Diese Frage wird akut. Denn offenbar können Betrüger das vermeintlich sichere Verfahren jetzt überwinden.
Das so genannte mTan-Verfahren im Online-Banking gilt als äussert sicher, und so wird es auch von zahlreichen Schweizer Banken genutzt, etwa von diversen Kantonalbanken, von der Clientis-Gruppe oder von der Coop-Bank.
Denn bei mTan wird jede Überweisung erst durch eine Nummer autorisiert, welche auf das Handy der berechtigten Person gesandt wird – also auf ein zusätzliches und völlig anderes Gerät.
In Deutschland wurden jetzt aber mehrere Fälle bekannt, wo Betrüger das Verfahren überlisten und auf einzelne Online-Konti zugreifen konnten. Mindestens fünf Personen sind mittlerweile betroffen, dabei wurden Beträge zwischen 58'000 und 78'000 Euro abgehoben.
Handy-Nummer gefunden, SIM-Karte bestellt
Wie dies vor sich ging, wird derzeit noch polizeilich abgeklärt. Laut diversen Fachmedien (zum Beispiel hier, hier und hier) dürften aber auch hier Phishing-Methoden oder Trojaner zum Einsatz gekommen sein. Irgendwie müssen es die Täter geschafft haben, sich zugleich die Handy-Nummern als auch die Kundennummern zu besorgen.
Danach bestellten sie wohl eine weitere SIM-Karte für die Telefonnummer an eine eigene Adresse. Wie der Branchendienst «Heise» kalkuliert, dürften sie die SIM-Karte so konfiguriert haben, dass die SMS auf einem eigenen Handy landeten. Sobald das System der Bank die TAN – also die zum Einloggen notwendige Nummer – versandte, landete sie auch bei den Tätern.
Danach war es ein Leichtes, die Konti zu leeren und die Sparguthaben ins Ausland zu transferieren.
Was ist daraus zu lernen?
- Niemals Handy-Nummern auf einem Gerät speichern, wo auch die Kundendaten einer Bankverbindung zu finden ist. Eine Quelle für die Betrüger könnten zum Beispiel online gespeicherte Telecom-Rechnungen sein.
- Überhaupt strikte darauf achten, welche Informationen man auf dem Gerät hat, welches man zugleich fürs Online-Banking verwendet.
- Wertvolle Konten abtrennen, nicht online führen. Selbst das allgemein als sicher geltende mTan-Verfahren nur für Konti mit kleineren Beträgen verwenden.
- Und/oder Limiten setzen für Konti, die online genutzt werden.
- «Wir empfehlen Kunden dringend, einen aktuellen Virenschutz auf ihrem Rechner zu installieren, um sich davor zu schützen», so ein weiterer Tipp eines Sprechers der Deutschen Telecom.
Denn eines wird hiermit definitiv wieder klar: Beim Online-Banking gibt es keine hundertprozentige Sicherheit.
Mehr/Quellen: «Die Zeit», «Süddeutsche Zeitung», «Strafakte»