Internet-Dating ist längst nichts Besonders mehr. Immer mehr Singles suchen online ihr Liebesglück. Eine sehr beliebte Dating-Plattform ist Parship, auf der sich nach der Eigenwerbung „alle 11 Minuten“ ein Single verliebt. Parship wirbt dabei an prominenter Stelle mit einer kostenlosen Anmeldung und gewährt den Nutzern – wie gesetzlich vorgesehen – auch ein 14-tägiges Widerrufsrecht. Übt ein Kunde allerdings dieses Widerrufsrecht aus, kann es für ihn ziemlich teuer werden.
Verbesserter Schutz bei Online-Banking-Betrug
Vergangenes Wochenende sind in Deutschland zahlreiche neue Regelungen in Bezug auf den Zahlungsverkehr in Kraft getreten. So dürfen Händler künftig beispielsweise keine Extra-Gebühren für bestimmte Zahlungsarten mehr verlangen. Außerdem wurde der Schutz bei missbräuchlicher Nutzung von Zahlungsinstrumenten (also auch PIN/TAN) leicht verbessert.
Neuer Online-Banking-Betrug mittels mTAN bei O2-Kunden
O2-Kunden sind in der letzten Zeit mehrfach Opfer von Online-Banking-Betrug mittels mTAN geworden. Das berichten heute mehrere Online-Medien, unter anderem SZ.de und Zeit-Online. Dem Betrug zugrunde lag eine Sicherheitslücke, die bereits seit zwei Jahren bekannt ist.
Wie läuft der Betrug ab?
Kurz gesagt werden bei dieser Betrugsmasche SMS mit mTAN an andere Mobilfunknummern weitergeleitet und dann zur betrügerischen Überweisung genutzt.
Während bei älteren Fällen hierfür noch Ersatz-Simkarten von den Tätern geordert wurden, nutzten die Betrüger in den aktuellen Fällen einen Zugang zum SS7-System. Beim SS7-System (Signaling System #7) handelt es sich um ein Netzwerksystem, über welches die Mobilfunkprovider verschiedene Signalisierungsdienste (SMS, Anrufe, Roaming etc.) anbieten (technische Hintergründe bei Wikipedia).
Mit krimineller Energie und gefälschten Identitäten konnten wohl auch die Täter einen Zugang zu diesem System erhalten. Sie loggten sich über zuvor mittels Trojanern erspähten Daten in das Online-Banking der Opfer ein und starteten dort eine betrügerische Überweisung. Durch den Zugang zum SS7-System konnten sie dann die SMS mit der mTAN auf ihre Mobilfunknummer umleiten und die Transaktion freigeben. Die Online-Banking-Kunden bekamen davon zunächst überhaupt nichts mit.
Wer ist betroffen?
Nach Angaben von SZ.de war die Betrugsmasche bis vor kurzem bei allen O2-Kunden möglich, die bei ihrem Online-Banking auf das mTAN-Verfahren setzen. Auf Anfrage von SZ.de hat Telefonica, Betreiber des O2-Netzes, den Vorfall bestätigt:
„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.“
Mittlerweile sei der Provider allerdings gesperrt und die Polizei informiert worden. Bei wie vielen Kunden tatsächlich mit dieser Masche Konten leergeräumt wurden, ist noch nicht bekannt.
Was können Betroffene tun?
Betroffene Kunden sollten sich zunächst direkt an Ihre Bank wenden und den Zugang zum Online-Banking vorübergehend sperren lassen. Die betroffenen Geräte (PC/Smartphone) sollten möglichst auf den Werkszustand gebracht und mit einer aktuellen Antiviren-Software ausgestattet werden. Auch eine Anzeige bei der Polizei ist sinnvoll.
In Fällen wie diesen haben die Opfer gegenüber der Bank grundsätzlich auch einen Erstattungsanspruch, so dass Ihnen am Ende kein oder nur ein geringer Schaden verbleibt. Stellt sich die Bank quer, ist die Einschaltung einer Verbraucherzentrale oder eines Anwalts sinnvoll.
