+43 699 / 18199463
office@itexperst.at

Neuer Angriff auf Bankkonten über mobile Geräte

Zwei neue Varianten eines Angriffs auf Bankdaten über mobile Geräte wurden bekannt.Banken verwenden zunehmend Einmalpasswörter, die über mobile Geräte (z. B. per SMS an ein Handy) dem Bankkunden zugesandt werden. Ziel der Angreifer ist, an die Einmalpasswörter zu gelangen.

Bei der ersten Variante wird mit dem Gozi Trojaner die IMEI der SIM-Karte des Bankkunden ausgelesen. Wenn die Angreifer die IMEI-Nummer haben, kontaktieren sie den Telefonprovider und melden, dass die SIM-Karte verloren ging. Weiter bestellen die Betrüger eine neue SIM-Karte auf eine neue Adresse, auf die Adresse der Angreifer. Mit der neuen SIM-Karte bekommen die Betrüger dann die Einmalpasswörter auf ihr Handy zugesandt. Diese Variante ist hauptsächlich in den USA verbreitet.

Die zweite Variante findet sich häufiger im EU-Raum. Hier werden die Zugangsdaten der Online-Bankverbindung über einen sog. Mann-in-der-Mitte-Angriff oder über eine Phishing-Mail vom PC des Anwenders zu den Betrügern übertragen. Das beinhaltet auch die Telefonnummer, über die die Passwörter für das Onlinebanking versendet werden. Mit den Daten wird auf einer Polizeidienststelle das Handy als verloren gemeldet. Mit dem Polizeibericht wird bei dem Telefonprovider eine zweite SIM-Karte geordert. Gleichzeitig geben sich die Betrüger gegenüber dem Bankkunden als Telefongesellschaft aus und teilen diesen mit, dass ihre SIM-Karte wegen Betrugsverdacht gesperrt wurde. Damit schöpft der Telefonkunde auch länger keinen Verdacht und die Betrüger haben die Informationen, um sich am Bankkonto zu bedienen.

Ein Ratschlag:

The best practice requires three steps. First is to have security software from the bank itself that is designed to fight financial fraud. Second, don’t play along with any change you see in the bank’s web site that is asking for information it hasn’t asked you for previously. Call the bank and ask about it. Finally, is the warning that is standard for online transactions of any kind: Be suspicious of any unsolicited call asking for personal information.

Verwenden Sie also Banksoftware, die Betrugsversuche so weit wie möglich unterbindet. Wenn Sie eine Nachricht bekommen, die angeblich von der Bank stammt (oder dies auf einer Webseite sehen) und in der persönliche Daten abgefragt werden, seien Sie misstrauisch und fragen Sie bei Ihrer Bank nach. Wenn Sie einen Anruf bekommen, bei dem Sie persönliche Daten angeben sollen, seien Sie sehr misstrauisch. Beenden Sie das Telefonat, rufen Sie bei Ihrer Bank an und fragen Sie nach.

Artikel von computerworld.com, 15.03.2012: In new attack on mobile handsets, fraudsters target one-time-passwords

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen