Tantanga-Trojaner verschafft sich Tans von Nutzern
Das chipTan comfort Verfahren
Beim chipTan comfort Verfahren besitzen Nutzer von E-Banking ein spezielles Lesegerät. Um die für Überweisungen und Transaktionen notwendige TAN zu generieren, wird die EC-Karte in das Lesegerät gesteckt. Auf dem Bildschirm des Nutzers flimmert sodann ein Flickercode auf. Nur das Lesegerät kann diesen Code entziffern und anzeigen, sodass die TAN genutzt werden kann.
Dieses System gilt eigentlich als sicher, da Betrüger tatsächlich auf das Lesegerät schauen müssten, um die TAN ausspionieren zu können. Durch einen raffinierten Trick, der sich des Sicherheitsverhaltens der Nutzer bedient, haben Betrüger nun trotzdem einen Weg gefunden, an die Nummer heranzukommen.
TAN für Testzwecke
Ein eingeschleuster Trojaner namens Tantanga erstellt eine vertrauenerweckende Formularseite, die die Nutzer dazu aufruft, das chipTan comfort System zu testen bzw. zu überprüfen. Eine knappe Abfolge von Aufforderungen gibt Anweisungen eine TAN zu generieren und diese zur Überprüfung in die Formularseite einzutragen um den Test abzuschließen. Dabei wird darauf hingewiesen, dass die TAN allein zu Testzwecken notwendig sei. Die Anweisungen lauten wie folgt:
1. Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken „F“.
2. Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
3. Prüfen Sie die Anzeige auf dem Leserdisplay und drücken „OK“.
4. Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit „OK“ auf Ihrem TAN-Generator.
Kunde tappt selbst in die Falle
Leider wird die Transaktionsnummer jedoch nicht nur für Testzwecke genutzt, sondern den Betrügern und Urhebern des Tantanga-Trojaners übermittelt. Diese haben daraufhin die Möglichkeit eine eigene Überweisung vom Konto des Nutzers durchzuführen – und somit Geld zu stehlen, wie Virenexperten von Trusteer herausgefunden haben.
E-Banking-Kunden haben kaum die Möglichkeit, an das verlorene Geld wieder heranzukommen. Schließlich wurden alle Sicherheitsanforderungen eingehalten und die TAN selbstständig herausgegeben. Nutzer sollten daher niemals Nummern verraten oder in Formulare – wenn sie auch noch so sicher erscheinen – eintragen. Banken geben keine solche Formulare oder E-Mail-Anfragen heraus.