Hallo Mutti!
Erst gestern hast Du mich gefragt, ob’s Probleme mit Viren auf dem Android-Telefon geben könnten. Onlinebanking unterwegs sei ja so praktisch. „Nö“ hab ich gesagt, „Klick einfach nich jeden Scheiß!“. I stay corrected.
Heute gibt’s eine Meldung, dass ein Android-Trojaner gefunden wurde, der SMS lesen kann, genauer zielt der darauf, eine SMS-TAN fürs Onlinebanking zu lesen. Er kommt daher als „Sicherheits-Anwendung“.
Gut, „soweit so schön & nutzlos“ könnte man jetzt sagen. Eine SMS-TAN ist ja an eine Transaktion gebunden – sie gilt nur für diese Überweisung mit diesem Empfänger und diesem Betrag – die TAN kann er ja nicht missbrauchen.
Aber jetzt schalten wir unsere Phantasie ein: Wenn Du Onlinebanking auf Deinem Telefon machen kannst, kann das der Trojaner schon lange. Du hast ja schließlich gerade Deine Kundennummer und dein Passwort für das Banking-Portal ins Android eingetippt. Das schafft der Trojaner auch. Er macht einfach selber eine Überweisung fertig, liest die neue SMS-TAN, gibt die auch ein. Schwupps ist das Geld auf den „Bahamas“.
Der kleine Trojaner kann sogar richtig clever programmiert sein! Du musst nicht mal direkt mitkriegen, dass er Geld überweist. So ein Android hat einen Helligkeitssensor:
Oh, es ist laut Uhrzeit Tag und Du hast gerade Onlinebanking gemacht, danke für den Benutzernamen und die Banking-PIN… Jetzt wird’s finster und das Andoid geht in Standby! Wahrscheinlich hast Du es gerade in die Tasche gesteckt. Na da können wir ja schnell mal eine Überweisung machen. Erstmal schalten wir das Telefon ganz stumm. Jetzt gehen wir auf die Bankseite, füllen das Formular aus, warten auf die SMS-TAN. Auch noch rein ins Bankingformular und abgeschickt. Geld weg! Dass Du es nicht gleich merkst, stellen wir das Telefon wieder so ein, wie es war.
Und deswegen sollst Du kein Onlinebanking auf Deinem Android machen!! Die Banken wollten diesen „zweiten Weg“ über die SMS, weil bisher das Telefon vom Computer getrennt war. Der Computer konnte nicht auf die SMS zugreifen. Mit Android ist der Computer das Telefon.
[via]
(swg)
[…] Ein Trojaner, der mTAN-SMS abfängt und die Bank-Daten dem Betrüger “mailt”! Na sowas! Wer hätte DAS bloß ahnen können!!1! [via] (swg) Categories […]
Meines Wissens könnte es so laufen:
Der Rechner des Users ist infiziert – der Betrüger also bereits im Besitz aller nötigen Onlinebanking-Zugangsdaten, um sich in Seelenruhe auf der Bankseite umsehen zu können.
Dort oder in einer Rechnungsmail des Handyproviders findet er praktischerweise die Telefonnummer des Empfängers der mobilen TAN heraus und hofft, dass dort ein SmartPhone mit einem dummen User oder mit Sicherheitslücken läuft. Er schickt eine SMS mit Aktualisierungsaufforderung an das Telefon. Das Opfer folgt dem Link in der Nachricht und installiert unwissend auf seinem Telefon ein trojanisches Pferd, das eigentlich nur blind jede Banking-SMS an den Betrüger innerhalb des von der Bank vorgegebenen Zeitfensters weiterleiten muss.
Der Betrüger tätigt also eine Überweisung und lässt sich zeitnah die SMS weiterleiten, fertig.
Es braucht also keine clevere App mit Onlinebanking-Schnittstelle und wenn eine Sicherheitslücke ausgenutzt werden kann auch nur wenig Mithilfe des Opfers.
Der kolportierte Trojaner hat wohl erst den PC des Opfers und dann beim Datensync das angeschlossene Android infiziert – das aber auch nicht automatisch, der User sollte eine „Sicherheitsanwendung installieren. Heise hat inzwischen auch was dazu.
„Die Banken wollten diesen “zweiten Weg” über die SMS, weil bisher das Telefon vom Computer getrennt war“
das stimmt nicht ganz:
es gibt Banken, die das mobile TAN-Verfahren ausschließlich per PC zulassen, loggt sich ein Handy auf die Banking-Seite der Bank ein oder
per App z.B. „Online-Filiale“, schaltet sich eine Browserweiche ein, die
das mobileTAN-Verfahren nicht zulässt.
Hier ist nur das Sm@rtTAN plus besser noch optic-Verfahren möglich.
Daher ist das „Zwei-Schritt-TAN-Verfahren“ bei diesen Banken immer auf 2 Endgeräte festgelegt.
„es gibt Banken, die das mobile TAN-Verfahren ausschließlich per PC zulassen“
Mag sein. Ich würde praktisch mal überprüfen wollen, wieviele Banken sicher erkennen, dass es gerade das selbe Smartphone ist, welches Onlinebanking im Browser macht und gleichzeitig die mTAN empfängt.
Laut einem Beschluss des ZKA, das ist ein Info-Austausch- und Beschlussfassungs-Zusammenschluss der deutschen Kreditinstitute, darf die SMS-TAN nicht auf das gleiche mobile Endgerät gesendet werden, auf dem das Onlinebanking abgewickelt wird. Insofern müsste der Trojaner die SMS weiterleiten, damit die TAN genutzt werden kann. Aber auch das ist vorstellbar …
Naja und das weiß natürlich jeder mobile Endbenutzer! Und überhaupt, wer weiß denn heutzutage nicht mehr über die Beschlüsse des ZKA bescheid?! Die neuesten liest man doch direkt nach dem Aufstehen noch vorm morgentlichen Stuhlgang… ;)
Mal ehrlich, Otto Normalverbraucher macht sich in der Regel keine Platte um sowas.