mTAN-Verfahren – Online-Banking stärker im Fokus der Hacker
[vc_row][vc_column width=“1/1″][vc_column_text]Die Infizierung eines Computers mit einem Trojaner oder anderer Schadsoftware trifft den Besitzer je nach Art des Schadens mehr oder weniger stark. Zu den deutlich sensibelsten Bereichen der modernen Computernutzung zählt das Online-Banking, bei dem Zugangsdaten zu Konten oder TAN-Nummern für Transaktionen über das Internet versandt werden. Ein Hackerangriff kann hierbei zu verheerenden Schäden führen, beispielsweise zum Plündern des Kontos mit anschliessender Überweisung auf ein elektronisches Konto, dessen Besitzer nicht eindeutig identifiziert werden kann. In den letzten Wochen ist das mTAN-Verfahren für die Durchführung von Überweisungen in den Fokus der Hacker geraten; es betrifft Computernutzer im gesamten deutschsprachigen Raum.
Das mTAN-Verfahren und seine Risiken
Konkret handelt es sich bei dem Verfahren um einen Standardservice zahlreicher Banken in der Schweiz und vielen weiteren Nationen. Soll eine Überweisung über das Internet getätigt werden, wird dem Nutzer eine Transaktionsnummer zur Ausführung auf ein Handy oder Smartphone versandt, dessen Nummer bei der Bank hinterlegt ist. Jede TAN ist nur für eine Transaktion gültig, ihr Einsatz ist somit auf eine Überweisung beschränkt und kann von einem Hacker nicht noch einmal verwendet werden. Ein Problem stellt eher die Übermittlung weiterer Daten rund um die finanzielle Transaktion dar, die einen sensiblen Charakter aufweisen können.
Damit die Software der Bank erkennt, dass die TAN tatsächlich zur gewünschten Überweisung des Kunden passt, wird diese kryptisch aus verschiedenen Kenngrössen der Überweisung zusammengesetzt. Diese können Hacker beim Einsatz entsprechender Schadsoftware mit abfangen, um weiterführende Informationen rund um das Konto zu erhalten. Das Risiko ist umso grösser, wenn das Online-Banking über ein Smartphone durchgeführt wird. In diesem Fall ist das Empfangsgerät für die TAN identisch mit dem Gerät, über welches das Online-Banking ausgeführt wird. Hat sich der Hacker hier erst einmal eingenistet, kann er grundlegende Daten wie den Zugang zur Bank und das Passwort des Kunden abfangen.
FakeToken – der aktuelle Trojaner beim mTAN-Verfahren
Die Risiken rund um das Online-Banking sind nicht neu, haben über die letzten Wochen durch zahlreiche Verdachtsfälle in der Schweiz und Deutschland jedoch eine neue Aufmerksamkeit erhalten. Konkret ist die Gefahr durch den Trojaner namens FakeToken gegeben, der es einem Hacker ermöglicht, die kopierten Inhalte der versandten SMS inklusive der Transaktionsnummer abzufangen. Ist die Spyware erfolgreich auf Handy oder Smartphone installiert worden, sendet sie eigenständig sensible Informationen rund um den Bankzugang an den Hacker weiter. Dieser hat hiernach beispielsweise die Möglichkeit, den Passwortzugang zum Online-Banking zu sperren oder selbst für eigene Zwecke einzusetzen.
Ein unbefugter Zugriff auf ein online verwaltetes Konto kann in der heutigen Zeit schnell zu Überweisungen von Geldbeträgen führen, die nicht mehr zurückzuholen sind. Gerade die Ausbreitung von E-Wallets, also elektronischen Konten mit einer E-Mail-Adresse oder ähnlichen Informationen als Ersatz für eine Kontonummer, haben diese Entwicklung forciert. Im Besitz eines Kontozugangs und mit der Möglichkeit, die SMS beim mTAN-Verfahren abzufangen, kann der Hacker eigenständig Überweisungen zu einer E-Wallet oder einem anderen Konto durchführen. Gerade wer als Bankkunde seinen Kontostand nicht regelmässig überprüft, kann durch FakeToken eine negative Überraschung erleben und unerwartet zu einem ausgeraubten Konto ohne Hoffnung auf Rückholung des Geldes gelangen.[/vc_column_text][vc_separator color=“grey“][vc_column_text]
TAN-Generator. (Bild: gopixa / Shutterstock.com)
[/vc_column_text][vc_separator color=“grey“][vc_column_text]Mit einem TAN-Generator zur sinnvollen Alternative greifen
Da FakeToken bereits seit Anfang des Jahres als Trojaner bekannt ist, empfehlen immer mehr Banken, über eine Umstellung auf einen TAN-Generator nachzudenken. Bei diesem wird keine SMS an das Handy des Kontobesitzers versandt, die Generierung einer gültigen Transaktionsnummer erfolgt über einen kleinen elektronischen Kasten und den Einsatz einer EC-Karte. Bei diesem Verfahren werden keine sensiblen Daten über das Internet übermittelt, die von Hackern abgefangen werden könnten. Der einzige Nachteil der TAN-Generatoren ist die anfallende Gebühr, die der Kunde seiner Bank zu zahlen hat, um in den Besitz eines solchen Gerätes zu gelangen.
Im aktuellen Fall von FakeToken ergibt die Umstellung auf einen TAN-Generator besonders viel Sinn, da der Trojaner explizit auf das Abfangen und Kopieren von SMS ausgelegt wurde und damit Nutzer des mTAN-Verfahrens betrifft. Selbst wenn für das eigene Konto verschiedene Formen der TAN-Erzeugung bereitstehen sollten, ist in allen Fällen der Einsatz eines Generators der Nutzung von Handy oder Smartphone vorzuziehen. Zwar warnen Experten bereits davor, dass in einigen Monaten oder Jahren auch gezielte Angriffe auf TAN-Generatoren und die entsprechende Datenübermittlung erfolgen könnten. Aktuell ist jedoch kein grösserer Erfolg von Hackern in dieser Hinsicht bekannt, was den Generator zur momentan sichersten Methode macht.
Technischer Fortschritt als zusätzlicher Schutz beim Online-Banking
Wer bereits in der ersten Generation auf Online-Dienste seiner Bank vertraute, wird Listen mit einer Vielzahl an ausgedruckten TANs als grundlegendes Sicherheitsverfahren noch kennen. Im Vergleich hierzu stellt die TAN-Übermittlung auf Abruf einen wesentlichen Fortschritt dar, der aber leider verstärkt zu Hackerangriffen führt. Selbst wenn der Einsatz von TAN-Generatoren in wenigen Jahren als nicht mehr komplett sicher eingestuft würde, dürften Fortschritte in der Sicherheitstechnik zu neuen Standards für ein sicheres Online-Banking führen. Umgekehrt sind jedoch aktuelle Meldungen über Trojaner nicht auf die leichte Schulter zu nehmen – dies gilt gerade für das äusserst sensible Online-Banking!
Oberstes Bild: © IdeaGU – Shutterstock.com[/vc_column_text][/vc_column][/vc_row]
