Sicherheitsrisiko bei mTAN-Verfahren
Hackerangriff auf Konten: O2-Kunden betroffen
Hacker haben Geld von fremden Konten erbeutet, indem sie eine Sicherheitslücke im Mobilfunk-Netzwerk ausnutzen. Über Phishing-Mails haben sie die notwendigen Daten gesammelt.
Durch eine Sicherheitslücke im Mobilfunknetz ist es Hackern gelungen, Geld von fremden Konten abzuzweigen. Das Besondere dabei: Die Schwachstelle, die von den Cyber-Kriminellen ausgenutzt wurde, ist bereits seit dem Jahr 2014 bekannt. Der Hackerangriff erfolgte laut der Süddeutschen Zeitung (SZ) in zwei Schritten. Die Hacker müssen zunächst an die persönlichen Daten ihrer Opfer gelangen. Dazu gehören Banküberweisungsdaten wie die Kontonummer, das dazugehörige Passwort fürs Online-Banking sowie die Handynummer. Die Hacker beschafften sich diese Informationen über Phishing-Mails. Gefälschte Mails sollten den Anschein erwecken, der Absender sei die eigene Bank. Wer darauf hereinfällt, gibt im schlimmsten Fall seine Bankdaten preis.
Über eine Schwachstelle im Signalling System Nummer 7 des Mobilfunknetzes konnten die Angreifer dann die Kontrolle über ein fremdes Smartphone erwirken. Über das Signalling System tauschen sich Mobilfunkanbieter weltweit aus und ermöglichen beispielsweise das Telefonieren im Ausland oder den problemlosen Wechsel von einer Funkzelle zur nächsten. Der Zugriff über die Lücke in SS7 geschieht meist nachts. Die Opfer bekommen dann nicht mit, dass ihr Smartphone in einem fremden Mobilfunknetz eingewählt ist. Die Hacker tätigen mit den gestohlenen Daten Online-Überweisungen vom Konto des Opfers. Die mobile TAN, die dafür eigentlich an das eigene Handy gehen sollte, wird dabei über die SS7-Lücke auf eine andere Nummer umgeleitet.
Lesetipp: Schadsoftware im Play Store: Zwei Millionen User betroffen
Sicherheitslücke schon seit 2014 bekannt
Diese Schwachstelle in SS7 ist schon seit dem Jahr 2014 bekannt, doch offenbar nahmen weder Mobilfunkanbieter noch andere Industrie-Größen die Lücke besonders ernst. Karsten Nohl, Sicherheitsforscher bei Security Research Labs gehörte zu denjenigen, die auf die Sicherheitslücke aufmerksam machten. Es sei enttäuschend, dass es so viele Jahre gedauert habe und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde, wird er von der SZ zitiert.
Das Online-Banking via mobilTAN wurde ursprünglich als sicher eingestuft, da die Transaktionsnummern auf das eigene Handy gelangen und schon nach kurzer Zeit wieder verfallen. Doch mittlerweile empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) den Gebrauch von TAN-Generatoren. Das mobile TAN-System auf dem Smartphone kann durch Schadsoftware unsicher werden, die sich in Links oder Anhängen von Nachrichten verbirgt.
O2-Kunden betroffen
Umleitungen der Rufnummer auf ein anderes Mobilfunkgerät waren bis vor kurzem auch in Deutschland beim Anbieter O2 möglich. Die SZ berichtet, O2-Telefónica habe auf Anfrage bestätigt, dass es kriminelle Angriffe aus dem Netz eines ausländischen Anbieters gegeben habe. Mitte Januar habe dies dazu geführt, dass eingehende SMS für Rufnummern in Deutschland unbefugt umgeleitet wurden. Der entsprechende Anbieter sei gesperrt und die Kunden informiert worden. Auch die Polizei ermittele. Mittlerweile seien Kunden in Deutschland vor solchen Angriffen geschützt, berichtet die Süddeutsche Zeitung.
Weiter zur Startseite
