Hacker räumen Bankkonten von O2-Kunden leer

Nachdem Opfer auf eine Phishing-Mail hereingefallen waren, spähten die Kriminellen deren Mobilfunknummer aus und beantragten dafür eine neue SIM. Mit deren Unterstützung gelang es ihnen, das mTAN-Verfahren auszuhebeln.

Erneut ist es Kriminellen gelungen, das mTAN-Verfahren, das lange Zeit als sicher galt, zu umgehen und auf diese Weise Konten von Nutzer von Online-Banking leerzuräumen. 2015 waren in einem ähnlichen Fall Kunden der Deutschen Telekom betroffen. Nun sind nach Informationen der Süddeutschen Zeitung Kunden von O2 ins Visier der Kriminellen geraten, was auch daran liegen könnte, dass die Telekom die Hürden erhöht hatte, indem sie es damals erschwerte, eine neue SIM zu beantragen.

Motivfoto Hacker (Bild: Shutterstock)

Von der neuen Betrugswelle sind laut Süddeutscher Zeitung auch Personen in Deutschland betroffen. O2 hat inzwischen aber wohl Vorkehrungen getroffen, um diese Betrugsmasche zu verhindern.

„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden“, wie das Unternehmen gegenüber dem Blatt erklärte. Der Provider sei inzwischen gesperrt und die Kunden informiert worden. Die Polizei ermittelt noch.

Für die betroffenen Kunden ist der Vorfall gleich zweifach ärgerlich. Sie müssen erstens vorwerfen lassen, auf eine Phishing-Mail hereingefallen und ihre Anmeldedaten für das Banking Unbefugten preisgegeben zu haben. Zweitens nutzten die Kriminellen eine schon seit Jahren bekannte und mehrfach öffentlich angeprangerte Sicherheitslücke in SS7 aus, die von den Telekommunikationsanbietern längst hätte geschlossen werden können. Laut Süddeutscher Zeitung haben die sich nun im April in Berlin getroffen, um darüber zu beraten.

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

Die Kriminellen versendeten zunächst Mails, um deren Empfänger auf sogenannte Phishing-Seiten zu locken, also Webseiten, die den echten Anmeldeseiten von Banken täuschend echt nachempfundenen sind. Dort fragten sie unter einem Vorwand – oft werden dazu ironischerweise Sicherheitsgründe genannt – Kontonummer, Passwort und Mobilfunknummer ab. Kontonummer und Passwort verwendeten sie dann, um sich erst einmal einen Eindruck von der Vermögenslage zu verschaffen.

Wenn sie zu der Überzeugung kamen, dass ein Angriff lohnend sein könnte, beantragten sie für die Mobilfunknummer eine neue SIM-Karte. Sie nutzten dann die Schwachstelle in SS7 aus, um die bei jedem Überweisungsvorgang versandte TAN-Nummer auf diese Telefonnummer umzuleiten. Die Hacker griffen dazu auf das sogenannte Home Location Register (HLR) zu, eine Datenbank, mit der Provider untereinander prüfen können, ob eine SIM-Karte gültig ist.

Zugänge zu dieser Datenbank, die eigentlich Providern vorbehalten sein sollten, sind von SZ befragten Experten zufolge auf dem Schwarzmarkt schon für rund 1000 Euro erhältlich. Bei welchem Provider der oder die für den aktuellen Angriff genutzten Zugänge korrumpiert wurden und inwieweit der darin verwickelt ist, ist derzeit noch unklar. Klar ist lediglich, dass die Netzbetreiber schon längst hätten dafür sorgen sollen, dass Umleitungen für von ihnen ausgegeben SIM-Karten auch nur so vornehmen können.

Das bestätigt auch BSI-Präsident Arne Schönbohm: Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyber-Angreifer verfügen heute über die notwendigen Mittel und das notwendige Knowhow, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Auch in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking beherzigt, die wir auf unserer Webseite „BSI für Bürger“ veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht.“

ANZEIGE

Kostenloses Live-Webinar: Rechtzeitig compliant!

Erfahren Sie am 08.12.2017 um 10:30 Uhr im kostenlosen Live-Webinar mit David Pütz von KYOCERA, wie Ihnen Dokumentenlösungen helfen können, die Vorgaben der EU-Datenschutzgrundverordnung umzusetzen, die im Mai 2018 in Kraft tritt. Informieren Sie sich jetzt, denn den Unternehmen, die die Anforderungen der EU-DSGVO nicht erfüllen, drohen empfindliche Strafen.

[Mit Material von Peter Marwan, silicon.de]

Themenseiten: Mobilfunk, O2, Phishing, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker räumen Bankkonten von O2-Kunden leer

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *