21.10.2015 Betrugsmasche mit zweiter SIM-Karte

Die Süddeutsche Zeitung (SZ) meldet eine neue Variante der Phishingmethode, bei der eine zweite SIM zu einem Handy verwendet wird. Nach Recherche der SZ gaben Betrüger sich gegenüber der Telekom als Mobilfunk-Shops aus und konnten so Ersatz-SIM-Karten bestellen. Diese passten zu Handynummern, die für das mobileTAN-Verfahren verwendet werden.  

Die Masche ist bereits seit 2013 in unterschiedlichen Ausprägungen bekannt. In der Vergangenheit gaben sich die Betrüger direkt als betroffener Kunde aus oder griffen technisch die Verwaltungsportale von Händlern an, um bereits organisierte SIM-Karten den betroffenen Online-Banking-Benutzern zuzuordnen.

Obwohl die Deutsche Kreditwirtschaft (DK) die Mobilfunk-Provider auf die bestehende Problematik hingewiesen hat, die bei der Vergabe von Ersatz-SIM-Karten an nicht ausreichend identifizierte Gegenstellen entsteht, wird die Methode von Betrügern immer wieder erfolgreich angewandt. Erst im Frühjahr war es durch unzureichende Prüfungen bei Congstar zu Betrugsfällen gekommen.

[Update 22.10.2015] Die Deutsche Kreditwirtschaft hat eine Stellungnahme zum Artikel der SZ abgegeben.

Die Deutsche Kreditwirtschaft geht in einer Pressemitteilung auf den Bericht der SZ ein. Im Kern lautet die Aussage, dass das mTAN-Verfahren entgegen der Darstellungen in der Presse nicht gehackt sei. Hier der Wortlaut der Pressemitteilung:

Sicherheitsverfahren beim Online-Banking nicht „geknackt“

Die Deutsche Kreditwirtschaft (DK) stellt anlässlich der heutigen Berichterstattung u.a. in der „Süddeutschen Zeitung“ zum Thema „Betrugsserie beim Online-Banking“ fest, dass die Sicherheitsverfahren für das Online-Banking nicht „geknackt“ wurden. Vielmehr betonen die in der Deutschen Kreditwirtschaft zusammengeschlossenen Spitzenverbände, dass die mobileTAN ein technisch sicheres Legitimationsverfahren beim Online-Banking ist. 

Die Nutzung des m-TAN-Verfahrens erfordert jedoch, dass der Kunde seine Sorgfaltspflichten beachtet. Dies besonders, da Betrüger mit immer ausgefeilteren Angriffsmustern Kunden zu überlisten versuchen.

Bei den aktuell geschilderten Betrugsversuchen handelt es sich um Fälle von Identitätsdiebstahl von Mobilfunknummern, die durch eine Sicherheitslücke im Prozess der Freischaltung von SIM-Karten eines einzelnen Mobilfunkbetreibers möglich waren. Diese Sicherheitslücke wurde nach Angaben des Mobilfunkbetreibers zwischenzeitlich geschlossen.

Das in der Deutschen Kreditwirtschaft eingesetzte mobileTAN-Verfahren wurde in diesem Zusammenhang weder geknackt, noch konnte es manipuliert werden. Die mobileTAN entspricht daher – ebenso wie die anderen in der DK eingesetzten Verfahren zur Identifikation im Online-Banking – weiterhin dem Stand der Technik und den Sicherheitsstandards der in der DK zusammengefassten Banken und Sparkassen.

(Quelle: Deutsche Kreditwirtschaft)