Blog

Manipulierte SMS - Hacker räumten Bankkonten

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Hacker haben mit Hilfe einer Sicherheitslücke im Mobilfunknetz Geld von Bankkunden auf eigene Konten umgeleitet. Unverständlich dabei ist, die Sicherheitslücke war lange bekannt, doch niemand unternahm etwas dagegen.

Das mTAN-Verfahren gilt derzeit als Standard für Verschlüsselte Online-Überweisungen. Online-Banking Kunden lassen sich dabei für jede Transaktion ein Einmalkennwort auf Ihr Smartphone schicken. Mit dieser Transaktionsnummer (TAN) legitimiert man die Überweisung seines Online-Kontos. Fast alle Banken bieten das mTAN-Verfahren an, denn dieses Verfahren gilt als relativ sicher. Doch offenbar gab es jahrelang bei den Mobilfunkanbietern eine schwere Sicherheitslücke, dies nutzten aktuell Hacker um das System auszuhebeln.

Wie die "Süddeutsche Zeitung" berichtet ist es Hackern gelungen die Schwachstelle auszunutzen um Geld von Bankkonten auf eigene Konten umzuleiten. Auch deutsche Kunden seien dabei betroffen. Die Hacker gingen dabei in zwei Schritten vor. Zuerst erschlichen sie sich durch Phishing-Mails Zugang zu persönlichen Daten der Bankkunden. In diesen Phishing-Mails wurden dabei die Kunden verleitet auf einer Fake-Seite ihre Kontonummer, Mobilfunknummer sowie das Passwort anzugeben, so konnten die Hacker alle nötigen Daten abgreifen.

Mobilfunkanbieter machten es den Kriminellen leicht

Die Angreifer konnten sich nun in die Online-Konten einloggen und Kontostände einsehen, aber noch keine Überweisungen tätigen. Dafür fehlten ihnen der Zugang zu den mTAN's. Um an diese heranzukommen nutzten die Hacker eine Schwachstelle des SS7-Netzwerkes, auf das eigentlich nur Mobilfunkunternehmen Zugriff haben. Die Anbieter nutzen das SS7 zum einen um das telefonieren im Ausland zu ermöglichen oder SMS in externe Netze zu versenden.

Den Hackern war es möglich über das SS7-Netzwerk eine Rufnummerumleitung für die abgegriffenen Mobilfunknummern einzurichten. So konnten sie sich die mTAN's auf ihr eigenes Smartphone oder Handy senden lassen. Somit hatten die Angreifer alles nötige beisammen um die Bankkonten der Opfer zu plündern.

O2 bestätigt Angriffe

In einem Bericht der Süddeutschen Zeitung war das Umleiten von Rufnummern bis vor Kurzem auch bei O2 noch möglich. "Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden", erklärte O2 der Süddeutschen Zeitung. Der entsprechende Provider wurde gesperrt und O2-Kunden wurden informiert.

Was aber dennoch skandalös ist: Die Sicherheitslückke im SS7-Netzwerk ist bereits Ende 2014 öffentlich bekannt, aber die Mobilfunkanbieter es nicht schafften wirksam dagegen anzugehen. Inzwischen werden auf dem Schwarzmarkt gehackte Konten für knapp 1000 Euro zum Kauf angeboten, berichtete IT-Experte Hendrik Schmidt weiter der Süddeutschen Zeitung.

Man kann diese Sicherheitslücke umgehen und das zweite TAN-Verfahren der Banken zu nutzen, das sogeannte Push-TAN. Hier werden von einem externen TAN-Generator TAN's generiert, diese sind meist kostenpflichtig bei den Banken erhältlich.

Wer wir sind

United-Shop Metzingen ist Ihr Ansprechpartner, wenn es um die Bereiche Ihrer Kommunikation vor Ort geht. Wir beraten Sie und passen Ihre Kommunikation auf Wunsch optimal an.

Direkt bestellen

Search