Wie Cyberkriminelle die SMS-TAN bei Online Banking abgreifen

Banken betreiben beträchtlichen Aufwand, damit Transaktionen beim Online-Banking sicher ablaufen: Neben Benutzernamen und Passwort sind zum Freischalten von Transaktionen TAN (Transaktionsnummern) nötig. Die finden sich entweder auf einer Liste ausgedruckt oder werden per SMS aufs Mobiltelefon geschickt. Wahlweise muss eine Chipkarte in ein per USB angeschlossenes Lesegerät gesteckt werden.

Dieses zusätzliche Sicherheitsmerkmal heißt in der Fachwelt „Zweiter Faktor“ (der erste Faktor ist das Passwort) und verspricht in der Tat mehr Sicherheit als ein einzelnes Kennwort. Und dennoch gelingt es Online-Kriminellen auf verschiedenen, teilweise außerordentlich trickreichen Wegen, diesen zweiten Schutzwall zu überspringen.

Ausgangspunkt ist in jedem Fall die Infektion des zum Online-Banking verwendeten PCs mit einer Schadsoftware. Ur-Vater aller Online-Banking-Schädlinge ist ZeuS, seine jüngeren Nachfolger heißen SpyEye, Citadel oder Neverquest. Sie können nicht nur jede Tastatureingabe abfangen – eine Fähigkeit aus dem kleinen 1×1 für Malware – sondern auch SMS-Tan aushebeln. Hierzu muss nach dem PC auch das Smartphone des Opfers infiziert werden. Dies übernimmt der Anwender selbst: Die Malware schleust auf dem PC einen legitim wirkenden Hinweis in die Webseite des Online-Bankingportals. Inhalt: Man müsse noch eine Sicherheitssoftware auf seinem Handy installieren, bevor das Bankgeschäft abgewickelt werden kann. Das Opfer gibt seine Handynummer ins entsprechende, von der Malware erzeugte Feld ein und erhält dann eine SMS. In dieser findet sich ein Link zum Download der vermeintlichen Sicherheitssoftware – die in Wahrheit natürlich die mobile Variante des digitalen Diebs ist.

Wird nun ein TAN-Code per SMS aufs Handy geschickt, fängt der Schädling den Code ab und leitet ihn an den Cyber-Gauner weiter. Inzwischen hat der Trojaner auf dem PC die vom Opfer initiierte Überweisung modifiziert, so dass das Geld auf einem vom Angreifer kontrollierten Konto landet. Zum Freischalten benötigt er nur den mitgeschnittenen TAN-Code. Ist alles erledigt, erscheint im Browser die Bestätigung der Überweisung – und zwar so, wie das Opfer sie erwartet. Der Schädling fälscht die Bildschirmausgabe und kann sogar die Transaktionen sowie den Kontostand des Onlinekontos entsprechend manipulieren. Erst wenn die Kontoauszüge auf Papier eintrudeln, erfährt der Geschädigte vom Bankraub.

Zum Aushebeln von ChipTAN greifen die Gauner zu einem raffinierten Trick: Die Malware, in diesem Fall SpyEye, fügt zur Liste der Kontobewegungen einen vermeintlichen Geldeingang hinzu. Ein entsprechender Hinweis im Online-Konto sagt dem Opfer, dass ihm versehentlich Geld gutgeschrieben wurde, das er bitte auf ein anderes Konto erstatten solle. Andernfalls würde sein Konto vorerst eingefroren. Nachdem das Opfer die Überweisung selbst startet, muss SpyEye das ChipTAN-Verfahren gar nicht erst angreifen: Der Geschädigte gibt die Überweisung durch Eingabe eines Codes ja selbst frei.

Schutz vor all diesen und weiteren Angriffen aufs eigene Online-Konto bietet – natürlich – eine stets aktualisierte Antivirensoftware. Außerdem sollten sämtliche Warnlampen im Kopf leuchten, wenn auf der Anmeldeseite der Bank plötzlich weitere Daten wie die eigene Telefonnummer abgefragt werden. Egal wie legitim die Erläuterung hierzu auch ausfallen mag: Ein Anruf bei der Bank klärt binnen Sekunden, ob der Hinweis echt ist oder aus der Feder des Banking-Trojaners stammt.