Hacker räumen Bankkonten von O2-Kunden leer

Erneut ist es Kriminellen gelungen, das mTAN-Verfahren, das lange Zeit als sicher galt, zu umgehen und auf diese Weise Konten von Nutzer von Online-Banking leerzuräumen. 2015 waren in einem ähnlichen Fall Kunden der Deutschen Telekom betroffen. Nun sind nach Informationen der Süddeutschen Zeitung Kunden von O2 ins Visier der Kriminellen geraten, was auch daran liegen könnte, dass die Telekom die Hürden erhöht hatte, indem sie es damals erschwerte, eine neue SIM zu beantragen.

Von der neuen Betrugswelle sind laut Süddeutscher Zeitung auch Personen in Deutschland betroffen. O2 hat inzwischen aber wohl Vorkehrungen getroffen, um diese Betrugsmasche zu verhindern.

„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden“, wie das Unternehmen gegenüber dem Blatt erklärte. Der Provider sei inzwischen gesperrt und die Kunden informiert worden. Die Polizei ermittelt noch.

Für die betroffenen Kunden ist der Vorfall gleich zweifach ärgerlich. Sie müssen erstens vorwerfen lassen, auf eine Phishing-Mail hereingefallen und ihre Anmeldedaten für das Banking Unbefugten preisgegeben zu haben. Zweitens nutzten die Kriminellen eine schon seit Jahren bekannte und mehrfach öffentlich angeprangerte Sicherheitslücke in SS7 aus, die von den Telekommunikationsanbietern längst hätte geschlossen werden können. Laut Süddeutscher Zeitung haben die sich nun im April in Berlin getroffen, um darüber zu beraten.

Die Kriminellen versendeten zunächst Mails, um deren Empfänger auf sogenannte Phishing-Seiten zu locken, also Webseiten, die den echten Anmeldeseiten von Banken täuschend echt nachempfundenen sind. Dort fragten sie unter einem Vorwand – oft werden dazu ironischerweise Sicherheitsgründe genannt – Kontonummer, Passwort und Mobilfunknummer ab. Kontonummer und Passwort verwendeten sie dann, um sich erst einmal einen Eindruck von der Vermögenslage zu verschaffen.

Wenn sie zu der Überzeugung kamen, dass ein Angriff lohnend sein könnte, beantragten sie für die Mobilfunknummer eine neue SIM-Karte. Sie nutzten dann die Schwachstelle in SS7 aus, um die bei jedem Überweisungsvorgang versandte TAN-Nummer auf diese Telefonnummer umzuleiten. Die Hacker griffen dazu auf das sogenannte Home Location Register (HLR) zu, eine Datenbank, mit der Provider untereinander prüfen können, ob eine SIM-Karte gültig ist.

Zugänge zu dieser Datenbank, die eigentlich Providern vorbehalten sein sollten, sind von SZ befragten Experten zufolge auf dem Schwarzmarkt schon für rund 1000 Euro erhältlich. Bei welchem Provider der oder die für den aktuellen Angriff genutzten Zugänge korrumpiert wurden und inwieweit der darin verwickelt ist, ist derzeit noch unklar. Klar ist lediglich, dass die Netzbetreiber schon längst hätten dafür sorgen sollen, dass Umleitungen für von ihnen ausgegeben SIM-Karten auch nur so vornehmen können.

Das bestätigt auch BSI-Präsident Arne Schönbohm: Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyber-Angreifer verfügen heute über die notwendigen Mittel und das notwendige Knowhow, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Auch in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking beherzigt, die wir auf unserer Webseite „BSI für Bürger“ veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht.“

[Mit Material von Peter Marwan, silicon.de]