Im mTAN Verfahren gibt es eine seit geraumer Zeit bekannte Schwachstelle, welche kriminelle nun für sich ausnutzen konnten, um so diverse deutsche Konten von o2 Nutzern leer zu räumen.
Das mTAN Verfahren unsicher?
Die meisten kennen es wahrscheinlich oder nutzen es selbst – beim mTAN Verfahren von Banken wird eine kurze Zahlenfolge per SMS an den Kunden verschickt, mit der dieser Vorgänge im Online Banking bestätigen muss, von der Überweisung bis zur Einrichtung eines Dauerauftrages.
Das Verfahren gilt eigentlich als recht sicher und ist weit verbreiteter Standard beim online Banking. Als sicher gilt das Verfahren vor allem deshalb, weil potenzielle Angreifer nicht nur die Zugangsdaten zum Konto des Opfers brauchen, sie müssen genauso an eine aktuelle mTAN kommen, um irgendwelche Überweisungen von dem jeweiligen Konto zu tätigen.
Was ist passiert?
Genau das haben nun aber kriminelle erfolgreich geschafft und zwar mithilfe eines seit über zwei Jahren bekannten Schwachpunktes in Zusammenhang mit dem mTAN Verfahren. Dieser Schwachpunkt sieht wie folgt aus: Es existiert eine Art „Übernetzwerk“ – genannt SS7 – jenseits des normalen Mobilfunknetzwerkes von dem aus Handyprovider auf die Geräte von Kunden zugreifen und die Vermittlung von Daten, Anrufen etc. von einer Vermittlungsstelle zur nächsten regeln können. So zum Beispiel beim Roaming im Ausland.
Das heißt nicht unbedingt, dass das mTAN Verfahren unsicher ist, die Schwachstelle liegt sozusagen eine Ebene darüber.
Die Schwachstelle
Eigentlicher Sinn dieses Netzwerkes ist es, Kunden immer eine bestmögliche Netzwerkverbindung zu garantieren und zu Anfang hatten zu diesem Netzwerk auch nur wenige, staatlich legitimierte Telefonanbieter Zugang. Das ist jetzt allerdings nicht mehr der Fall. Viele hunderte oder sogar tausende Firmen und Forschungseinrichtungen haben einen eigenen Zugang, ist man Mitglied der Industrievereinigung GSMA ist es heute kein Problem, für einen monatlichen Betrag, das SS7 Netzwerk zu nutzen.
Und nicht nur das, wer sich in das Netzwerk eingekauft hat, kann den Zugang auch wieder an andere GSMA Mitglieder vermieten. Dadurch sind die bürokratischen Hürden, sich Zugang zu dem mächtigen „Übernetzwerk“ zu verschaffen, relativ gering. Und wer einmal in dem System ist, der hat leichte Hand. Denn generell gibt es für Anfragen – zum Beispiel zum Abruf von SMS bestimmter Geräte – im SS7 keine Legitimationshürden mehr, man vertraut sich in dem Netzwerk sozusagen gegenseitig.
Zusammen mit Phishing Mails, welche die Kontodaten von Usern sammelten, konnten die Hacker so Zugriff auf die Konten vieler Menschen bekommen, über das SS7 Netzwerk SMS mit einer TAN darin abrufen und so mit den Konten anstellen, was sie wollten.
Wie Schützt man sich?
Da das hier beschriebene Problem im mTAN Verfahren wahrscheinlich nicht so schnell unter Kontrolle gebracht werden kann, kann man sich hier leider kaum selbstständig schützen – man kann aber an einer anderen Stelle ansetzen, wenn man jetzt denkt, dass das mTAN Verfahren unsicher ist.
1. Die erste Möglichkeit ist natürlich, komplett auf mTan zu verzichten und stattdessen auf Anbieter zu bauen, die mehr mit dem ChipTAN Verfahren arbeiten, wo der Nutzer seine TAN selbst generiert. Dieses Verfahren gehört heute bei den meisten Banken ebenfalls zum Standard.
2. Merkwürdig wirkende Emails der eigenen Bank ignorieren, am besten gar nicht erst öffnen, hat man sie doch geöffnet, auf keinen Fall irgendwelche Verlinkungen anklicken.
3. Insgesamt nur über die Hauptseite der eigenen Bank ins Online Banking einloggen, niemals über Links in Emails oder auf anderen Seiten.
Bildquelle: Vielen Dank an JESHOOTS für das Bild (JESHOOTS/www.pixabay.de)
Redakteur: Stephan Gert
Wir betrachten alle Themen gemeinsam und tauschen uns dazu aus. Denn nur viele Augen sehen alles! Das bedeutet mutual und macht Artikel damit neutraler, objektiver und transparenter.
