Sicherheitsrisiko bei mTAN-Verfahren

Hackerangriff auf Konten: O2-Kunden betroffen

Hacker haben Geld von fremden Konten erbeutet, indem sie eine Sicherheitslücke im Mobilfunk-Netzwerk ausnutzen. Über Phishing-Mails haben sie die notwendigen Daten gesammelt.

Kreditkarten-Phishing

© weerapat1003 / Fotolia.com

Hacker nutzen Phishing-Mails um an Bankdaten zu gelangen.

Durch eine Sicherheitslücke im Mobilfunknetz ist es Hackern gelungen, Geld von fremden Konten abzuzweigen. Das Besondere dabei: Die Schwachstelle, die von den Cyber-Kriminellen ausgenutzt wurde, ist bereits seit dem Jahr 2014 bekannt. Der Hackerangriff erfolgte laut der Süddeutschen Zeitung (SZ) in zwei Schritten. Die Hacker müssen zunächst an die persönlichen Daten ihrer Opfer gelangen. Dazu gehören Banküberweisungsdaten wie die Kontonummer, das dazugehörige Passwort fürs Online-Banking sowie die Handynummer. Die Hacker beschafften sich diese Informationen über Phishing-Mails. Gefälschte Mails sollten den Anschein erwecken, der Absender sei die eigene Bank. Wer darauf hereinfällt, gibt im schlimmsten Fall seine Bankdaten preis.

Über eine Schwachstelle im Signalling System Nummer 7 des Mobilfunknetzes konnten die Angreifer dann die Kontrolle über ein fremdes Smartphone erwirken. Über das Signalling System tauschen sich Mobilfunkanbieter weltweit aus und ermöglichen beispielsweise das Telefonieren im Ausland oder den problemlosen Wechsel von einer Funkzelle zur nächsten. Der Zugriff über die Lücke in SS7 geschieht meist nachts. Die Opfer bekommen dann nicht mit, dass ihr Smartphone in einem fremden Mobilfunknetz eingewählt ist. Die Hacker tätigen mit den gestohlenen Daten Online-Überweisungen vom Konto des Opfers. Die mobile TAN, die dafür eigentlich an das eigene Handy gehen sollte, wird dabei über die SS7-Lücke auf eine andere Nummer umgeleitet.

Lesetipp: Schadsoftware im Play Store: Zwei Millionen User betroffen

Sicherheitslücke schon seit 2014 bekannt

Diese Schwachstelle in SS7 ist schon seit dem Jahr 2014 bekannt, doch offenbar nahmen weder Mobilfunkanbieter noch andere Industrie-Größen die Lücke besonders ernst. Karsten Nohl, Sicherheitsforscher bei Security Research Labs gehörte zu denjenigen, die auf die Sicherheitslücke aufmerksam machten.​ Es sei enttäuschend, dass es so viele Jahre gedauert habe und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde, wird er von der SZ zitiert.

Das Online-Banking via mobilTAN wurde ursprünglich als sicher eingestuft, da die Transaktionsnummern auf das eigene Handy gelangen und schon nach kurzer Zeit wieder verfallen. Doch mittlerweile empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) den Gebrauch von TAN-Generatoren. Das mobile TAN-System auf dem Smartphone kann durch Schadsoftware unsicher werden, die sich in Links oder Anhängen von Nachrichten verbirgt.

O2-Kunden betroffen

​Umleitungen der Rufnummer auf ein anderes Mobilfunkgerät waren bis vor kurzem auch in Deutschland beim Anbieter O2 möglich. Die SZ berichtet, O2-Telefónica habe auf Anfrage bestätigt, dass es kriminelle Angriffe aus dem Netz eines ausländischen Anbieters gegeben habe. Mitte Januar habe dies dazu geführt, dass eingehende SMS für Rufnummern in Deutschland unbefugt umgeleitet wurden. Der entsprechende Anbieter sei gesperrt und die Kunden informiert worden. Auch die Polizei ermittele. Mittlerweile seien Kunden in Deutschland vor solchen Angriffen geschützt, berichtet die Süddeutsche Zeitung.

Mehr zum Thema

WhatsApp-Phishing-Mail
Phishing-Attacke

"Ihr WhatsApp Messenger Konto ist abgelaufen", heißt es in einer E-Mail, die zur Zeit die Runde macht. Dahinter steckt ein Phishing-Angriff.
iPhone 7 Plus, iPhone 6S, iPhone 5S, iPhone 4S
Prozessor-Sicherheitslücken

US-Nutzer verklagen Apple wegen Meltdown und Spectre. Das Unternehmen habe die CPU-Schwachstellen gekannt, jedoch nichts unternommen.
Smartphone Sicherheit
Android-Malware

Einige Billig-Smartphones haben offenbar schon ab Werk einen Trojaner installiert. Eine Sicherheitsfirma hat über 40 betroffene Modelle identifiziert.
Apple iPhone X
Sicherheitslücke in iOS

Wer einen Computer am iPhone als vertrauenswürdig einstuft, bietet Hackern Angriffsfläche. Diese können Daten sogar ohne Kabelverbindung auslesen.
Smartphone Sicherheit
Schadsoftware

Sicherheitsforscher entdecken eine Spyware, die Whatsapp-Nachrichten und -Historien auslesen kann. Die Schadsoftware greift Android-Smartphones an.
Alle Testberichte
Anker Soundcore NC A3021
Over-Ear-Kopfhörer mit Noise Cancelling
Der Over-Ear-Kopfhörer von Anker Soundcore Space NC, gibt Musik 20 Stunden lang über Bluetooth wieder. Der Praxistest fühlt dem A3021 auf den Zahn.
Shure KSE1200 Kopfhörer
Elektrostatischer In-Ear-Kopfhörer
Als elektrostatischer Kopfhörer braucht der KSE 1200 Unterstützung vom mobilen Verstärker KSA1200. Im Test beeindruckt der Klang des Gespanns.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.