Neuer Online-Banking-Betrug mittels mTAN bei O2-Kunden

O2-Kunden sind in der letzten Zeit mehrfach Opfer von Online-Banking-Betrug mittels mTAN geworden. Das berichten heute mehrere Online-Medien, unter anderem SZ.de und Zeit-Online. Dem Betrug zugrunde lag eine Sicherheitslücke, die bereits seit zwei Jahren bekannt ist.

Wie läuft der Betrug ab?

Kurz gesagt werden bei dieser Betrugsmasche SMS mit mTAN an andere Mobilfunknummern weitergeleitet und dann zur betrügerischen Überweisung genutzt.

Während bei älteren Fällen hierfür noch Ersatz-Simkarten von den Tätern geordert wurden, nutzten die Betrüger in den aktuellen Fällen einen Zugang zum SS7-System. Beim SS7-System (Signaling System #7) handelt es sich um ein Netzwerksystem, über welches die Mobilfunkprovider verschiedene Signalisierungsdienste (SMS, Anrufe, Roaming etc.) anbieten (technische Hintergründe bei Wikipedia).

Mit krimineller Energie und gefälschten Identitäten konnten wohl auch die Täter einen Zugang zu diesem System erhalten. Sie loggten sich über zuvor mittels Trojanern erspähten Daten in das Online-Banking der Opfer ein und starteten dort eine betrügerische Überweisung. Durch den Zugang zum SS7-System konnten sie dann die SMS mit der mTAN auf ihre Mobilfunknummer umleiten und die Transaktion freigeben. Die Online-Banking-Kunden bekamen davon zunächst überhaupt nichts mit.

Wer ist betroffen?

Nach Angaben von SZ.de war die Betrugsmasche bis vor kurzem bei allen O2-Kunden möglich, die bei ihrem Online-Banking auf das mTAN-Verfahren setzen. Auf Anfrage von SZ.de hat Telefonica, Betreiber des O2-Netzes, den Vorfall bestätigt:

„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden.“

Mittlerweile sei der Provider allerdings gesperrt und die Polizei informiert worden. Bei wie vielen Kunden tatsächlich mit dieser Masche Konten leergeräumt wurden, ist noch nicht bekannt.

Was können Betroffene tun?

Betroffene Kunden sollten sich zunächst direkt an Ihre Bank wenden und den Zugang zum Online-Banking vorübergehend sperren lassen. Die betroffenen Geräte (PC/Smartphone) sollten möglichst auf den Werkszustand gebracht und mit einer aktuellen Antiviren-Software ausgestattet werden. Auch eine Anzeige bei der Polizei ist sinnvoll.

In Fällen wie diesen haben die Opfer gegenüber der Bank grundsätzlich auch einen Erstattungsanspruch, so dass Ihnen am Ende kein oder nur ein geringer Schaden verbleibt. Stellt sich die Bank quer, ist die Einschaltung einer Verbraucherzentrale oder eines Anwalts sinnvoll.

Wie kann man sich vor diesem Betrug schützen?

Da Telefonica die Lücke nach eigenen Angaben geschlossen hat, sollte derzeit keine akute Bedrohung für Online-Banking-Kunden vorliegen. Grundsätzlich sollten Nutzer von Online-Banking allerdings darüber nachdenken, auf andere Sicherheitsverfahren, z.B. Smart-TAN/Chip-TAN, auszuweichen.

 

Text: CC-BY 4.0 / Rechtsanwalt Jakob Wahlers
Beitragsfoto: Picjumbo.com

Betrug mit gefälschten Stellenanzeigen

Seit einigen Wochen bekomme ich immer häufiger Anfragen zu betrügerischen Stellenanzeigen im Internet. Auch große Online-Medien wie FAZ.net oder Bild.de berichten über diese neue Art des Betruges. Laut den Berichten, welche sich mit meinen Erfahrungen decken, schalten die Betrüger gefälschte Stellenangebote in Internet-Jobbörsen oder versenden diese per E-Mail. Bewerber, welche sich auf eine solche Stellenanzeige melden, werden dann entweder um persönliche Daten für einen Identitätsdiebstahl gebeten oder sollen „Vermittlungsgebühren“ für die nicht existente Stelle überweisen.

