Gebote in Untergrund-Foren bis zu 25.000 Euro für das sechs Jahre alte Nokia-Handy-Modell 1100 haben zu Spekulationen geführt, dass es Kriminellen gelungen ist, mit diesen Modellen das mTAN-Verfahren beim Online-Banking auszuhebeln. Beim mTAN- oder SMS-TAN-Verfahren der Postbank, Sparkassen und Volksbanken erhält der Bankkunde eine TAN per SMS und kann diese für die Bestätigung seiner Transaktion eingeben. Der einzige Schwachpunkt des Verfahrens war bisher, dass das Opfer sein Handy aus der Hand geben kann oder verliert und ein Betrüger so in den Besitz einer gültigen TAN gelangt.
Durch Manipulationen der Firmware des Nokia 1100 soll es laut Bericht aber möglich sein, die Telefonnummer des Handys zu fälschen und sich mit der Nummer des Opfers einzubuchen, meint das holländische Unternehmen Ultrascan Advanced Global Investigations. Anlass dafür waren die Beobachtungen der hohen Preise durch Ermittlungsbehörden, die sich hilfesuchend an Ultrascan wendeten. Durch die Manipulation soll die von der Bank verschickte SMS mit der TAN beim Angreifer landen. Allerdings muss der Betrüger zum Einbruch in das Bankkonto immer noch an die PIN seines Opfers gelangen – entweder über Phishing-Seiten oder einen Trojaner.
(http://www.heise.de/bilder/136547/0/0)
Grundsätzlich ist es in Mobilfunknetzen ohnehin möglich, eine Telefonnummer mehreren SIM-Karten zuzuordnen. Die Zuordnung der Nummer zur SIM ist aber Sache des Providers. Für eine Manipulation wäre eher ein Hack der SIM-Karte erforderlich, um dem Netz eine der Rufnummer zugeordnete SIM vorzugaukeln. Welches Handy dann bei einem Anruf klingelt, lässt sich in der Regel beim Provider konfigurieren. Ein Hack der Nokia-Firmware dürfte also kaum ausreichen, um die für das Opfer bestimmte SMS-Nachrichten auf das Betrüger-Handy umzuleiten.
Quelle : www.heise.de
Handy konnte bisher nur einmal für einen Angriff missbraucht werden
Vor einem Monat machte ein Bericht eines Sicherheitsunternehmens die Runde, wonach Kriminelle bis zu 25.000 Euro für ein bestimmtes Nokia-Handy zahlen. Der Grund: Sie wollen das Mobiltelefon manipulieren, um an Bankkontodaten zu gelangen. Bisher gab es keine direkte Bestätigung dafür. Nun liegt sie vor.
Gegenüber PCWorld.com erklärte das niederländische Sicherheitsunternehmen Ultrascan Knowledge Process Outsourcing, dass erfolgreich ein Nokia 1100 gehackt wurde und Bankkontodaten ausgespäht wurden. Mit dem Hack lässt sich das Mobiltelefon mit einer anderen als der über die SIM-Karte zugewiesenen Rufnummer betreiben. Auf diesem Weg könnten Unbefugte an mTANs gelangen, um darüber Zugriff auf ein fremdes Konto zu erlangen.
Beim Onlinebanking über das Mobiltelefon wird eine mTAN an die Rufnummer des Kontoinhabers per SMS gesendet. Diese mTAN ist nur für die angeforderte Transaktion sowie für kurze Zeit gültig. Damit soll Missbrauch eigentlich verhindert werden. Indem die versendete mTAN abgefangen wird, kann das Sicherheitskonzept umgangen werden.
Ultrascan ist es bislang mit einem manipulierten Mobiltelefon nur einmal gelungen, eine solche mTAN abzufangen. Derzeit wird geprüft, ob dies auch wiederholt möglich ist, indem die Firmware des Mobiltelefons umprogrammiert wird. Die Umprogrammierung lässt sich nur mit einem Nokia 1100 ausführen, das in Bochum gefertigt wurde. Nur diese Modellserie weist einen Fehler auf, um das Mobiltelefon zu hacken.
Damit Unbefugte etwas mit der mTAN anfangen können, müssen sie auch im Besitz der Anmeldedaten des betreffenden Kontos sein.
Quelle : www.golem.de