Das mTAN Verfahren wurde in der letzten Woche für unsicher erklärt. Nicht nur das BSI haben die Meldung herausgegeben, auch zahlreiche andere Medien haben sich dem angeschlossen. Aber was steckt hinter dem Angriff? Sind alle online Konten nun in Gefahr?
Um das mTAN Verfahren auszuhebeln ist viel Vorarbeit nötig!
Nein. Nicht alle Konten sind in Gefahr wenn man sich umsichtig verhält. Damit das mTAN Verfahren ausgehebelt werden kann ist nämlich ein erfolgreicher Phishing-Angriff Voraussetzung. Doch die geringen Hürden und die Deregulierung des SS7 Netzes – welches für Roaming, Rechnungsstellung und den SMS-Versand nötig sind und weltweit zum Einsatz kommt – bilden die Grundlage für den erfolgreichen Angriff auf das Konto.
So könnte ihr Konto geräumt werden, wenn das mTAN Verfahren genutzt wird.
Der Angreifer braucht ihr Zugangsdaten zum online Banking. An diese Informationen gelangt der Angreifer, in dem er mit Phishing Mails arbeitet. Dabei werden nicht nur die Zugangsdaten abgefragt – sondern auch die Handynummer. Im Gegensatz zu den Zugangsdaten zum online Banking empfinden (gefühlt) viele die Handynummer nicht als sensible Informationen. Doch um die SMS abzufangen, ist sie unbedingt nötig.
Ist der Phishing-Angriff erfolgreich – und der Angreifer im Besitz von Zugangsdaten und Handynummer – wird mithilfe des SS7 Netzes, bei dem sich der Angreifer für wenige Tausend Euro als Mobilfunkanbieter registrieren lassen hat, eine Umleitung für die Handynummer eingerichtet. Jetzt hat der Angreifer alle nötigen Informationen um online Banking in Ihrem Namen durchzuführen. Wir fassen zusammen was nötig ist:
- Sie müssen auf einen Phishing Angriff hereinfallen
- Der Angreifer benötigt ihre Zugangsdaten
- Der Angreifer benötigt ihre Handynummer, auf der die mTAN gesendet werden
- Der Angreifer muss auf das SS7 Netz zugreifen können
Da Sie die mTANs nach wie vor empfangen, finden die Angriffe auf das Bankkonto häufig nachts statt.
Das mTAN Verfahren kann in den Ruhestand – es gibt Alternativen!
Jetzt könnte man die Zugangskontrollen für das SS7 Netz erhöhen, um mTAN wieder sicher zu machen. Voraussichtlich wird dies auch geschehen – doch am mTAN Verfahren sollte man nicht unnötig festhalten. Um auch in Zukunft beim online Banking gut aufgestellt zu sein, verabreden Sie einen Termin mit dem Bankberater Ihres Vertrauens. Eine gern genutzte Alternative ist z.B. das ChipTAN Verfahren.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Meine Meinung zum mTAN Verfahren.
Die Aushebelung einer Zwei-Faktor-Authentifizierung ist schon mit viel Aufwand verbunden. Aber der Angriff zeigt, dass auch diese Verfahren durchaus angegriffen werden kann. In der Vergangenheit gab es aber auch andere Angriffe die erfolgreich waren. Schäden werden aber häufig von den Banken reguliert.
Da ein erfolgreicher Phishing-Angriff Voraussetzung für den Angriff ist, muss man nicht hektisch werden. Eine erhöhte Sensibilität beim Umgang mit dem online Banking ist aber angebracht. Ein Wechsel zum ChipTAN Verfahren macht aber durchaus Sinn. Vom PushTAN Verfahren rate ich grundsätzlich ab.
Weitere Informationen und Quellen
[1] Schwachstellen im Mobilfunknetz: Stellungnahme des BSI (bsi.bund.de)
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
