Der Banküberfall per Smartphone

17.12.2012 | 18:12 |  MATTHIAS AUER (Die Presse)

Ein Smartphone-Virus erleichterte Bankkunden in Italien, Spanien, Holland und Deutschland um 36 Mio. Euro. Mobile Schädlinge legen rasant zu. Auch das meistverkaufte Handy Österreichs hat eine Sicherheitslücke.

Drucken Versenden AAA
Schriftgröße
Kommentieren

Mehr zum Thema:

Wien. Es war ein konzertierter Angriff. Erst wurden tausende Computer mit dem „Eurograbber“-Virus infiziert. Als deren Nutzer ihr Smartphone mit dem Standgerät verbanden, nistete sich der Schädling auch am mobilen Endgerät ein. Am Ende standen 30.000 Bankkunden in Italien, Spanien, Holland und Deutschland mit leeren Konten da. Jeden Überweisungscode (TAN), den die Banken den betroffenen Kunden per SMS schickten, fing die Schadsoftware ab und überwies sofort Geld an die Auftraggeber. Geschätzte Beute: 36 Millionen Euro.

Mehr zum Thema:

Der aktuelle „Eurograbber“-Fall ist nur die Spitze des Eisbergs. Meldungen über neue Sicherheitslücken beim liebsten Spielzeug der Österreicher gibt es beinahe täglich. Erst am Montag wurde bekannt, dass auch Samsung ernste Probleme hat. Demnach gibt es beim meistverkauften Smartphone Österreichs, dem Samsung Galaxy S3, eine Sicherheitslücke, die es jeder App erlaubt, vollen Zugriff auf das Gerät zu bekommen. Samsung hat sich bisher nicht geäußert.

3325 Prozent mehr mobile Viren

Die zwei Geschichten sind keine Einzelfälle. Blickt man in die Statistiken, lässt sich ein bedrohlicher Trend ablesen. Angriffe von Cyberkriminellen verlagern sich zusehends vom Computer zu Hause auf das Smartphone in der Hosentasche. Im Vorjahr zählten die Sicherheitsexperten von Lookout 30.000 Schadprogramme allein für Android-Geräte. Ein Jahr davor waren es noch 250. Sechs Millionen Nutzer waren betroffen. Funktionierende Anti-Viren-Software wächst indes nur langsam nach.

Die Antwort der Österreicher? Keine. Mit dem Handy werden Bankgeschäfte getätigt oder bedenkenlos diverse Programme gesaugt. Wenn die Eltern ihre Ruhe wollen, drücken sie das sensible Teil ihren Kindern in die Hand. Die meisten unterschätzen die Gefahr, weil sie nicht ahnen, was in ihrem Smartphone eigentlich gerade alles passiert.

Bei „Standardangriffen“ seien Android-Geräte das „Ziel Nummer eins“, sagt Peter Teufl, IT-Sicherheitsexperte von der TU Graz. Just die geliebte Offenheit des Systems macht es Eindringlingen deutlich einfacher als etwa die beschränkte, aber dafür relativ sichere Welt von Apple. Laut einer Schätzung von Juniper Networks erhöhte sich die Zahl der Android-Schädlinge in den letzten Monaten 2011 um 3325 Prozent. „Mit gezielten und damit teuren Angriffen haben aber alle Plattformen die gleichen Probleme“, sagt Teufl. Am besten helfen würden regelmäßige Updates der eigenen Handysoftware.

Österreich hat Glück gehabt

Österreich – oder besser gesagt Österreichs Banken – hat bisher Glück gehabt. Die Auswirkungen der Sicherheitslücke Smartphone waren gering. Der „Eurograbber“-Virus ist hierzulande nicht aufgetaucht. Ein vergleichbarer Fall ist nicht bekannt. „Mobile-Banking ist genauso sicher wie Online-Banking“, sagt ein Sprecher der UniCredit. Entscheidend sei, dass die Nutzer ihren Menschenverstand benutzen und ihr Passwort etwa nicht im Handy speichern. Sollte doch etwas passieren, kommen die Kunden meist glimpflich davon. Handeln sie nicht grob fahrlässig, übernimmt die Bank die Haftung. „Wer offensichtlich Opfer einer Hackerattacke geworden ist, muss nichts bezahlen“, sagt ein Sprecher der Erste Bank.

