BSI warnt: Malware klaut mTAN-Nummern fürs Online-Banking

Um sich den Smartphone-Schädling einzufangen, muss sich allerdings erst ein Schädling auf dem PC einnisten. Dieser fügt zusätzliche Eingabefelder und Nachrichten in Online-Banking-Webseiten ein, die den Anwender dazu auffordern, Handy-Nummer, Handy-Modell und IMEI-Nummer (International Mobile Equipment Identity) zu übermitteln. Angeblich würden diese Daten für ein Zertifikatsupdate benötigt.

Anschließend schickt die Schadsoftware per SMS einen Link an das Gerät. Smartphone-Nutzer, die diesen öffnen, laden jedoch Malware herunter, die künftig bei allen Online-Transaktionen die mTAN-Nummern abgreift.

Grundsätzlich sei das mTAN-Verfahren ein Sicherheitsgewinn beim Online-Banking, so das BSI, da für das Online-Banking und die Übermittlung der TAN verschiedene Übertragungswege genutzt werden. Die neue Schadsoftware versuche allerdings diese Trennung auszuhebeln, indem sie den Nutzer zur Eingabe von Handy-Daten am PC verleite. »Seien Sie misstrauisch, wenn Sie auf Ihrer Online-Banking-Seite gebeten werden, andere Daten einzugeben, als dies normalerweise der Fall ist. Fragen Sie im Zweifelsfall bei Ihrer Bank nach«, raten die Sicherheitsexperten.

Nach Meinung des BSI wird die Zahl derartiger Angriffe künftig wachsen. Zum einen würden die Angreifer versuchen mit den verbesserten Sicherheitsmechanismen beim Online-Banking mitzuhalten, zum anderen nehme die Zahl der Angriffe auf Smartphones ganz allgemein zu – nicht zuletzt weil viele Nutzer den Schutzbedarf mobiler Endgeräte noch unterschätzen, so das BSI. Zwar besitze jeder Vierte mittlerweile ein internet-fähiges Handy oder Smartphone, doch ein Drittel wüsste nicht, Sicherheitsvorkehrungen und Schutzmaßnahmen wie am PC notwendig seien.