Sicherheitsrisiko bei mTAN-Verfahren

Hackerangriff auf Konten: O2-Kunden betroffen

Hacker haben Geld von fremden Konten erbeutet, indem sie eine Sicherheitslücke im Mobilfunk-Netzwerk ausnutzen. Über Phishing-Mails haben sie die notwendigen Daten gesammelt.

Kreditkarten-Phishing

© weerapat1003 / Fotolia.com

Hacker nutzen Phishing-Mails um an Bankdaten zu gelangen.

Durch eine Sicherheitslücke im Mobilfunknetz ist es Hackern gelungen, Geld von fremden Konten abzuzweigen. Das Besondere dabei: Die Schwachstelle, die von den Cyber-Kriminellen ausgenutzt wurde, ist bereits seit dem Jahr 2014 bekannt. Der Hackerangriff erfolgte laut der Süddeutschen Zeitung (SZ) in zwei Schritten. Die Hacker müssen zunächst an die persönlichen Daten ihrer Opfer gelangen. Dazu gehören Banküberweisungsdaten wie die Kontonummer, das dazugehörige Passwort fürs Online-Banking sowie die Handynummer. Die Hacker beschafften sich diese Informationen über Phishing-Mails. Gefälschte Mails sollten den Anschein erwecken, der Absender sei die eigene Bank. Wer darauf hereinfällt, gibt im schlimmsten Fall seine Bankdaten preis.

Über eine Schwachstelle im Signalling System Nummer 7 des Mobilfunknetzes konnten die Angreifer dann die Kontrolle über ein fremdes Smartphone erwirken. Über das Signalling System tauschen sich Mobilfunkanbieter weltweit aus und ermöglichen beispielsweise das Telefonieren im Ausland oder den problemlosen Wechsel von einer Funkzelle zur nächsten. Der Zugriff über die Lücke in SS7 geschieht meist nachts. Die Opfer bekommen dann nicht mit, dass ihr Smartphone in einem fremden Mobilfunknetz eingewählt ist. Die Hacker tätigen mit den gestohlenen Daten Online-Überweisungen vom Konto des Opfers. Die mobile TAN, die dafür eigentlich an das eigene Handy gehen sollte, wird dabei über die SS7-Lücke auf eine andere Nummer umgeleitet.

Lesetipp: Schadsoftware im Play Store: Zwei Millionen User betroffen

Sicherheitslücke schon seit 2014 bekannt

Diese Schwachstelle in SS7 ist schon seit dem Jahr 2014 bekannt, doch offenbar nahmen weder Mobilfunkanbieter noch andere Industrie-Größen die Lücke besonders ernst. Karsten Nohl, Sicherheitsforscher bei Security Research Labs gehörte zu denjenigen, die auf die Sicherheitslücke aufmerksam machten.​ Es sei enttäuschend, dass es so viele Jahre gedauert habe und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde, wird er von der SZ zitiert.

Das Online-Banking via mobilTAN wurde ursprünglich als sicher eingestuft, da die Transaktionsnummern auf das eigene Handy gelangen und schon nach kurzer Zeit wieder verfallen. Doch mittlerweile empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) den Gebrauch von TAN-Generatoren. Das mobile TAN-System auf dem Smartphone kann durch Schadsoftware unsicher werden, die sich in Links oder Anhängen von Nachrichten verbirgt.

O2-Kunden betroffen

​Umleitungen der Rufnummer auf ein anderes Mobilfunkgerät waren bis vor kurzem auch in Deutschland beim Anbieter O2 möglich. Die SZ berichtet, O2-Telefónica habe auf Anfrage bestätigt, dass es kriminelle Angriffe aus dem Netz eines ausländischen Anbieters gegeben habe. Mitte Januar habe dies dazu geführt, dass eingehende SMS für Rufnummern in Deutschland unbefugt umgeleitet wurden. Der entsprechende Anbieter sei gesperrt und die Kunden informiert worden. Auch die Polizei ermittele. Mittlerweile seien Kunden in Deutschland vor solchen Angriffen geschützt, berichtet die Süddeutsche Zeitung.

Mehr zum Thema

iPhone Hack
Youtube-Video

Ein Youtube-Kanal hat ein Video ins Netz gestellt, auf dem mit Hilfe einer kleinen Box ein iPhone 7 und ein iPhone 7 Plus entsperrt werden.
Google Play Store Logo
Nach über 100 Millionen Downloads

Google entfernt über 500 Android-Apps aus dem Play Store, weil diese Nutzer ausspionieren. Die Spyware versteckt sich im Werbe-SDK Igexin.
Whatsapp - Warnung vor Abofallen
Fake-App im Android Play Store

Eine gefälschte Version der Messenger-App WhatsApp wurde im offiziellen App-Store von Google angeboten und millionenfach auf Smartphones geladen.
iPhone X: Hacker überlisten Face ID mit Maske
Gesichtserkennung unsicher?

Wie sicher ist Apples Face ID? Experten einer Sicherheitsfirma behaupten, sie konnten die Gesichtserkennung des iPhone X mit einer Maske überlisten.
WhatsApp
Phishing-Attacke

"Ihr WhatsApp Messenger Konto ist abgelaufen", heißt es in einer E-Mail, die zur Zeit die Runde macht. Dahinter steckt ein Phishing-Angriff.
Alle Testberichte
Samsung Galaxy Note 8
Samsung-Smartphone mit Dual-Kamera
87,6%
Das Samsung Galaxy Note 8 ist ein Smartphone der Superlative mit Riesen-Display und beeindruckender Leistung. Wir haben…
Festnetztest Ewe Logo
connect Festnetztest 2017
Trotz Schwächen vor allem in der Sprachkategorie schneidet der Regionalanbieter EWE im Festnetztest 2017 gut ab. Lesen Sie hier das Testurteil.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.