News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

tobias84

Lt. Junior Grade
Dabei seit
Juli 2015
Beiträge
419
Durch eine Betrugsmasche beim Online-Banking konnten Kriminelle in den vergangenen Wochen über eine Million Euro stehlen. Die Täter machten sich ein Schlupfloch beim mTAN-Verfahren zunutze und hoben in Dutzenden Fällen zumeist höhere fünfstellige Beträge ab. Betroffen sind ausschließlich Nutzer mit Telekom-Mobilverträgen.

Zur News: Online-Banking: Betrüger überlisten mTAN-Authentifizierung
 

Mickey Cohen

Lt. Commander
Dabei seit
Mai 2015
Beiträge
1.837
1. haben die kein system, mit dem sie überprüfen können, ob es wirklich ein t-mobile shop ist, der da anruft?
2. wurde die angeblich verlorene sim-karte nicht gesperrt, was vermutlich den besitzer dieser zu einer "erneuten" beschwerde veranlasst hätte, was der telekom ja durchaus auffallen hätte können?
3. warum wird die ersatz-sim an den shop geschickt und nicht gleich an den kunden?
 

M@rsupil@mi

Rear Admiral
Dabei seit
Jan. 2013
Beiträge
5.715
Sehr merkwürdige Geschichte und so wirklich klingt das auch nicht nach einer Überlistung von mTAN, sondern erschrecken geringen (bis nicht existierenden) Sicherheitsvorkehrungen bei der Beantragungen neuer Sim-Karten.
 

Reglohln

Commander
Dabei seit
Feb. 2011
Beiträge
2.249
Wie kann es sein, dass eine Ersatz-SIM-Karte durch eine wildfremde Person und zudem noch an eine völlig neue Adresse verschickt wird? Selbst, wenn eine verloren gegangene Karte durch einen Dritten gemeldet wird, so wird diese doch dann an die im Vertrag hinterlegte Adresse verschickt und ggf. sogar per PostIdent-Verfahren. Und wieso ist davon nur die Telekom betroffen? Nur T-Mobile hat diesen Betrügern die Karten zukommen lassen und andere Provider haben verantwortungsvoll gehandelt und es nicht getan?

Mir fehlen da echt gerade die Worte.
Ergänzung ()

so wirklich klingt das auch nicht nach einer Überlistung von mTAN
Richtig. Aber es klingt ja so viel gefährlicher und erzeugt Klicks.
 

Lar337

Fleet Admiral
Dabei seit
Dez. 2006
Beiträge
10.463
Ziemlich unverantwortliches Handeln. Insbesondere da eine fast identische Masche ja bekannt war. Da müsste eigentlich die Telekom für haften und nicht die Bank.

Wobei ich mTAN auch unabhängig davon nicht besonders toll finde.
- viele nutzen Onlinebanking auf dem Smartphone
- selbst bei PC Nutzern wird das Smartphone hin und wieder zur Synchronisation mit dem PC verbunden
---> die Trennung der Geräte ist dahin und man muss doch wieder hoffen keine Schadsoftware zu haben. Und verbreitete Software könnte auch unabhängig auf beide Geräte gelangen.

-SMS sind unverschlüsselt beim Provider. Wobei ich die Gefahr als eher gering einschätze.
 

Taigabaer

Commander
Dabei seit
Juli 2009
Beiträge
2.480
Keine Ahnung wie das laufen soll erstmal "einfach den Rechner zu hacken". Es geht vielleicht mit einer Fishing-Mail und setzt einen absoluten DAU voraus und das Wissen, welche Bank er überhaupt benutzt.

Eine Trojanersoftware wiederum sollte von jedem aktuellem Antivirenprogramm erkannt werden.

Wenn bei mir wirklich einer trotzdem das Login zu meiner Bank hackt, kann er zwar meine Kontobewegungen sehen, aber es nutzt es ihm 0, da meine Mobilfunknummer nicht komplett angezeigt wird - und um die Nummer eventuell zu ändern braucht es wiederum eine mTan oder beim "echten" Verlust einer Karte einen Anruf bei der Bank, die mir dann per Post einen Freischaltcode postalisch an meine offizielle Adresse schickt. Ich glaube kaum, dass der Betrüger dann an meinem Briefkasten in meinem Hausflur "campt".

