Sicherheitsrisiko bei mTAN-Verfahren

Hackerangriff auf Konten: O2-Kunden betroffen

Hacker haben Geld von fremden Konten erbeutet, indem sie eine Sicherheitslücke im Mobilfunk-Netzwerk ausnutzen. Über Phishing-Mails haben sie die notwendigen Daten gesammelt.

Kreditkarten-Phishing

© weerapat1003 / Fotolia.com

Hacker nutzen Phishing-Mails um an Bankdaten zu gelangen.

Durch eine Sicherheitslücke im Mobilfunknetz ist es Hackern gelungen, Geld von fremden Konten abzuzweigen. Das Besondere dabei: Die Schwachstelle, die von den Cyber-Kriminellen ausgenutzt wurde, ist bereits seit dem Jahr 2014 bekannt. Der Hackerangriff erfolgte laut der Süddeutschen Zeitung (SZ) in zwei Schritten. Die Hacker müssen zunächst an die persönlichen Daten ihrer Opfer gelangen. Dazu gehören Banküberweisungsdaten wie die Kontonummer, das dazugehörige Passwort fürs Online-Banking sowie die Handynummer. Die Hacker beschafften sich diese Informationen über Phishing-Mails. Gefälschte Mails sollten den Anschein erwecken, der Absender sei die eigene Bank. Wer darauf hereinfällt, gibt im schlimmsten Fall seine Bankdaten preis.

Über eine Schwachstelle im Signalling System Nummer 7 des Mobilfunknetzes konnten die Angreifer dann die Kontrolle über ein fremdes Smartphone erwirken. Über das Signalling System tauschen sich Mobilfunkanbieter weltweit aus und ermöglichen beispielsweise das Telefonieren im Ausland oder den problemlosen Wechsel von einer Funkzelle zur nächsten. Der Zugriff über die Lücke in SS7 geschieht meist nachts. Die Opfer bekommen dann nicht mit, dass ihr Smartphone in einem fremden Mobilfunknetz eingewählt ist. Die Hacker tätigen mit den gestohlenen Daten Online-Überweisungen vom Konto des Opfers. Die mobile TAN, die dafür eigentlich an das eigene Handy gehen sollte, wird dabei über die SS7-Lücke auf eine andere Nummer umgeleitet.

Lesetipp: Schadsoftware im Play Store: Zwei Millionen User betroffen

Sicherheitslücke schon seit 2014 bekannt

Diese Schwachstelle in SS7 ist schon seit dem Jahr 2014 bekannt, doch offenbar nahmen weder Mobilfunkanbieter noch andere Industrie-Größen die Lücke besonders ernst. Karsten Nohl, Sicherheitsforscher bei Security Research Labs gehörte zu denjenigen, die auf die Sicherheitslücke aufmerksam machten.​ Es sei enttäuschend, dass es so viele Jahre gedauert habe und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde, wird er von der SZ zitiert.

Das Online-Banking via mobilTAN wurde ursprünglich als sicher eingestuft, da die Transaktionsnummern auf das eigene Handy gelangen und schon nach kurzer Zeit wieder verfallen. Doch mittlerweile empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) den Gebrauch von TAN-Generatoren. Das mobile TAN-System auf dem Smartphone kann durch Schadsoftware unsicher werden, die sich in Links oder Anhängen von Nachrichten verbirgt.

O2-Kunden betroffen

​Umleitungen der Rufnummer auf ein anderes Mobilfunkgerät waren bis vor kurzem auch in Deutschland beim Anbieter O2 möglich. Die SZ berichtet, O2-Telefónica habe auf Anfrage bestätigt, dass es kriminelle Angriffe aus dem Netz eines ausländischen Anbieters gegeben habe. Mitte Januar habe dies dazu geführt, dass eingehende SMS für Rufnummern in Deutschland unbefugt umgeleitet wurden. Der entsprechende Anbieter sei gesperrt und die Kunden informiert worden. Auch die Polizei ermittele. Mittlerweile seien Kunden in Deutschland vor solchen Angriffen geschützt, berichtet die Süddeutsche Zeitung.

Mehr zum Thema

Smartphone Sicherheit
OTA-Sicherheitslücke

Millionen Android- und iOS-Geräte, die mit einem WLAN-Chip von Broadcom ausgestattet sind, könnten leicht Opfer von Hacker-Angriffen im WLAN werden.
WannaCry Ransomware
WannaCry-Angriff

Nach einem WannaCry-Angriff auf die Muttergesellschaft Telefónica schaltete o2 sein DSL-Kundenservice-System ab. Was bedeutet das für die Kunden?
Display Bildschirm Reparatur
Warnung von Sicherheitsforschern

Sicherheitsforscher zeigen, wie leicht Malware durch Ersatzteile aufs Smartphone gelangen kann. Sicherheitsvorkehrungen gibt es bisher kaum.
iPhone Hack
Youtube-Video

Ein Youtube-Kanal hat ein Video ins Netz gestellt, auf dem mit Hilfe einer kleinen Box ein iPhone 7 und ein iPhone 7 Plus entsperrt werden.
Google Play Store Logo
Nach über 100 Millionen Downloads

Google entfernt über 500 Android-Apps aus dem Play Store, weil diese Nutzer ausspionieren. Die Spyware versteckt sich im Werbe-SDK Igexin.
Alle Testberichte
Samsung Galaxy Note 8 Front
Alles zu Preis, Verkaufsstart und Features
Das Samsung Galaxy Note 8 ist ein Smartphone der Superlative. Hier unser erster Test und alle Infos zu Preis, Verkaufsstart und Features.
Festnetztest Ewe Logo
connect Festnetztest 2017
Trotz Schwächen vor allem in der Sprachkategorie schneidet der Regionalanbieter EWE im Festnetztest 2017 gut ab. Lesen Sie hier das Testurteil.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.