Wie kann man sich vor diesem Betrug schützen?
Da Telefonica die Lücke nach eigenen Angaben geschlossen hat, sollte derzeit keine akute Bedrohung für Online-Banking-Kunden vorliegen. Grundsätzlich sollten Nutzer von Online-Banking allerdings darüber nachdenken, auf andere Sicherheitsverfahren, z.B. Smart-TAN/Chip-TAN, auszuweichen.
Text: CC-BY 4.0 / Rechtsanwalt Jakob Wahlers
Beitragsfoto: Picjumbo.com
Betrug mit gefälschten Stellenanzeigen
Seit einigen Wochen bekomme ich immer häufiger Anfragen zu betrügerischen Stellenanzeigen im Internet. Auch große Online-Medien wie FAZ.net oder Bild.de berichten über diese neue Art des Betruges. Laut den Berichten, welche sich mit meinen Erfahrungen decken, schalten die Betrüger gefälschte Stellenangebote in Internet-Jobbörsen oder versenden diese per E-Mail. Bewerber, welche sich auf eine solche Stellenanzeige melden, werden dann entweder um persönliche Daten für einen Identitätsdiebstahl gebeten oder sollen „Vermittlungsgebühren“ für die nicht existente Stelle überweisen.
Online-Banking per photoTAN potentiell unsicher
Mehrere Online-Medien, unter anderem die Süddeutsche Zeitung, Zeit-Online und der Stern, berichten über eine neue Sicherheitslücke beim Online-Banking mittels des sogenannten photoTAN-Verfahrens. Zwei IT-Sicherheitsforschern der Universität Erlangen-Nürnberg ist es demnach gelungen, photoTANs der Deutschen-Bank, der Commerzbank, der Norisbank und der Comdirect-Bank zu stehlen bzw. zu manipulieren und so Überweisungen auf fremde Konten umzuleiten.
„Online-Banking per photoTAN potentiell unsicher“ weiterlesen
Online-Banking-Betrug bei Telekom-Kunden
Mehrere Online-Medien, unter anderem die Süddeutsche Zeitung, Zeit Online und das Manager Magazin, berichten über eine neue Masche beim Online-Banking-Betrug. Betroffen hiervon sind ausschließlich Kunden, welche das mTAN-Verfahren über eine Mobilfunknummer der Telekom nutzen.
LG Darmstadt: Smart-TAN-plus Verfahren ist sicher – Kunde haftet bei manipulierter Überweisung
Das Landgericht Darmstadt hat kürzlich eine Entscheidung zur Haftung im Bereich des Online-Bankings getroffen (Urteil vom 28.08.2014, Az. 28 O 36/14). Nach dem Urteil haftet ein Bankkunde, der das so genannte Smart-TAN-plus Verfahren nutzt, für manipulierte Überweisungen aufgrund eines Man-in-the-Middle-Angriffs selbst. Im Ergebnis liegt das LG Darmstadt damit richtig, verhaspelt sich jedoch etwas in der rechtlichen Herleitung.
Neue Masche beim Online-Banking-Betrug
Betrug im Bereich des Online-Bankings ist leider immer noch an der Tagesordnung. Allerdings werden die Täter immer professioneller und dreister. Während man noch vor ein paar Jahren mit schlecht übersetzten Phishing-Mails in die Falle gelockt werden sollte, arbeiten die Betrüger heute mit ausgeklügelten Trojanern oder live manipulierten Bank-Websites.
In einem akutellen Fall wies das Konto der geschädigten Mandantin den Tätern wohl zu wenig Guthaben auf, so dass sie kurzerhand mittels mehrerer mTANs bereits in der Vergangenheit getätigte Abbuchungen „zurückholten“ und damit das Kontoguthaben erhöhten.