Da kann sich wer will jemand als Mobilshop-Betreiber an die Telekom wenden, ohne die komplette Mobilfunknummer nutzt ihm das einfach nichts. Geschweige denn, dass er überhaupt weiss dass meine Handynummer zur Telekom gehört.

Wer Banking UND mTan auf einem Handy ausführt, den müsste man wegen grober Fahrlässigkeit auf seinen Kosten sitzen lassen.
 

DonMürmel

Lt. Junior Grade
Dabei seit
Aug. 2011
Beiträge
321
Ich habe mich schon zum Frühstück über den SZ Artikel aufgeregt.
Aus meiner Sicht (subjektiv) sieht es nach einem simplen "Man in the middle Angriff" aus.
Der Fehler hier liegt eindeutig bei den roten Rüpeln aus Bonn. Hier werden wild und ungeprüft
SIM Karten in die weite Welt rausgeschickt, vernehmlich an Menschen die sich als T-Com Shop Mitarbeiter
ausgeben.
Ich sehe hier keinen Fehler und keine Sicherheitslücke im mTAN System, oder gar einen Hack oder
Hacker Angriff.
Auch wurde meiner Ansicht nach das mTAN System nicht überlistet oder Angegriffen, das System
hat eine mTAN bekommen die vollkommen legal und richtig erzeugt wurde und auch richtig versand
wurde. Ledigleich die Eingabe der mTAN erfolgte von einem anderen PC, von einer anderen Person, die
die mTAN abgefangen hat.

Die Wahrheitsgetreue Überschrift sollte heißen: T-Mobile: Betrüger ergaunern SIM Karten
Das damit im Endeffekt Online-Banking betrügereien vorgenommen wurden steht zwar im
Zusammenhang, ist aber nicht Kernpunkt.
 
A

Amusens

Gast
ähm verstehe ich nicht ??? da haben sich Betrüger als "Mobilfirma" ausgeben und sind ins Haus so gekommen??? Und haben sich an den PC vom "Mobilkunden" gesetzt?? oder habe ich da was übersprungen im Text???
 

mokabo

Lt. Junior Grade
Dabei seit
Aug. 2005
Beiträge
439
ähm verstehe ich nicht ??? da haben sich Betrüger als "Mobilfirma" ausgeben und sind ins Haus so gekommen??? Und haben sich an den PC vom "Mobilkunden" gesetzt?? oder habe ich da was übersprungen im Text???
Schon echt schwierig den Artikel zu lesen und zu verstehen.. Ich kann mich auch erinnern, dass genau dieses Szenario letztes Jahr schon in den Medien war. Unglaublich, wie einfach SIM-Karten gesperrt werden und neue Karten an beliebige Leute verschickt werden.
 

Tramizu

Captain
Dabei seit
Sep. 2014
Beiträge
3.836

WhiteShark

Admiral
Dabei seit
Mai 2002
Beiträge
9.912
Schon echt schwierig den Artikel zu lesen und zu verstehen.. Ich kann mich auch erinnern, dass genau dieses Szenario letztes Jahr schon in den Medien war. Unglaublich, wie einfach SIM-Karten gesperrt werden und neue Karten an beliebige Leute verschickt werden.
Das schockt mich jetzt auch. Gerade weil genau dieses Problem letztes Jahr schon in den Medien war, darf das jetzt nicht schon wieder kommen.
Da ist aber nicht mTan schuld, sondern ganz allein die Telekom. Und die sollte auch die volle Haftung übernehmen.
 

