SS7-Lücke im mTAN-Verfahren: Hacker plündern Bankkonten von O2-Kunden
Unter vielen Online-Banking-Nutzern greift die Unsicherheit um sich, denn offenbar haben Hacker zahlreiche Kontenbesitzer um ihr Geld erleichtert. Das Ärgerliche dabei: Die Sicherheitslücke, die die Angreifer ausgenutzt haben, ist bereits seit Jahren bekannt.
Das unheilvolle Rezept ist nicht unbedingt kompliziert, funktioniert aber trotzdem zuverlässig: Per Phishing-Mails Informationen abgreifen, eine lange bekannte Sicherheitslücke im UMTS-Netz ausnutzen und am Ende viel Geld stehlen. Nach diesem Muster sind Kriminelle vorgegangen und haben auch in Deutschland viele Bankkunden geplündert. Betroffen waren dabei Kunden des Münchener Providers O2, die SS7-Sicherheitslücke könnte aber auch in anderen Netzen noch existieren oder erst kürzlich geschlossen worden sein.
Gegenüber der Süddeutschen Zeitung, die den Fall aufgedeckt hat, berichteten mehrere Personen von solchen erfolgreichen Angriffen. Dabei wurde Geld von Bankkunden auf andere Konten umgeleitet. Um welche Summen es geht, ist nicht bekannt. Der Provider O2 Telefonica hat die Vorfälle gegenüber der Zeitung bestätigt. Das ist besonders bitter, da die Netzbetreiber die SS7-Lücke in ihren Netzen spätestens seit Ende 2014 kennen und offenbar jetzt erst flächendeckend geschlossen haben.
Die Banken sind bereits alarmiert. Sie hatten sich auf die Sicherheit des mTAN-Verfahrens verlassen, was sich nun als Fehler herausstellt. Andere Systeme, die etwa für das Online-Banking einen kleinen TAN-Generator nutzen, der physisch mit der EC-Karte zusammen gebracht werden muss, um eine Transaktionsnummer zu erzeugen, sind sicherer als die Auslagerung auf das Handy.
Erst Daten per Phishing abgreifen, dann SMS umleiten
Um einen Angriff auf ein Bankkonto starten zu können, brauchen die Angreifer allerdings alle Daten, die für eine Überweisung notwendig sind, als Kontonummer, Passwort und die Handynummer des Online-Banking-Nutzers. Diese sammeln Betrüger mit Phishing-Mails, die teils auf den ersten Blick kaum von echten Mails einer Bank zu unterscheiden sind und den Nutzer auf eine gefälschte Website führen.
Dann kommt SS7 ins Spiel. Die Abkürzung steht für Signalling System #7. Über diese Sub-Netz-Ebene tauschen sich Mobilfunkunternehmen weltweit aus, schicken Nachrichten und Anrufer in fremde Netze und übergeben Telefonate von einer Zelle in die nächste. Während man noch vor einigen Jahren davon ausging, dass es in diesem Bereich, der auch die Handyortung ermöglicht, keine Angriffe gibt, kann man mittlerweile bei dubiosen Händlern Zugänge für knapp 1.000 Euro kaufen. Damit ist dem Unheil Tür und Tor geöffnet. Die Angreifer richten für die erbeutete Handynummer eine SMS-Umleitung ein, fangen die Nachricht mit der mTAN so ab und können Überweisungen tätigen.
So eine Umleitung ist mittlerweile bei O2 nicht mehr möglich, allerdings tatsächlich erst seit kurzer Zeit. Der Provider sagte gegenüber der Zeitung:
"Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden."
Man habe die Polizei informiert und den Provider nun gesperrt. Der Schutzmechanismus gegen die Rufumleitung: Solche Einstellungen können nur noch von Vodafone, Telekom und O2 selbst für die eigenen Kunden vorgenommen werden, nicht mehr von Providern für Nutzer außerhalb des eigenen Netzes.
"Es ist enttäuschend"
Karsten Nohl, Kryptospezialist bei Security Research Labs in Berlin, der die Sicherheitslücke 2014 entdeckt hatte, zeigt sich vom Vorgehen der Netzbetreiber wenig begeistert: "Die ganze Industrie will dieses Problem lösen. Aber es ist enttäuschend, dass es so viele Jahre gedauert hat und erst ein finanzieller Schaden entstehen musste, bevor etwas unternommen wurde."
