Cyber-Kriminelle bieten SIM-Swapping für deutsche Banken an

Es sieht so aus, dass auf Kunden deutscher Volksbanken und Sparkassen ein Cyber-Angriff zum Plündern ihrer Bankkonten geplant ist. Dabei planen die Angreifer das bei vielen Banken immer noch gängige mTAN-Verfahren durch SIM-Swapping auszuhebeln. 


Anzeige

Viele Informationen habe ich nicht – aber laut nachfolgendem Tweet von Bank Security (die sind immer bestens über Aktionen im Darknet informiert) verkauft ein ungenannter Threat-Actor ein sogenannte SIM-Swapping als Dienst, um Konten deutscher Bankkunden zu plündern.

SIM-Swapping für deutsche Banken

Das heißt, der Thread Actor sucht Komplizen, die ihn bei seinen digitalen Beutezügen als Helfer unterstützen können. Die Helfer dürften für die Beschaffung der „Ersatz-SIM-Karte“ benötigt werden. Laut Tweet zielt der Angreifer wahrscheinlich auf die in Deutschland ansässigen Volksbanken und Sparkasse.

Nach meiner Interpretation verfügt der Thread Actor sowohl über die Zugangsdaten der Bankkonten als auch die diesen Konten zur mTAN-Autentifizierung zugeordnete Mobilfunknummer. Dies ermöglicht das Plündern dieser Konten durch das sogenannte SIM-Swapping.

mTAN-Authentifizierung per SIM-Swapping aushebeln

Der Angriff nutzt die Tatsache aus, dass das immer noch von Banken angebotene mTAN (TAN auf das Mobilfunkgerät) unsicher ist. Ich hatte bereits vor langem drüben im 50Plus-Blog im Beitrag Online-Banking: mTAN und Banking-Apps unsicher darauf hingewiesen, dass mTAN nicht mehr genutzt werden sollte.

Der Grund: Gelingt es einem Angreifer, die mTAN auf ein nicht dem Bankkunden gehörendes Gerät umzuleiten, kann er jegliche Transaktion auf diesem Konto – eventuell bis zum definierten Tageslimit – genehmigen.

Beim SIM-Swapping wird die SIM-Karte des Bankkunden durch die Cyber-Kriminellen ausgetauscht, so dass mTANs zur Authentifizierung von Transaktionen auf den Smartphones der Angereifer landen. Dazu beantragen die Kriminellen, meist über Strohmänner, eine Ersatz-SIM im Namen des Kunden, lassen sich diese aber an sich oder Mittelsmänner zuschicken.

Gelingt dies und ist beim Bankkonto mTAN möglich, startet der digitale Raubzug zum Plündern des Bankkontos. Solche Fälle hat es mehrfach in Deutschland gegeben.

Ähnliche Artikel:
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche
Europol hebt zwei SIM-Swapping-Gruppen aus
Smishing: Warnung vor Abzock-Welle mit Paket-SMS


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Cyber-Kriminelle bieten SIM-Swapping für deutsche Banken an

  1. Stefan sagt:

    Passend dazu: https://krebsonsecurity.com/2021/03/can-we-stop-pretending-sms-is-secure-now/ . Gibt es immer noch Banken die das nutzen? Ich dachte mit PSD2 hätte sich das erledigt?

    • Blupp sagt:

      Leider ja.
      Es wurde mir vor 4 Monaten in meiner Bankfilliale angeboten – weil es ja so sicher sei. Dann wurde Push-TAN (eigentlich nichts anderes) vorgeführt und der Berater freute sich einen Keks wie die Nachricht dann ankam.
      Für den Berater war das natürlich nur auf Apple-Geräten sicher.

  2. Doc WP sagt:

    Aktuell schaffen die Sparkassen in D das Verfahren HBCI mit Chipkarte ab, mit fandenscheinigen Begründungen, dabei ist es in meinen Augen immer noch eines der sichersten Verfahren, es wird ein Chipkartenleser, eine spezielle Chipkarte und zugehörige PIN benötigt, die Eingabe erfolgt gesichert auf dem Chipkartenleser.
    Verbleiben soll ein pushTAN Verfahren mittels Handy App sowie ein chipTAN Verfahren.

    • HV sagt:

      Bei chipTAN (mit Starmoney) ist doch das Handy außen vor, ich seh da kein Problem. Aktuell bin ich auch betroffen und „muß“ umstellen vom geliebten HBCI zu chipTAN. Das läuft dann, wie bisher in Kombination mit Starmoney und definitiv nicht übers Handy!

