Neuer Online-Banking-Betrug mittels mTAN bei O2-Kunden

O2-Kunden sind in der letzten Zeit mehrfach Opfer von Online-Banking-Betrug mittels mTAN geworden. Das berichten heute mehrere Online-Medien, unter anderem SZ.de und Zeit-Online. Dem Betrug zugrunde lag eine Sicherheitslücke, die bereits seit zwei Jahren bekannt ist.

Wie läuft der Betrug ab?

Kurz gesagt werden bei dieser Betrugsmasche SMS mit mTAN an andere Mobilfunknummern weitergeleitet und dann zur betrügerischen Überweisung genutzt.

Während bei älteren Fällen hierfür noch Ersatz-Simkarten von den Tätern geordert wurden, nutzten die Betrüger in den aktuellen Fällen einen Zugang zum SS7-System. Beim SS7-System (Signaling System #7) handelt es sich um ein Netzwerksystem, über welches die Mobilfunkprovider verschiedene Signalisierungsdienste (SMS, Anrufe, Roaming etc.) anbieten (technische Hintergründe bei Wikipedia).

Mit krimineller Energie und gefälschten Identitäten konnten wohl auch die Täter einen Zugang zu diesem System erhalten. Sie loggten sich über zuvor mittels Trojanern erspähten Daten in das Online-Banking der Opfer ein und starteten dort eine betrügerische Überweisung. Durch den Zugang zum SS7-System konnten sie dann die SMS mit der mTAN auf ihre Mobilfunknummer umleiten und die Transaktion freigeben. Die Online-Banking-Kunden bekamen davon zunächst überhaupt nichts mit.

Wer ist betroffen?

Nach Angaben von SZ.de war die Betrugsmasche bis vor kurzem bei allen O2-Kunden möglich, die bei ihrem Online-Banking auf das mTAN-Verfahren setzen. Auf Anfrage von SZ.de hat Telefonica, Betreiber des O2-Netzes, den Vorfall bestätigt:

„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.“

Mittlerweile sei der Provider allerdings gesperrt und die Polizei informiert worden. Bei wie vielen Kunden tatsächlich mit dieser Masche Konten leergeräumt wurden, ist noch nicht bekannt.

Was können Betroffene tun?

Betroffene Kunden sollten sich zunächst direkt an Ihre Bank wenden und den Zugang zum Online-Banking vorübergehend sperren lassen. Die betroffenen Geräte (PC/Smartphone) sollten möglichst auf den Werkszustand gebracht und mit einer aktuellen Antiviren-Software ausgestattet werden. Auch eine Anzeige bei der Polizei ist sinnvoll.

In Fällen wie diesen haben die Opfer gegenüber der Bank grundsätzlich auch einen Erstattungsanspruch, so dass Ihnen am Ende kein oder nur ein geringer Schaden verbleibt. Stellt sich die Bank quer, ist die Einschaltung einer Verbraucherzentrale oder eines Anwalts sinnvoll.

Wie kann man sich vor diesem Betrug schützen?

Da Telefonica die Lücke nach eigenen Angaben geschlossen hat, sollte derzeit keine akute Bedrohung für Online-Banking-Kunden vorliegen. Grundsätzlich sollten Nutzer von Online-Banking allerdings darüber nachdenken, auf andere Sicherheitsverfahren, z.B. Smart-TAN/Chip-TAN, auszuweichen.