14.11.2012, 12:09
Gerade gelesen:
Online-Kriminelle plündern Bankkonten von Android-Nutzer aus
14.11.2012, 10:17 Uhr | Andreas Lerg
Online-Banking: Trickbetrüger räumen Konten von Android-Nutzern leer. (Quelle: t-online.de)
Besitzer von Android-Smartphones sind in den letzten Wochen vermehrt Opfer von Konto-Dieben geworden. Die Polizei Berlin ermittelt in einer wachsenden Zahl von Fällen, in denen die Konten der Betroffenen komplett geplündert wurden, auch der verfügbare Überziehungsrahmen wurde ausgeschöpft. Die Opfer bleiben in der Regel auf dem Schaden sitzen. Möglich wird der Diebstahl durch ein gefälschtes Sicherheitsupdate, mit dem ein Banking-Trojaner auf die Smartphones geschmuggelt wird.
Beim Landeskriminalamt Berlin häufen sich Strafanzeigen von Bankkunden, die am Online-Banking mit dem mTAN-Verfahren teilnehmen und Opfer von betrügerischen Geldabbuchungen wurden. Wie die Berliner Polizei in einer Pressemitteilung erklärt, wurden in allen Fällen die über SMS übermittelte mTAN für das Online-Banking abgefangen. Und in allen Fällen verwendeten die Opfer ein Smartphone mit dem Android-Betriebssystem von Google. mTAN wird per Trojaner abgefangen
Der Angriff der Online-Kriminellen erfolgt in zwei Stufen. Zunächst wird auf dem Computer des Opfers unbemerkt ein Trojaner installiert. Das geschieht beispielsweise über präparierte Internetseiten. Der Trojaner späht Bankverbindung, Kontonummer und PIN aus und verschafft den Tätern damit den Zugang zum Konto. In der zweiten Stufe wird ein Warnfenster angezeigt, dass den Kontoinhaber auffordert, ein zwingend notwendiges Sicherheitsupdate für das mTAN-Verfahren auf seinem Smartphone zu installieren. Er wird aufgefordert, seine Handynummer und das Handymodell in ein Formular einzugeben. Kommt er der Aufforderung nach, erhält er kurz darauf eine SMS mit einem Link zu dem vermeintlichen Sicherheitsupdate. Mit der Installation dieses Updates infiziert der Nutzer sein Android-Smartphone mit einem Trojaner: Der fängt eingehende SMS-Nachrichten ab und kann den Tätern so auch eine eingehende mTAN übermitteln.
Mit den ausgespähten Kontodaten und der abgefangenen mTAN können die Täter dann das Konto des Opfers leerräumen. Das Nutzen der korrekten mTAN hebelt die Sicherheitssysteme der Bank aus – für die Bank sieht es so aus, als hätte der tatsächliche Kontoinhaber die Überweisung veranlasst. Die Täter plündern das Konto bis zum maximalen Limit, welches der Überziehungsrahmens hergibt. Laut der Polizei ist eine Rückbuchung ist nicht möglich und auch der Versicherungsschutz der Bank dürfte nicht greifen, da der Diebstahlt durch Fahrlässigkeit des Kunden zustande kam.
Polizei rät: Bank vorab kontaktieren
Die Polizei Berlin rät Online-Banking-Nutzern, skeptisch zu werden, wenn sie am Computer zu Sicherheitsupdates im Zusammenhang mit Online-Bankgeschäften aufgefordert werden. Sie sollten der Anweisungen auf keinen Fall folgen. Stattdessen sollten sie die Bank kontaktieren und nachfragen, ob diese Aufforderung zum Sicherheitsupdate tatsächlich von der Bank stammt. Das gleiche gilt für Anfragen, die per Mail eintreffen. Denn auch per Phishing versuchen Online-Kriminelle nach wie vor, vertrauliche Daten zu erbeuten. Grundsätzlich sollten auf einem Computer und einem Smartphone immer aktuelle Virenschutzsoftware und eine Firewall aktiv sein. Damit sind Nutzer auch vor Internetseiten geschützt, die mit Schadcode präpariert sind.