 

„Supergau im Bankenkonzept“

Aaron Kaplan, Sicherheitsexperte bei Cert, einer Art Feuerwehr bei Cyberkriminalität, ist weniger optimistisch. Es stimme zwar, dass die meisten Probleme bisher beim Online-Banking zu Hause auftreten. Die größte Gefahr schlummere dennoch in den Smartphones. Lassen sich Nutzer ihren mobilen TAN auf dasselbe Gerät schicken, mit dem sie ins Online-Banking einsteigen, sei das „der Super-GAU im Konzept“. Die Idee, die Codes über einen separaten Kanal zu versenden, werde so unterlaufen. Eine einzige Infektion würde ausreichen, um auf alles zuzugreifen. Die Lösung lebt Cert-Leiter Robert Schischka vor: Auch er nutzt sein Smartphone für Mobile-Banking. Die TANs lässt er sich aber auf ein Uralt-Handy schicken.

Auf einen Blick

Cyberkriminelle verlegen sich zusehends vom Computer auf das Smartphone. In vielen Ländern sind Mobile-Banking-Kunden bereits Opfer geworden. Österreich ist bisher eine Insel der Seligen. Doch Sicherheitsexperten warnen auch hierzulande vor einem Super-GAU. Die gute Nachricht für Kunden: In den meisten Fällen haftet die Bank.

("Die Presse", Print-Ausgabe, 18.12.2012)

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Lesen Sie hier weiter zum Thema:

Mehr aus dem Web

36 Kommentare
 
12

ups

Ist ja nicht neu, daß Google Sicherheitslücken bei Androiden sehr lapidar behandelt.

"Die TANs lässt er sich aber auf ein Uralt-Handy schicken"

Was soll das bringen? Dann kann man die Überweisung ja gleich über den PC abwickeln. Wer schleppt denn unterwegs zwei Handys mit sich herum?!

kauft iPhones!

als Softwareentwickler fluche ich zwar auch ein wenig über die Restriktionen von Apple. Aber unterm Strich ist es das beste Betriebssystem!

Kapersky?

Kostenlose Anti-Viren-Software auch für Android?

Re: Kapersky?

Ich bin mit F-Secure recht zufrieden - kostet bisserl mehr als andere Antiviren Apps hat allerdings auch die besten Bewertungen.

Re: Kapersky?

avast

4 13

gut so

zockt sie ab ,die Smartphonefetischisten

0 0

Re: gut so

Oder du legst dir jedes Monat ein bisschen was weg. Bis 2015 hast du es auch beisammen-


Re: gut so

Hast dir noch keines zusammensparen können? Kränk dich nicht, ist ja bald Weihnachten.


Re: Re: gut so

das ist nicht der Grund ,verehrte Maria
Handyparken,Handyeinkaufen demnächst über NFC da keine Kasse mehr besetzt ist
glauben Sie ich lasse mir vorschreiben wie ich in Zukunft meine Waren und Dienstleristungen zu bezahlen habe,gezwungenermaßen ständig mit einer Wanze,sprich Smartphone in der Hosentasche durch die Gegend zu laufen ?
die Generation Handy darf sich gerne vor Geschäftemachern und Banken entblösen und ist offensichtlich dumm genug sich auf diese Weise über den Tisch ziehen zu lassen
ich poche weiterhin auf mein Recht als Kunde und erwarte Service
lG

5 1

Re: gut so

ja genau! endlich eine bewegung gegen die gefährlichen "smartphonefetischisten"...

lol.

Limit setzen!

Deshalb setzt man sich ja auch ein Limit für die Überweisungen. Mit einer TAN kann man dann nur mehr jene Summe überweisen, die man als Limit festgesetzt hat, z.B. 300 EUR. Dann noch den Überziehungsrahmen stornieren und gut ist!

