar. Klar ist lediglich, dass die Netzbetreiber schon längst hätten dafür sorgen sollen, dass Umleitungen für von ihnen ausgegeben SIM-Karten auch nur so vornehmen können.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen