28.04.2013
Android-Sicherheit
mTAN-Diebstahl durch App
Autor: Michael Rupp
Foto: Gdata
Eine angeblich von der Postbank stammende Mail fordert Nutzer von Android-Mobilgeräten zur Installation einer SSL-Zertifikats-App auf. Die App spioniert mTAN- und PIN-Nummern aus und versendet sie.
Nutzern von Android-Mobilgeräten, die auf Geheiß einer angeblich von der Postbank stammenden Mail eine ebenso angebliche Sicherheits-App installiert haben, droht Ungemach: Anstelle des vorgegebenen Sicherheitszertifikats handelt es sich um eine Spionage-App. Damit wird das Zweiwege-Authentifizierungsverfahren der Bank ausgehebelt.
Die Angreifer haben es aktuell auf mTAN- und PIN-Nummern für Online-Bankkonten von Postbank-Kunden abgesehen. Hierzu versuchen sie mit Hilfe einer Postbank-Mail die Empfänger zur Einrichtung der „SSL Zertifikat App“ zu bewegen. Folgt der Anwender dem in der E-Mail enthaltenen Link auf dem Smartphone oder Tablet, gelangt man auf eine Webseite, auf der die vermeintliche SSL-Zertifikats-App und eine Installationsanleitung bereitstehen. Die schädliche Anwendung, die angeblich für mehr Sicherheit beim mobilen Online-Banking sorgen soll, späht nach der Installation die zur Absicherung von Bank-Transaktionen verwendeten mTAN- und PIN-Nummern aus und versendet sie über das Internet.
Nach der Installation der App verlangt diese vom Nutzer die Eingabe der Konto- und PIN-Nummer. Darüber hinaus fordert die App eine Reihe von Berechtigungen ein, die etwa den Zugriff auf empfangene SMS-Nachrichten erlaubt. Die Empfänger der Daten sind so in der Lage, Online-Bankgeschäfte zu manipulieren und bei Überweisungen Geldbeträge auf andere Konten umzuleiten.
Beim Zweiwege-Authentifizierungsverfahren kommen unter anderem auch Smartphones und Tablet-PCs zum Einsatz. Hierbei wird die Transaktionsnummer (TAN) von der Bank per SMS zum Smartphone oder Tablet gesendet. Für Angreifer sind diese Geräte daher ein lohnende Ziele, da viele Anwender auf eine Sicherheitslösung für ihr Mobilgerät verzichten.
Fazit
Die Masche ist nicht neu und trifft diesmal Kunden der Postbank. Geschützt ist, wer dem Grundsatz folgt, keine Links in angeblichen Mails von Banken, Kreditkarteninstituten und Zahlungsdiensten anzuklicken. Schutz bieten auch Sicherheits-Tools für Android, wie das des Herstellers Gdata, der als einer der ersten auf die aktuelle Postbankmasche aufmerksam.
Autohersteller
Erstes Smartphone von Polestar
Autohersteller Polestar hat in China sein erstes Smartphone vorgestellt, das vor allem gut mit den Fahrzeugen des Herstellers zusammenarbeiten soll.
>>
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
The Boring Phone
Bierbrauer Heineken verschenkt ein Anti-Smartphone
Da viele Menschen durch Smartphones von echten sozialen Aktivitäten abgelenkt werden, legen Heineken und Bodega 5.000 Exemplare eines einfachen Klapp-Handys als "The Boring Phone" auf.
>>
Vier Smartphones
Huawei stellt die neue Pura-Serie vor
"Pura" statt "P": Huawei hat zunächst für den chinesischen Markt seine neue Flaggschiff-Serie mit den Modellen Pura 70, Pura 70 Pro, Pura 70 Pro+ und Pura 70 Ultra vorgestellt.
>>