Ist zwar auch bitter, wenn 300 EUR weg sind, aber wenigstens treibt es einen nicht in den finanziellen Ruin und niemand kann das Konto leerräumen.

6 1

Re: Limit setzen!

Ein Limit von 300 Euro?!
Wie soll man da Rechnungen bezahlen!?

Re: Re: Limit setzen!

wahrscheinlich noch studentin welche keine rechnungen aus dem realen leben zu bezahlen hat.

TAN?

Also ich weiß ja nicht, was das für seltsame mTANs waren, aber zumindest bei meiner Bank ist es so, dass im TAN-SMS auch die Empfängerkontonummer mitgeschickt wird, und die TAN nur für diese Transaktion auf dieses Konto gilt...falls es also jemand abfängt, kann er zwar die Überweisung für mich tätigen, aber das wars auch schon...

Re: TAN?

Wie ich das verstehe befällt der Virus zuerst den Computer, dann über den Computer das Smartphone, dann verändert er bei einer eingegebenen Überweisung im Hintergrund den Empfänger, der Teil am Handy fängt die TAN-SMS ab, sendet sie übers Internet an den Computer und dieser schließt die Überweisung ab. Der Benutzer wartet also auf eine TAN-SMS, die nie ankommt, und wenn er dann nachsieht was los ist, ist sein Konto leer.

0 0

Re: Re: TAN?

Sicher?
Braucht es dazu nicht eine App die auf beiden Systemen ausgeführt werden müsste?
Die meisten Androiden sehen einen PC nicht mal von der Ferne, da geht doch alles über die Googledienste.
Es sei denn manN ist ein "Schnorrer", holt sich eine 79 Cent App vom Backmart....was ich für äusserst Gefährlich halte, denn dort gibt es zusätzlich Updates, die mit den offiziellen Versionsnummern aus Googleplay wenig zu tun haben....

Re: Re: Re: TAN?

Die Google-Dienste reichen doch schon. Ich stell' einfach eine Android-App, getarnt als irgendetwas anderes, in den Android-Market und der Computervirus ruft im Hintergrund diesen Market auf und lässt die App am Handy installieren.

Re: TAN?

Die App veranlasst eine Überweisung, empfängt das mTAN-SMS still (ohne das sie es sehen) liest es aus und schwupps…

3 0

es gehört aber auch ein wenig Dummheit dazu

auf ein Email zu antworten, welches anscheinend von der Bank kommt in der die Telefonnummer abgefragt wird.

Re: es gehört aber auch ein wenig Dummheit dazu

Das war im konkreten Fall auch nicht notwendig.

Re: es gehört aber auch ein wenig Dummheit dazu

Ach, Sie haben es sicher schon mal gehört: den Hausverstand gibts leider nur beim Billa.

Da gibt es eine Super-Bank mit soooo viel Sicherheit für die Kunden:


Dort darf man beim online-banking mit einer Überweisungs-Summe von über 1.000,-- Euro ausschließlich mit mobile tans zeichnen.

Schon genial, wenn man den obigen Artikel liest. Danke, Bank Austria! Vielen, vielen Dank! Ist aber eh wurscht, weil das online banking dort nur in Ausnahmefällen und in olympischen Intervallen funktioniert.

Das Problem ist...

...nicht ein Hersteller, oder eine Plattform, sondern, der User!
Überweisungen und TAN's auf das ein und dasselbe Gerät ist eben eine spannende Sache ;-)

Ehh scho wuascht !!!

So lang man über veröffentlichung vom Vorratsdaten nachdenkt, ist das Proplem ein Klax. Ausserdem, wenn sich jemand böswillig ins Telefon einhacken möchte, dann schaft er das auch ohne App.

15 19

billig billig

samsung ist und bleibt billig und das hat folgen in der Sicherheit, die Software ist kompletter schei*, von der hardware nicht zu sprechen.

 
12
AnmeldenAnmelden