Das mTAN-, auch als mobileTAN-Verfahren bezeichnete Online-Banking-System, wurde von vielen deutschen Banken als scheinbar sicherer Nachfolger des (i)TAN-Verfahrens übernommen. Im Prinzip sendet die Bank dabei die TAN in Kombination mit sonstigen Transaktionsdaten an ein zuvor verifiziertes Mobiltelefon des Kunden. Nun ist allerdings auch für deutsche Kunden besondere Vorsicht bei der Nutzung des mTAN-Verfahrens geboten, denn der Trojaner SpyEye macht Jagd auf die Daten der Nutzer. Nach dem Vorbild des internationalen Banking-Trojaners ZeuS können Transaktionsdaten und TANs ausgespäht und durch Dritte verwendet werden. Bei der Nutzung von Online-Banking-Diensten auf einem Windows PC kann der Trojaner die Informationen nicht direkt manipulieren, die Schadsoftware nutzt aber einen raffinierten Trick.
Trojaner will angeblich Zertifikat updaten
Beim Besuch der Online-Banking-Seite einer Bank blendet der Trojaner SpyEye eine Meldung ein, dass ein neues Zertifikat auf das Mobiltelefon übertragen werden müsse. Dazu müsse der Kunde seine Rufnummer und die IMEI eingeben, wenig später erhält dieser eine Kurzmitteilung mit einem angeblichen Installer für das nötige Zertifikat. Wenn dieser Installer ausgeführt wird, wird auf dem Display folgende Mitteilung angezeigt: Die Seriennummer des Zertifikats: Ü88689-1299F. Schon jetzt kann der Trojaner bei folgenden Transaktionen Daten auslesen und an Webserver übermitteln, für Unwissende scheint jedoch alles in Ordnung zu sein. Doch im Hintergrund installiert das Trojanische Pferd Spionage-Software. Ersten Untersuchungen zufolge ist die Schadsoftware auf Symbian-Smartphones, etwa solche von Nokia, spezialisiert. Die Software wird ohne Warnungen installiert, da sie über ein chinesisches Entwickler-Zertifikat verfügt, die kostenlos bei Dienstleistern wie OPDA erhältlich sind.
Sicherheit des mTAN-Verfahrens in Frage gestellt?
Die Spionage-Software SpyEye zeigt, wie einfach scheinbar sichere Systeme ausgetrickst werden können. In diesem Fall reicht es auch nicht, die Installation von Apps auf solche zu limitieren, die aus vertrauenswürdigen Quellen stammen, da das Zertifikat den Installer als vertrauenswürdig einstuft. Sollte man den Verdacht hegen, von SpyEye betroffen zu sein, empfiehlt sich das Aufsuchen der Bank sowie der vorläufige Verzicht auf Online-Banking-Dienste mit dem mobileTAN-Verfahren. Eine derzeit sichere Alternative sind auch die SmartTAN (optische TAN) sowie das ChipTAN-Verfahren.