XCPTNL

Lieutenant
Dabei seit
Aug. 2004
Beiträge
542
Wie bereits von anderen schon erwähnt, kapiere ich nicht weshalb die Karte an einen (angeblichen) Shop gesendet wird und nicht an den Kunden selbst. Und es muss ja ja auch eine Adresse geben, an die die Ersatzkarte verschickt wurde... hier wurde anscheinend auch nichts geprüft? Sehr dubios. Aber hin oder her, am Ende war vor allem der Betroffene selbst mal wieder maßgeblich mit Schuld, denn "Die Kriminellen spionierten zunächst über eine Spähsoftware auf den Rechnern der Betroffenen deren Zugangsdaten für das Online-Banking sowie deren Handynummer aus." Immer wieder das gleiche Lied irgendwie...
 

z1ckZack

Ensign
Dabei seit
Dez. 2011
Beiträge
238
Leider bieten viel zu wenig Banken andere verfahren an. Da war ja sogar die i-Tan liste sicherer. Jetzt muss ich mich auf den Call Center Mitarbeiter der Mobilfunkanbieter verlassen.
Wobei alle betroffenen ja anscheinend auch über Trojaner/keylogger ausgespäht wurden, ansonsten hätten die Kriminellen wohl nicht die Zugnagsdaten zum Onlinebanking bekommen.
 

Cave Johnson

Commodore
Dabei seit
Dez. 2012
Beiträge
4.229
Zwar gab es in den letzten Jahren schon mehrfach Betrügereien bei der mTAN-Authentifizierung; seinerzeit gaben sich die Kriminellen bei Mobilfunkanbietern aber nicht als Mitarbeiter eines Shops aus, sondern als Kunden und baten erfolgreich um eine Ersatz-SIM-Karte.
Na, das ist ja diesmal ein riesengroßer Unterschied zu früher. Kein Wunder, dass diese Masche wieder geklappt hat ...

Echt Wahnsinn, dass hier nicht genauer geprüft wird.
 

WhiteShark

Admiral
Dabei seit
Mai 2002
Beiträge
9.912
Da war ja sogar die i-Tan liste sicherer. Jetzt muss ich mich auf den Call Center Mitarbeiter der Mobilfunkanbieter verlassen.
Ne iTan ist wesentlich unsicherer. Gerade weil es sich da um Universal-TANs handelt. Man braucht nur eine TAN über Phishing zu erhalten und kann sich den vollen verfügbaren Betrag überweisen. SMS-Tans sind nur für eine Transaktion gültig und es steht sogar in der SMS der Betrag.
Die Telekom darf halt nicht einfach fremden eine Karte schicken.
 

CD

Rear Admiral
Dabei seit
Mai 2010
Beiträge
5.643
Sehr merkwürdige Geschichte und so wirklich klingt das auch nicht nach einer Überlistung von mTAN, sondern erschrecken geringen (bis nicht existierenden) Sicherheitsvorkehrungen bei der Beantragungen neuer Sim-Karten.
Jup, eigentlich hat das ganze wenig mit mTan zu tun. Viel mehr demonstriert es mal wieder, wie leicht man sich in Systeme "hacken" kann: Einfach bei den Leuten anrufen, sich als XY ausgeben und zack ist man drinne.

Die Telekom hat da natürlich auch keine Lust gross nen Aufwand zu treiben - was die Sicherheit ihrer Kunden angeht interessiert die das genauso viel bzw. wenig wie so gut wie alle anderen Unternehmen. Die Telekom hat einfach das Problem, dass sie gross und damit ein attraktives Ziel für solche Spielereien ist.

Und mal ganz ehrlich, die Authentifizierung "per Telefon" ist überall der reinste Witz - egal wo du anrufst wirst normalerweise maximal nach dem aktuellen Wohnort und ggf. noch dem Geburtsdatum gefragt, beides keine super geheimen Daten die wirklich nur die richtige Person wissen könnte.
 

hi-tech

Lieutenant
Dabei seit
Sep. 2006
Beiträge
951
Tja...
Social Engineering bzw. Social Hacking ist jetzt nicht so neu und trotzdem verpassen es große Unternehmen darauf hin ihre Prozesse zu optimieren.
Aber Hacker haben oft auch Insiderwissen und sind nicht dumm. Kein System ist 100% sicher.
Da kann man nur immer hoffen nicht selbst betroffen zu sein.
 
Top