Polizei warnt vor SMS-Spionen

Vor dreisten Betrügern warnt jetzt das Landeskriminalamt Berlin. Die Kriminellen spionieren offenbar vermehrt die Bankdaten von Onlinebanking-Kunden aus und nehmen dabei Anwender ins Visier, die am SMS-TAN-/mTAN-Verfahren teilnehmen.

Diese Kunden sind der Polizei zufolge Opfer von betrügerischen Geldabbuchungen geworden. In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen. Für ihre Machenschaften verwenden die Täter einen

Trojaner, der dazu heimlich auf den Computer des Bankkunden geschleust wird. Über diesen Schadenscode spähen die Cybergangster die Kontoverbindung (Kontonummer und Zugangs-PIN) aus, um so Zugriff auf das Onlinebankkonto zu erhalten. Überdies wird dem Bankkunden durch die Schadsoftware ein Fenster mit der Aufforderung zu einem zwingend notwendigen Sicherheitsupdate für das mTAN-Verfahren angezeigt. Für dieses Update soll der Anwender dann seine Mobilfunknummer und das Handymodell angeben. Wenn der Bankkunde dieser vermeintlichen Aufforderung seiner Bank folgt und die gewünschten Daten eingibt, wird eine aktive SMS mit einem Link zum Sicherheitsupdate auf sein Smartphone geschickt, das er mit »Bestätigen« ausführen muss.

Statt des angekündigten Sicherheits-Updates landet jedoch eine Schadsoftware auf dem Smartphone des ahnungslosen Anwenders. Über dieses Spionageprogramm erhalten die Kriminellen dann Zugriff auf die an das Smartphone geschickten SMS, so auch die mTAN, die per SMS übermittelt wird, bekommen. Ab sofort werden alle SMS, die eine mTAN enthalten, vom Bankkunden unbemerkt an das Handy der Cyberdiebe weitergeschickt. Durch die Informationen können die Täter dann Überweisungen vom Konto des Bankkunden in Auftrag geben. Über die erbeuteten mTAN, die an das Täterhandy umgeleitet werden, lassen sich diese Aktionen autorisieren. Mit diesem Trick räumen die Kriminellen dann das Konto des Opfers vollständig (auch incl. des verfügbaren Überziehungsrahmens) leer.

Die Polizei rät Onlinebanking-Kunden dringend dazu, eine vermeintliche Aufforderung ihrer Bank zu einem Sicherheitsupdate für ihr Handy nicht zu befolgen. Stattdessen sollte man sich direkt bei Bank erkundigen, ob das Geldinstitut eine solche Aufforderung verschickt hat. Zudem ist es den Experten zufolge sinnvoll, den PC und das Smartphone mit aktueller Virenschutzsoftware auszustatten und eine Firewall zu verwenden. Nicht zuletzt sollten Anwender bedenken, dass sie ihre Geräte auch beim Besuch entsprechend manipulierter Webseiten infizieren können.