Sicherheit von Smartphones: Phishers Phritze spähen mobil
Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig.
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs- und Transaktionsdaten zu gelangen. Nutzer-PCs seien mit Trojanern infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres Mobiltelefons aufgefordert hätten.
Mittels der dann installierten Software konnten die Diebe daraufhin auch die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen. Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der Website seiner Bank ein, will er eine einzelne Aktion wie eine Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben.
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per SMS an das Telefon des Bankkunden gesandt.
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind“, sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben. Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte getrennt voneinander sind.“
„Sicherheitsupdates“ auf der Bankseite
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten.
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden, spätestens dann werden, wenn ihnen auf ihrer Bankwebsite „Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das smsTAN-Verfahren benötigen Kunden weder eine Software noch ein Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer, Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu Installationen dieser Art auffordern.“
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und Computer wären heute entweder gleich integriert, wie im Fall von Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur teilen wie das heimische WLAN.
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein, dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte setzen können.“ Aber das wäre für mobile Endgeräte ein herber Komfortverlust.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Wirbel um KI von Apple
BBC kritisiert „Apple Intelligence“
Russische Männer auf TikTok
Bloß nicht zum Vorbild nehmen
Streit um Russland in der AfD
Chrupalla hat Ärger wegen Anti-Nato-Aussagen
Umgang mit nervigen Bannern
Bundesrat billigt neue Regeln für Cookies