Das für weitgehend sicher gehaltene mTAN (mobile TAN)-Verfahren für Online Banking ist mittlerweile auf mindestens zwei Wegen ausgehebelt worden. 

Eine Variante des Trojaners Zeus, ZitMo (Zeus in the mobile), greift dabei in den Browser ein. Während der User auf die echte(!) Seite seiner Bank zugreift, wird ihm durch ZitMo eine falsche Unterseite dargestellt, die ihn zur Eingabe der Mobilnummer auffordert. An diese wird dann eine SMS mit dem Hinweis gesandt, dass noch ein Sicherheitszertifikat installiert werden müsse. Allerdings ist dies in Wirklichkeit die mobile Komponente von Zeus, die in der Folge die mTANs abfängt und somit dem Angreifer die Möglichkeit zum Durchführen von Transaktionen eröffnet. 

Die zweite Angriffsmöglichkeit basiert auf dem sog. "social engineering". Kürzlich betroffen war ein australischer Geschäftsmann, dessen allgemeine Kontodaten den Tätern bereits bekannt waren. Diese riefen während der Arbeitszeit des Opfers in dessen Privatwohnung an und gaben vor, den vermeintlichen Geschäftspartner dringend auf dem Handy anrufen zu müssen; die Nummer erhielten sie umgehend von der Tochter. Weitere persönliche Informationen erschlichen sie sich über die Sekretärin. 

Mit diesen Kenntnissen ausgestattet, veranlassten die Angreifer beim Mobilfunkanbieter die Portierung der Rufnummer auf eine neue SIM-Karte. Notwendige Prüfdaten, wie z.B. das Geburtsdatum, hatten sie ja bereitwillig erhalten. Der Vorgang dauerte insgesamt nur 30 Minuten. Allein die Aufmerksamkeit der Betrugsabteilung der Bank verhinderte, dass 35.000 Euro den Besitzer wechselten. Durch die Höhe der Überweisung stutzig geworden, wollte sich die Bank die Transaktion telefonisch durch den Kontoinhaber bestätigen lassen. Nachdem mehrere Kontaktversuche scheiterten, fror man das Konto kurzerhand ein.

---