In der Diskussion um die Sicherheit von Online-Banking liegen dieser Tage die Pessimisten wieder vorn. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, warnt jedenfalls vor neuer Schad-Software. Diese können mTAN-Nummern mitlesen.

Das Kürzel TAN steht für Transaktionsnummer und bezeichnet ein Einmal-Passwort, das üblicherweise aus sechs Dezimalziffern besteht. Bei der Mobile TAN (mTAN) werden solche Nummern für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann zum Beispiel eine Online-Überweisung legitimiert.

Dieses Verfahren gilt allgemein als sicherer. Im September vorigen Jahres jedoch berichtete der Security-Dienstleister S21sec in seinem Blog, neue Varianten des Banking-Trojaners ZeuS nähmen mobile TAN ins Visier.

Erst wird der PC infiziert

Das BSI spricht jetzt von MalwareMalware, die zunächst PCs infiziert. Wenn der Nutzer dann eine Online-Banking-Webseite aufruft, werden zusätzliche Felder oder Nachrichten eingeblendet. Diese sind in der Optik der Webseite der Bank gehalten und fordern den User auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten. Alles zu Malware auf CIO.de