Neue Sicherheitslücke schürt weitere Zweifel an mTAN

Das mTAN-Verfahren ist ein TAN-Verfahren beim Online-Banking und wird von vielen Banken statt dem unsichereren (i)TAN eingesetzt. Bei mTAN wird zur Authentifizierung des Nutzers eine TAN auf sein Handy gesendet. Diese hat eine begrenze Gültigkeit und muss direkt im Online-Banking-Portal eingegeben werden.

Wie F-Secure nun berichtet, ist es kürzlich mit dem Banking-Trojaner SpyEye erneut gelungen das mTAN-Verfahren zu umgehen und die auf das Telefon gesendete TAN auszulesen. Dies funktioniert, indem auf einem mit SpyEye befallenem Rechner bei Besuch der Online-Banking-Seite eine Meldung erscheint, dass ein neues Sicherheitszertifikat der Bank nötig sei und auf das Handy übertragen werden müsse. Dafür werden Handynummer und IMEI abgefragt. Auf dem Handy erscheint dann eine Meldung, welche im Hintergrund Sypware installiert.

Betroffen sind nur Symbian-Handys. Damit die Installation der Spyware im Hintergrund geschehen kann, muss diese digital signiert werden. Dies geschieht automatisch mit SpyEye und dem chinesischen Onlinedienst OPDA, sodass letztendlich eine individuell für das Handy signierte Programmversion der Spyware erstellt wird. Zwar gibt es vom aktuellen Vorfall kaum Meldungen von Betroffenen, doch scheinen deutsche Banking-Portale derzeit im Visier zu stehen. Das einst als recht sicher geltende mTAN-Verfahren hat bereits durch den Trojaner ZeuS und ähnliche Methoden auf Windows-Mobile-Geräten in letzter Zeit an Glaubwürdigkeit verloren. Von Banken gibt es bisher keine Hinweise an Kunden wie sie sich am besten schützen können.