Zwar gelten die aktuell im Online-Banking eingesetzten TAN-Verfahren als hinreichend sicher, doch hält dies kriminelle Betrüger nicht davon ab einen neuen Versuch zu starten, um uns um unser Geld zu betrügen.
Ein neuer Trojaner namens Tatange fordert den Benutzer, eines infizierten Systems, beim Besuch einer Bankingwebsite auf, sich durch Eingabe einer mTAN zu authentifizieren. Bereits jetzt sollte man als Nutzer misstrauisch werden. Der Besuch und die bloße Betrachtung einer Webseite ist grundsätzlich möglich, ohne das man sich dazu anmelden muss.
Solltet ihr also eine solche Aufforderung auf eurer Online-Banking Seite erhalten, ist dies ein Indiz dass euer System evtl. mit Maleware versucht ist. In diesem Fall solltet ihr euer System mit einer aktualisierten Antivirussoftware überprüfen.
Die mTAN an sich erhält der Anwender, wie gewohnt per SMS. Die SMS enthält wie üblich Details zur Überweisung. Der Trojaner behauptet mit einer Meldung, dass es sich dabei um „experimentelle Daten“ handelt, die man ignorieren soll. Spätestens jetzt sollte der gesunde Menschenverstand Alarm schlagen. Von der Eingabe dieser mTAN sollte unbedingt abgesehen werden. Banken und Sparkassen fragen niemals nach einer TAN, ausser es soll eine Transaktion des Online-Bankings damit autorisiert werden.
In diesem Fall ist der Betrugsversuch so offensichtlich, dass ich mich Frage wie jemand auf diese Masche hereinfallen kann. Leider konnte ich noch keine Informationen recherchieren ob und wie viele Betrugsopfer es bisher in Deutschland gegeben hat.
Für mich ist klar, gegen diesen Trojaner schützt der gesunde Menschenverstand besser als jedes Antivirus Programm. Also bleibt wachsam. ;-)
Mal meine Frage dazu:
wie schafft es dieser Virus/Trojaner oder was es ist, meine Bank dazu zu bringen, mir eine TAN zu schicken?
Der Trojaner, der dein System infiziert hat, erkennt, dass du auf einer Bankingseite bist, wartet dass du dich anmeldest und schickt dann die Befehle an die Seite, welche den Überweisungsauftrag auslösen.Falls man seine Logindaten für das Online-Banking im Browser speichert, kann der Trojaner unter Umständen sogar die Anmeldung im Hintergrund ausführen. Sprich sobald du dich angemeldet hast (oder der Trojaner dies für dich erledigt hat) schickt er im Hintergund den Überweisungsauftrag los. Da es für deine Sparkasse/Bank so aussieht, als hättest du diese Daten eingegeben schickt sie dir die mTAN.
Das schöne an der mTAN ist ja gerade, dass man mit dem Text in der SMS überpüfen kann, ob die Überweisung so bei der Bank angekommen ist wie man ihn eingegeben hat. Das soll vor Man-in-the-Middle Angriffen schützen.