Quelle: Süddeutsche Zeitung
Das M-Tan Verfahren lässt sich mittels SS7 Protokoll aushebeln. Und das auch nur, weil dieses Protokoll per Design unsicher ist. Das hat aber rein gar nichts mit dem M-TAN verfahren als solches zu tun. Dieses deshalb als unsicher zu erklären und es abschaffen lassen zu wollen, ist genauso, als wenn man Autofahren auf Straßen mit Kreuzungen verbieten wollte, mit der Begründung, dass es zu Kollisionen kommen kann, weil sich nicht alle ständig an die Verkehrsregeln halten. Sofern die Banken die Schäden ausgleichen, kann es mir auch egal sein. Dann muss man die eben mal die Verträge und Geschäftsbedingungen lesen und entscheiden, ob man bei der richtigen Bank ist. Ich werde jedenfalls keinen ChipTAN Generator zusätzlich mit mir herumtragen.
Nicht nur O2. Auch Telekom und nadere waren betroffen. Ja die haben schon ein paar Jahre früher reagiert. Und das ist eine Schande. Aber nirgendwo in dem Medien wird gechrieben es sei nur O2 betroffen. Telekom, Vodafone und Co haben das auch jahrelang mitgemacht.
Solange es kein einheitliches, von allen Banken abgesegnetes und haftungsbereinigtes, gesichertes Onlinebankingsystem gibt, ist das Thema Onlinebanking für mich tabu !
Bis dahin wirds auch wie bisher laufen.
So einfach und bequem das Onlineprocedere auch sein mag, bis zur Serienreife eines Systems, das mich vor eventuellem Schaden bewahrt, wie im Sinne des EC Cash(ja, auch das ist angreifbar 😎, bleibe ich auf der einigermaßen sicheren Seite !
Keinen Bock auf Stress
@explorer
Beim Onlinebanking bist du je nach Bank bis zu Summe XY abgesichert. Kommt auf die Summe und die Bank an aber deine gesamten Bedenken sind nicht unberechtigt. Und eines ist auch klar, jedwede Art der Bequemlichkeit diesbezüglich erhöht den Gefahrenbereich erheblich. Soviel steht mal fest.
Die Absicherung gilt aber m.E. nicht, wenn man auf Phishing hereingefallen ist.
Das stimmt.
Jedes zusätzliche Gerät, welches mehr dazwischen ist als vorher noch mit den eigentlichen TAN-Bögen birgt in meinen Augen Gefahren. Zudem bin ich auch froh, nichts aber auch rein garnichts finanzielles über das Handy zu machen. Kein Ebaykauf, kein PayPal, kein Online Banking, keine Kreditkarte hinterlegt, kein Pay Zahlungen seitens der Hersteller etc. Nutze nicht mal NFC welches ja bei Apple nur zum Zahlen bestimmt ist aber unter Android wurde selbst das direkt deaktiviert. Logge mich somit über das Handy auf den genannten Sachen und anderen Portalen garnicht erst ein. Und wenn ich mal ne App kaufe, wird dies nur über Guthabenkarten geregelt. So werde ich auch in Zukunft weiterhin verfahren.
Mal wieder ausschlaggebender Punkt ist die Dummheit oder Unwissenheit des Nutzers, nicht des mTAN Verfahrens... Per E-Mail Daten Preis geben, die ich noch nicht mal auf Papier bringe (zum Thema "Phishing-Mails")... WIE DOOF MUSS MAN EIGENTLICH SEIN?
Ohne die Daten aus den Phishing Mails können die nix abstauben!
Leider ist es in vielen Bereichen so, dass erst etwas Passieren muss, bevor gehandelt wird.
HBCI alles andere ist Murks
mTAN wird auf Smartphones und Tablets immer Lücken haben. Sinn der Einführung war eine physikalische Trennung der Geräte für die eigentliche Transaktion und der Übermittlung der Sicherheitsparameter (TAN). Mit Einführung der Smartphones ist die Idee nicht mehr gegeben.
Ich setze auf einen TAN-Generator. Eine Überweisung ist nie so dringend, als dass ich nicht damit warten könnte, zu Hause zu sein. Und den TAN-Generator mitzunehmen, ist auch kein Aufwand. notfalls kann man auch in eine Bank gehen und sich einen für 10 Euro kaufen.
Nur für eigene Kunden?
Gute! Ein Haus weiter wird es schon klappen.
Nur dumm, wenn das Geldinstitut das Verfahren nicht unterstützt oder enorme Aufschläge nimmt. Ansonsten d'accord.
Es gibt Banken, die das Verfahren nicht unterstützen? :O
Nicht nur Banken, sondern auch Sparkassen. Mein Vater lief vor 2 Jahren gar noch mit einer schriftlichen TAN-Liste herum und wurde erst dann auf mTAN umgestellt. Zu dem von dir genannten Verfahren heißt es vom Geldinstitut, dass dafür die nötige Infrastruktur noch nicht geschaffen sei. Wechseln? Ja, könnte er. Aber woanders sind Schließfächer rar und sehr weit entfernt.
Weil es weniger bequem ist, ist es das Risiko wert ?