mTAN – Verfahren geknackt

Cyberkriminelle fangen die per SMS verschickten Transaktionsnummern, also mTANs, ab und leiten das Geld heimlich auf ihre Konten um. Die Angreifer kapern zunächst den Computer ihrer Opfer, indem sie sich einen Banking-Trojaner besorgen. Das geht ganz einfach: Baukästen zum Zusammenklicken spezieller Schadprogramme wie Carberb, Zeus oder Citadel gibt es massenhaft zum Download in Hacker-Foren. Auf die PCs der Opfer kommen die Trojaner dann etwa über verseuchte E-Mails. Einmal auf der Festplatte, suchen sie nach Bankinfos, spionieren Kennwörter aus, erkennen laufende Online-Bankverbindungen und protokollieren Tastatureingaben. Angreifer erhalten so alle Daten, um das fremde Konto aus der Ferne leer zu räumen.Um das mTAN-Konto zu plündern, reicht ein Trojaner natürlich nicht aus. Denn für jede Überweisung ist eine separate mTAN nötig, die die Bank nur an eine zuvor registrierte Handynummer verschickt. Um die mTANs abzugreifen, müssten die Täter also das Handy in die Finger kriegen – versichern jedenfalls die Banken. Die Kriminellen umgehen das Problem mit einem schlichten Trick und unfreiwilligen Komplizen. Und die sitzen in den Telefonzentralen der Mobilfunk-Provider.Der Täter meldet sich nämlich einfach bei der Provider-Hotline unter dem Namen seines Opfers und bestellt eine neue SIM-Karte für dessen Handynummer, vorzugsweise eine Multi-SIM-Karte. Denn im Unterschied zu einer Ersatz-SIM lässt sich die in einem anderen Gerät betreiben, ohne dass die Karte des Opfers abgeschaltet wird.Nach dem Erhalt der Karte aktiviert der Gangster sie in seinem Handy; handelt es sich um eine Multi-SIM, kann er sie auch einfach als Empfängerkarte für SMS festlegen, das fällt dem Opfer weniger schnell auf. Da er vollen Zugriff auf dessen trojanerverseuchten PC hat, kann er sich jetzt ins fremde Online-Konto einloggen, einen Überweisungsauftrag auf sein eigenes Konto erteilen – und empfängt die dabei angeforderte mTAN auf seinem Handy.