Sonstiges

Smartphone-Nutzer trotz mTANs abgezockt: „Eurograbber“ ergaunert 36 Millionen Euro

geschrieben von Michael Müller

36 Millionen Euro. 47 Millionen US-Dollar. Diese geschätzte Summe ergaunerten Internetbetrüger jetzt in zahlreichen europäischen Ländern mit Hilfe eines ZeusBotnet. Laut einer Schätzung von Sicherheitsexperten der Firmen Versafe und Check Point ergibt sich dieses Ergebnis aus dem Betrag von 30.000 Geschädigten, darunter Privat- und Geschäftsbankkunden. Ein stattliches Sümmchen, das einmal mehr die Frage aufwirft: Wie unbedacht gehen Menschen mit sensibelsten Banking-Daten um?

Kreativ und kriminell

Eins muss man Internet-Betrügern lassen – sie sind stets einfallsreich, extrem dreist und machen auch vor sicher geglaubten Technologien nicht Halt. So jetzt beim Mobilen-TAN-Verfahren (mTAN), das seit geraumer Zeit auch in Deutschland von vielen Banken als sicher angepriesene Alternative zur klassischen oder indizierten TAN gehandelt wird. Dass dem augenscheinlich nicht so ist, beweist die jetzt ergaunerte Summe von 36 Millionen Euro. Der mTAN sei Dank.

Die von amerikanischen Sicherheits-Fachleuten „Eurograbber“ getaufte Malware ist seit Monaten auf Beutezug durchs Euroland. Insgesamt 16 Banken in Italien, Spanien und auch Deutschland sind Ziel der Attacke. Der Grund für die Vorauswahl: nicht alle Banken nutzen das mTAN-Verfahren. Aus diesem Grund ist der potentielle Opferkreis ein wenig eingeschränkt. Zu verschmerzen, wenn man die Schadenssumme betrachtet. 36 Millionen Euro. Unfassbar. Ich kann es gar nicht oft genug erwähnen.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Auf dem Weg zur mTAN: Die Eingabeaufforderung des PC-Trojaners.

Die Abbuchungen des Botnet reichten dabei von 500 bis 250.000 Euro, je nach Deckungssumme des Kontos. Die Vorgehensweise ist dermaßen ausgeklügelt, komplex und mit Hindernissen gespickt, dass ich mir die kriminelle Energie der Drahtzieher kaum ausmalen mag. Von der Gutgläubigkeit der Geschädigten ganz zu schweigen. Im Fokus der Attacke steht logischerweise das Mobiltelefon des Opfers – schließlich ist die mTAN das Objekt der Begierde. Der erste Schritt ist allerdings die Installation eines Trojaners auf dem Rechner des Bankkunden.

Der Trojaner späht Kontonummer und Login aus, sendet die Daten anschließend unbemerkt an den oder die Täter. Anschließend generiert die Schadsoftware ein Hinweisfenster auf dem PC, das ein zwingendes Update des mTAN-Verfahrens vorgaukelt. Nach der Eingabe von Handynummer und -modell flattert eine SMS mit einem zu bestätigenden Link aufs Handydisplay. Hinter dem Link versteckt sich ein Programm, das sich beim Anwählen selbstständig auf dem Handy des Opfers einnistet und fortan alle SMS an das Täter-Handy umleitet, die eine mTAN enthalten. Da nun sowohl das Login für das Onlinebanking, als auch die nötige mTAN vorliegt, haben die Täter freies Spiel. Und je nach Deckungssumme des Kontos mehr oder weniger Freude beim Einrichten von Überweisungen in die eigene Tasche.

Alle Hürden genommen

Besonders erschrecken die einzelnen Hürden bis zum Ziel, die allesamt von den Kriminellen genommen oder ausgetrickst wurden. Erst musste der Trojaner zum Ausspähen des Banking-Login auf den PC, dann die nötige Eingabe von Handynummer und -typ vorgenommen und zuletzt dann noch ein Klick auf den bösartigen Link in der SMS getätigt werden. Dass die Geschädigten bei keinem einzigen Schritt skeptisch wurden, ehrt die Tarnung der Täter. Und blamiert all jene, deren Konten bis ins tiefste Dispo leergefegt sind.

Aber so einfach ist es nicht: eine nicht zu unterschätzende Mitschuld haben die Banken selbst. 36 Millionen Euro: Ein mobiles TAN-Verfahren als sicher zu verkaufen, wenn es alles andere als sicher ist – das ist die eigentliche Blamage. Für diese Erkenntnis muss man den kreativen und jetzt steinreichen Abzockern fast dankbar sein. Nicht.

Über den Autor

Michael Müller

Michael tritt seit 2012 in über 140 Beiträgen den Beweis an, trotz seines Allerweltnamens real existent zu sein. Nach Abschluss seines Wirtschaftsstudiums arbeitete er einige Jahre als PR-Berater, bevor er 2016 als Tech-Kommunikator bei einem deutschen Spezialglas-Hersteller einstieg.

14 Kommentare

  • Ich finde das ist falsch dargestellt. Was kann denn die mTAN dafür, dass die Leute nicht aufpassen was sie machen und was soll als sicher gelten? Nichts, rein gar kein System kann dann als sicher eingestuft werden.
    Irgendwelche Daten müssen ausgetauscht werden und irgendwie kann man diese Daten auch ergaunern. Wie sollen die Banken denn noch davor warnen?

