Das bisher sichere mobileTAN Verfahren ist zur Zeit massiv unter Beschuss durch den Trojaner ZeuS. Eine logische Folge der Abschaffung von iTAN Listen. Das nächste Sicherheitsmedium (jetzt mobileTAN) wird angegriffen.
Doch ganz so einfach hat es ZeuS nicht. Den neben dem PC muss er das Handy knacken. Dazu ist nicht nur viel gutglauben des Benutzes erforderlich sondern auch das richtige Handy.
Ich habe bereits über das gehackte mobileTAN Verfahren berichtet. Neu ist das der Virus aber jetzt auch vermehrt in Deutschland auftritt und verbessert wurde. So sind nun folgende Betreibssysteme anfällig: Symbian, BlackBerry und (wie soll es anders sein) Windows Mobile.
Der Angriff läuft wiefolgt ab:
Der Trojaner infiziert den PC. Er protokolliert die Logindaten für den Online Banking Zugang.
Nach erfolgreicher Anmeldung wird dem Benutzer angezeigt, er müsse für sein mobileTAN Verfahren ein neues Zertifikat installieren. Dazu soll die Handynummer preis gegeben werden.
Auf die angegebene Handynummer wird nun per SMS ein Link mit dem "Sicherheitszertifikat" geschickt.
Dieses Sicherheitszertifikat entpuppt sich natürlich als Virus, den der gutgläubige Benutzer installiert.
Nun kann der Angreifer alle ankommenden und ausgeheneden SMS Nachrichten umlenken und hat somit volle Kontrolle über TANs.
Der Trojaner lässt sich übrigends per SMS steuern. Das bedeutet auch wenn mit dem Handy über keinen Internetverbindung verfügt kann es kontrolliert werden.
Wie immer gilt: Missbrauch durch Misstrauen vorbeugen.
Übrigends: iPhone Nutzer sind von dieser Trojanerplage befreit. Da lohnt es sich wieder mal ein iPhone zu besitzen. Nicht nur weil es zur Zeit kein ZeuS Trojaner für iOS gibt, sondern auch weil nur von Apple freigegebene Apps installiert werden können. (Ausnahme Jailbreak)