Online-Kriminelle plündern Bankkonten von Android-Nutzer aus
14.11.2012, 10:17 Uhr | Andreas Lerg
Online-Banking: Trickbetrüger räumen Konten von Android-Nutzern leer. (Quelle: t-online.de)
Besitzer von Android-Smartphones sind in den letzten Wochen vermehrt Opfer von Konto-Dieben geworden. Die Polizei Berlin ermittelt in einer wachsenden Zahl von Fällen, in denen die Konten der Betroffenen komplett geplündert wurden, auch der verfügbare Überziehungsrahmen wurde ausgeschöpft. Die Opfer bleiben in der Regel auf dem Schaden sitzen. Möglich wird der Diebstahl durch ein gefälschtes Sicherheitsupdate, mit dem ein Banking-Trojaner auf die Smartphones geschmuggelt wird.
Beim Landeskriminalamt Berlin häufen sich Strafanzeigen von Bankkunden, die am Online-Banking mit dem mTAN-Verfahren teilnehmen und Opfer von betrügerischen Geldabbuchungen wurden. Wie die Berliner Polizei in einer Pressemitteilung erklärt, wurden in allen Fällen die über SMS übermittelte mTAN für das Online-Banking abgefangen. Und in allen Fällen verwendeten die Opfer ein Smartphone mit dem Android-Betriebssystem von Google. mTAN wird per Trojaner abgefangen
Der Angriff der Online-Kriminellen erfolgt in zwei Stufen. Zunächst wird auf dem Computer des Opfers unbemerkt ein Trojaner installiert. Das geschieht beispielsweise über präparierte Internetseiten. Der Trojaner späht Bankverbindung, Kontonummer und PIN aus und verschafft den Tätern damit den Zugang zum Konto. In der zweiten Stufe wird ein Warnfenster angezeigt, dass den Kontoinhaber auffordert, ein zwingend notwendiges Sicherheitsupdate für das mTAN-Verfahren auf seinem Smartphone zu installieren. Er wird aufgefordert, seine Handynummer und das Handymodell in ein Formular einzugeben. Kommt er der Aufforderung nach, erhält er kurz darauf eine SMS mit einem Link zu dem vermeintlichen Sicherheitsupdate. Mit der Installation dieses Updates infiziert der Nutzer sein Android-Smartphone mit einem Trojaner: Der fängt eingehende SMS-Nachrichten ab und kann den Tätern so auch eine eingehende mTAN übermitteln.
Mit den ausgespähten Kontodaten und der abgefangenen mTAN können die Täter dann das Konto des Opfers leerräumen. Das Nutzen der korrekten mTAN hebelt die Sicherheitssysteme der Bank aus – für die Bank sieht es so aus, als hätte der tatsächliche Kontoinhaber die Überweisung veranlasst. Die Täter plündern das Konto bis zum maximalen Limit, welches der Überziehungsrahmens hergibt. Laut der Polizei ist eine Rückbuchung ist nicht möglich und auch der Versicherungsschutz der Bank dürfte nicht greifen, da der Diebstahlt durch Fahrlässigkeit des Kunden zustande kam.
Polizei rät: Bank vorab kontaktieren
Die Polizei Berlin rät Online-Banking-Nutzern, skeptisch zu werden, wenn sie am Computer zu Sicherheitsupdates im Zusammenhang mit Online-Bankgeschäften aufgefordert werden. Sie sollten der Anweisungen auf keinen Fall folgen. Stattdessen sollten sie die Bank kontaktieren und nachfragen, ob diese Aufforderung zum Sicherheitsupdate tatsächlich von der Bank stammt. Das gleiche gilt für Anfragen, die per Mail eintreffen. Denn auch per Phishing versuchen Online-Kriminelle nach wie vor, vertrauliche Daten zu erbeuten. Grundsätzlich sollten auf einem Computer und einem Smartphone immer aktuelle Virenschutzsoftware und eine Firewall aktiv sein. Damit sind Nutzer auch vor Internetseiten geschützt, die mit Schadcode präpariert sind.