  • Es ging mir eher darum, dass die mTAN ja als sichere Evolution zur klassischen oder indizierten TAN kommuniziert wurde. Dass jedes Verfahren irgendwie umgangen werden kann ist klar. Aber wieso gängelt man seine Kunden mit (oftmals aufpreispflichtigen) mTANs, die im Grunde keinen wirklichen Mehrwert zur iTAN bringen?

  • Selber schuld, wer private Daten rausgibt. Find den Artikel auch sehr reißerisch…. Lieber sollte man mal ein Artikel über die naiven Nutzer schreiben…. Vielleicht sollte es ein Banking-Führerschein geben….

  • Mal eine Frage: Es ist ja hier beispielhaft ein iOS-Gerät abgebildet. Funktioniert es dort? MAn muss ja anscheinend Software installieren, was bei iOS ja nur über den Store geht.

  • @Michael MülleR: Ich gebe da Dennis vollkommen Recht: falsch dargestellt! Ihr sagt oben ausdrücklich, dass es auch für die Banken peinlich sei, weil die mTAN eben nicht sicher sei!

    Alle naslang hört man über angebliche theoretische Unsicherheit der mTAN, wenn nämlich unbemerkt eine mTAN erschnüffelt würde und die Täter noch dies und das und jenes ergaunert haben. Offensichtlich braucht es dazu aber Dummheit-de-Luxe vom strohdoofen Onlinebanker!!!

    Ich will nicht die mTAN verlieren, nur weil theoretisch ein separates Verschlüsselungsgerät (das nur TANs erstellt, wie in manchen Firmen üblich oder bei PayPal möglich) sicherer ist weil es keine Apps zulässt! Solange die mTAN nur bei Dummheit tatsächlich unsicher ist will ich sie haben! Wenn einzelne Subjekte zu doof dazu sind, dann sollen sie es lassen!! Solange aber solche Berichte über offensichtliche Dummheit den Äther überfluten steigert das eher das Risiko – denn wenn eines Tages wirkliche Sicherheitsbedenken offenbar werden, dann sieht sie keiner mehr…

  • komisch ihr verwendet Iphone Screens erwähnt aber mit keinem Wort, dass der Trojaner sich nicht auf IOS installieren lässt.

  • der artikel zeigt in keinster weise auf, warum die mtan unsicher sein soll.
    es ist doch so, dass der user seine daten selbst weggibt.
    die m-tan und das dahinterliegende sicherheitsverfahren wurde nicht überlistet. sondern der user.

    wie kommt ihr darauf, zu behaupten, das mtan verfahren wäre unsicher. die user sind das problem, nochdazu wenn sie selbst und aktiv ihre daten preisgeben.

  • Wie im vorigen Kommentar schon gesagt: dass jedes Verfahren umgangen werden kann ist klar. Die Hauptschuld hat der Kunde. Nur wo liegt der Vorteil der mTAN, wenn sie teils aufpreispflichtig ist, den (naiven) Nutzern Sicherheit vorgaukelt und trotzdem nicht sicher ist? Ich frage mich einfach wo der Vorteil zur iTAN ist.

    So oder so ist es der Kunde, der die Infos irgendwie an die Falschen weitergibt. Keine Frage, dafür kann die Bank nichts. Trotzdem hat eben die Bank eine Mitschuld, da die vorgegaukelte Sicherheit den Kunden noch weniger dafür sensibilisiert, mit seinen Daten sorgsam umzugehen. Ist ja sicher, die mTAN. Wenn man technisch Unversierten was von Botnet oder Zeus erzählt, schaut man in leere Gesichter. Das ist eben die Gefahr, zu denken man sei sicher. Das hat nicht unbedingt etwas mit Dummheit zu tun, eher mit Unwissenheit.

  • Ich bin mir sicher, da kommt noch viel mehr. Wie viel Unwissenheit heute gerade bei den älteren Menschen in Sachen Hadynutzung herrscht ist enorm. Die bekommen plötzlich alle Smartphones vor die Nase gesetzt, wissen gar nicht was sie damit tun sollen und tappen gerne in die Falle, wenn Sie irgendwelchen Anweisungen oder Hilfestellungen vertrauen sollen…

  • Ich finde die Kritik aber mehr als berechtigt, da man uns die mTAN ja als noch sichereren Nachfolger er TAN auf Papier verkauft hat/will/ersetzt hat.
    Die Papiertan kann mir nur jemand persönlich klauen, die mTAN kann mir die ganze Welt stehlen.

  • Sehr trefflich gesagt Hans-Peter, genau darauf wollte ich im Grunde hinaus. Deshalb meine Kritik in Richtung Banken.

  • @Hans Peter,auch ich schliesse mich Deiner Meinung an.
    Und nun kann ich für stolze 30 Eurönchen bald meinen neuen Ausweis abholen,es ist eine Zumuzung.Erst diese doofen Bilder die schon teuer genug sind,dann noch die Abzocke des völlig überteuerten Ausweises.Und?Hier gilt das gleiche,den alten Pappausweis für 5 DM hätte man mir klauen müssen,den elektronisch verwendbaren (ich verschicke ja meine Liquidität)landet irgendwann mal abgefangen im Netz,mal gucken was man damit so alles machn kann….toll…wichtig ist dabei,es muss was kosten sonst erscheint es ja nicht als sicher…
    Bin mal gespannt ob mein nächster Ausweis das Ipod schon integriert hat und der dann 450€ kostet….