Betrug mit gefälschten Stellenanzeigen weiterlesen

Online-Banking per photoTAN potentiell unsicher

Mehrere Online-Medien, unter anderem die Süddeutsche Zeitung, Zeit-Online und der Stern, berichten über eine neue Sicherheitslücke beim Online-Banking mittels des sogenannten photoTAN-Verfahrens. Zwei IT-Sicherheitsforschern der Universität Erlangen-Nürnberg ist es demnach gelungen, photoTANs der Deutschen-Bank, der Commerzbank, der Norisbank und der Comdirect-Bank zu stehlen bzw. zu manipulieren und so Überweisungen auf fremde Konten umzuleiten.

Online-Banking per photoTAN potentiell unsicher weiterlesen

LG Darmstadt: Smart-TAN-plus Verfahren ist sicher – Kunde haftet bei manipulierter Überweisung

Das Landgericht Darmstadt hat kürzlich eine Entscheidung zur Haftung im Bereich des Online-Bankings getroffen (Urteil vom 28.08.2014, Az. 28 O 36/14). Nach dem Urteil haftet ein Bankkunde, der das so genannte Smart-TAN-plus Verfahren nutzt, für manipulierte Überweisungen aufgrund eines Man-in-the-Middle-Angriffs selbst. Im Ergebnis liegt das LG Darmstadt damit richtig, verhaspelt sich jedoch etwas in der rechtlichen Herleitung.

LG Darmstadt: Smart-TAN-plus Verfahren ist sicher – Kunde haftet bei manipulierter Überweisung weiterlesen

Neue Masche beim Online-Banking-Betrug

Betrug im Bereich des Online-Bankings ist leider immer noch an der Tagesordnung. Allerdings werden die Täter immer professioneller und dreister. Während man noch vor ein paar Jahren mit schlecht übersetzten Phishing-Mails in die Falle gelockt werden sollte, arbeiten die Betrüger heute mit ausgeklügelten Trojanern oder live manipulierten Bank-Websites.

In einem akutellen Fall wies das Konto der geschädigten Mandantin den Tätern wohl zu wenig Guthaben auf, so dass sie kurzerhand mittels mehrerer mTANs bereits in der Vergangenheit getätigte Abbuchungen „zurückholten“ und damit das Kontoguthaben erhöhten.

Neue Masche beim Online-Banking-Betrug weiterlesen

Wirksamkeit elektronischer Unterschriften

Die Kartenzahlung beim schwedischen Möbelhaus, die Empfangsbestätigung beim Paketboten oder den Versicherungsvertrag beim Makler. Immer häufiger unterschreiben wir nicht mehr auf Papier, sondern auf elektronischen Geräten. Doch haben diese Unterschriften die gleichen rechtlichen Wirkungen wie eine altmodische Signatur? Oder ist die Unterschrift aus Bits und Bytes eine Unterschrift „zweiter Klasse“? In diesem Beitrag sollen die wichtigsten Fragen rund um elektronische Unterschriften beantwortet werden.

Wirksamkeit elektronischer Unterschriften weiterlesen

Facebook endlich mit Impressum auf Seiten – UPDATE

Wie Techblogger Carsten Knobloch auf seinem Blog meldet, hat Facebook endlich die Möglichkeit geschaffen, auf Seiten ein Impressum zu hinterlegen. In der Vergangenheit kam es ja immer wieder zu Abmahnungen und Gerichtsurteilen wegen fehlender oder nicht richtig umgesetzter Pflichtangaben nach § 5 des TMG. Ob allerdings die neue Option von Facebook hier Abhilfe schafft, erscheint mehr als fraglich. [UPDATE am Ende des Artikels]

Facebook endlich mit Impressum auf Seiten – UPDATE weiterlesen

LG Köln zur BY-NC Creative-Commons-Lizenz

Wie der Kollege Arno Lampmann berichtet, hat das LG Köln (Urteil vom 5.3.2014, Az. 28 O 232/13Link zum Volltext) in einem von seiner Kanzlei geführten Verfahren erstmalig über die „nicht kommerzielle“ Creative-Commons-Lizenz BY-NC geurteilt.

In dem entschiedenen Fall hatte die öffentlich-rechtliche Sendeanstalt Deutschlandradio ein mit der CC-Lizenz BY-NC versehendes Foto zur Illustration eines Artikels auf der Website verwendet. Gestritten wurde um die Frage, ob die Nutzung durch das Deutschlandradio eine kommerzielle Verwendung des Fotos darstellt.

LG Köln zur BY-NC Creative-Commons-Lizenz weiterlesen