Dem aktuellen Threats Report der Sicherheitsfirma McAfee zufolge wird das Online-Banking in Europa zunehmend unsicherer. Mittels zweistufiger Authentifizierung wollen Banken ihre Kunden davor schützen.
Im aktuellen Threats Report für das zweite Quartal 2013 identifizierten die McAfee Labs vier maßgebliche mobile Varianten, die sowohl Anwendername, Passwort als auch die SMS-Nachricht mit persönlichen Angaben zu den Login-Daten abfangen. Kriminelle nutzen diese Daten um einen direkten Zugriff auf das Bankkonto zu erlangen und Geld zu überweisen.
Im zweiten Quartal das Jahres 2013 verfolgten die Internetkriminellen weltweit folgende vier
Hauptstrategien, um Geld und vertrauliche Informationen von ihren Opfern zu stehlen:
- Aggressive Angriffe auf Benutzer mit Android-basierten Mobilgeräten
- Massive Verbreitung böswilliger oder infizierter Webseiten mit Funktionen zur Malware-Verbreitung
- Hochvolumige Spam-Kampagnen, die gefälschte Medikamente anbieten
- Intensive Nutzung von Ransomware, die Geld von den Opfern fordert
Diese neuartigen Varianten an SMS-Banking-Malware sind unter anderem auch ein Grund dafür, dass im zweiten Quartal 2013 auf Android basierende Malware um 35 Prozent angestiegen ist. „Wie in anderen Bereichen auch hat sich das Motiv, einen Bank-Account zu knacken, verändert. Der Profit steht im Vordergrund und hat die technischen Herausforderungen, um eine SMS und zweistufige Authentifizierung zu überwinden, in den Hintergrund gedrängt“, kommentiert Toralv Dirro, EMEA Security Strategist bei McAfee Labs, diese Angriffs-Varianten.
Mehr Sicherheit durch zweistufige Anmeldung
Viele europäische Banken nutzen eine zweistufige Authentifizierung. Hierbei benötigen Kunden beim Anmelden auf ihrem Account Anwendername und Passwort sowie eine mobile Transaktionsnummer (mTAN). Diese wird von der Bank gesondert via Textbotschaft auf das mobile Gerät des Anwenders gesandt und nach Eingabe dieser Nummer erhält der Anwender Zugang zu seinem Konto. So sollen Angreifer, die lediglich Benutzername und Passwort gestohlen haben, darin gehindert werden, auch einen direkten Zugriff auf das Bankkonto zu erhalten. Cyber-Kriminelle, die die zweistufige Authentifizierung umgehen wollen würden, müssten diese Textnachricht abfangen.