mTAN
19.05.2014, 18:08 Uhr
Polizei warnt vor mobilen Banking-TANs
Gefahr beim Online-Banking: Das Bundeskriminalamt warnt vor mTANs, die als Einmal-TANs auf das Mobiltelefon gesendet werden. Sie lassen sich über manipulierte Apps klauen.
Das Bundeskriminalamt (BKA) und der Antivirenspezialist Kaspersky warnen vor der Nutzung von mTANs. „Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren“, sagt Christian Funk von Kaspersky gegenüber dem Nachrichtenmagazin Spiegel. Allein in den ersten drei Monaten dieses Jahres hat sich die Zahl an Smartphone-Attacken mit dem geläufigsten Trojaner Faketoken laut Kaspersky im Vergleich fast versechsfacht.
mTAN steht für mobile TAN. Bei diesem auch SMS-TAN genannten Verfahren sendet die Bank dem Kunden eine Kurzmitteilung, in der eine Transaktionsnummer steht. Diese ist nur für die aktuelle Überweisung gültig. Neben der TAN stehen in der Kurzmitteilung auch der Betrag und die Kontonummer des Empfängers.
Die Phishing-Mails, mit denen Kriminelle den Bankkunden eine Schad-App unterjubeln, lassen sich laut dem Bundeskriminalamt nicht mehr so leicht entlarven: „Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind“, so Heiko Löhr, Referatsleiter Cyberkriminalität beim Bundeskriminalamt, gegenüber dem Spiegel.
„Phishing“ ist ein Kunstwort aus den englischen Wörtern „Password“ und „Fishing“. Beim Phishing ahmen Angreifer populäre Webseiten oder E-Mails von bekannten Absendern nach, um Anwendern Zugangsdaten und Bankdaten zu entlocken oder Schadsoftware auf dem Rechner zu Empfängers zu installieren.
So schützen Sie sich
Deutlich sicherer ist das Online-Banking mit einem TAN-Generator, oft auch als Chip-TAN oder Smart-TAN plus bezeichnet.
Dieser TAN-Generator, in den der Kunde seine EC-Karte steckt, hat ein Display sowie eine Tastatur. Auch bei der Chip-TAN ist die Transaktionsnummer an eine bestimmte Überweisung gebunden. Der Betrag und die Kontonummer des Empfängers werden im Display des TAN-Generators angezeigt.
So funktioniert das Chip-TAN-Verfahren: Zunächst startet der Kunde auf der Webseite seiner Bank eine neue Überweisung. Anschliessend zeigt die Bank eine flackernde Grafik im Browser an – den Flickercode.
Der Kunde hält nun seinen TAN-Generator an den Flickercode auf dem Bildschirm. Anschliessend sieht man auf dem Gerät zuerst die Kontonummer des Empfängers, dann die zu überweisende Summe und zuletzt die TAN. Wenn alle Informationen korrekt sind, dann gibt der Kunde die Transaktionsnummer im Browser ein und autorisiert so seine Überweisung.