      • Anonymous sagt:

        ChipTAN-USB ist da mmn die beste Alternative, da halbwegs ähnlich seitens der Bedienung zu HBCI+Chipkarte

      • woodpeaker sagt:

        Das HBCI Verfahren heißt ja aktuell FIN-TS.
        Das Vorhaben der Banken ist auch hier Kosten zu sparen zum Nachteil der Sicherheit der Kunden.
        IMHO ist HBCI bzw. Fin-TS noch nie richtig geknackt worden, aber die Infrastruktur ist bedeutend teurer als bei dem schnöden TAN – sowieso Verfahren.

    • Anonymous sagt:

      Problem beim älteren HCBI+Chipkarte ist das man nicht am Kartenleser sehen kann was man autorisiert, sondern nur im Programm, welches ggf. kompromittiert ist.

  3. No sagt:

    Handies sind per se extrem unsicher: Es ist nicht möglich zu kontrollieren, welche App’s darauf laufen. Noch schlimmer wird es mit Banking-App’s, die aus dem Google-Play-Store geladen werden müssen: Da braucht es noch einen Google-Account („Datenkrake“)

  4. Nobi sagt:

    Zitat(von Günter Born):
    „Nach meiner Interpretation verfügt der Thread Actor sowohl über die Zugangsdaten der Bankkonten als auch die diesen Konten zur mTAN-Autentifizierung zugeordnete Mobilfunknummer.“

    Also geht die Vermutung Richtung Phishing oder, dass es möglicherweise sogar intern ein Leck gab?

    Weiß jemand, ab wann die Sparkassen die 5stellige Pin in bis zu 38stellig geändert haben?

    Vermutlich ist es nur ein Problem vom Firefox mit meinen Einstellungen, aber mit dem Firefox ist eine Passwortänderung mit Chip-Tan bei mir nicht möglich. Der Flicker-Code ist wie eingefroren, bei Überweisungen hingegen flackert es wie üblich.

    Mit Epiphany(Gnome Web) als Browser hingegen klappt die Änderung des Passworts einwandfrei.

    Also bleibt als mögliche Fehlerquelle. Firefox, uBlock Origin, NoScript oder die moderate user.js aus dem privacy-handbuch.de.

  5. BenjaminG sagt:

    Volksbanken …
    Ich wäre ja schon glücklich wenn der Login auf mein Onlinebanking bei der VoBa einen zweiten Faktor hätte. Ist aber einfach nicht möglich. ist doch echt kriminell heutzutage das sowas wichtiges wie das Konto keinen 2FA ermöglicht.
    Mir egal, das die Transaktion einen zweiten Faktor braucht. Ich will auch nicht das jemand meinen Kontostand und meine bisherigen Transaktionen sehen kann, nur weil er Zufällig mein PW erraten oder sonst wie erspäht hat.

  6. Thierry sagt:

    Hallo Zusammen,

    selbst mit Optical-TAN könnte es sein, dass ein MIM (Man-In-the-Middle) die Daten abgefangen haben könnte. Die Erfahrung habe ich selber miterlebt. Als ich um drei mal eine Überweisung wiederholen musste. Glücklicherweise sieht man sofort auf dem Optical-TAN-Gerät welcher Betrag überwiesen sein sollte und den Empfängerkonto. Als ich der Bezirksparkasse zur Rede stellte, wurde mir zuerst vorgeworfen, dass mein Rechner infiziert sein könnte. Aus Erfahrung als EDV-Fachmann verneine ich diese Ausrede. Dann setzte ich mich mit der Kölner Zentrale in Verbindung. Da teilte man mir mit, dass etwas mit dem Server eigenartig war, wollte aber mir nicht genau sagen was. Allerdings das was mir an diesem Tag aufgefallen war, ist, dass der Schriftzug am Bildschirm schraffiert war. Also ganz bestimmt Skimming-Versuch. Als ich meinen Hostanbieter zur Rede stellte, um vielleicht die Logprotokolle zu sichten, bekam ich die Antwort: „Das müssen Sie mittels eines richterlichen Befehls bei uns beantragen.“ Prost, Mahlzeit.

    • Anonymous sagt:

      genau dafür (MITM) ist das 2FA doch gedacht!
      Wenn man die angezeigten Daten nicht überprüft, ist man selbst schuld, denn dies ist Pflicht und die angedachte und die einzige Schutzfunktion dieses 2FA !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.