Hacking von Bezahl-Apps Ohne Passwort oder Pin: wie Hacker Banking-Apps übernehmen

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Durch eine Sicherheitslücke verschaffen sich Hacker Zugang zu Bezahl-App-Accounts. Dafür reicht ihnen die Kreditkartennummer des Opfers aus. Ohne weitere Authentifizierung gaukeln die Betrüger der Bank eine Registrierung eines neuen Endgeräts vor und der ahnungslose Bankkunde bestätigt diese auch noch.

In jüngerer Zeit kommt es vermehrt zu betrügerischen Kreditkartenbelastungen bei mobilen Bezahldiensten. Ein Geldinstitut aus Baden-Württemberg spricht von telefonischen Beschwerden „alle 30 Minuten“. Aufhänger der Betrugsmasche sind der angebliche Wechsel des mobilen Endgerätes von Bankkunden mit einer darauf installierten Bezahl-App und betrügerische Belastungen der von den Bankkunden auf ihrem bisherigen Mobilgerät hinterlegten Kreditkarten.

Kreditkartennummer reicht aus

Der Stuttgarter Rechtsanwalt Ulrich Emmert hat gemeinsam mit Security-Experten mittels verschiedener Versuchsanordnungen die möglichen Sicherheitslücken und Angriffsszenarien nachvollzogen. Demnach dürfte den geschädigten Bankkunden Folgendes widerfahren sein:

Der Bankkunde hat auf seinem mobilen Endgerät eine bestimmte Banking-App installiert und in dieser seine Kreditkartendaten registriert. Vom Betrüger wird dieselbe App im App- oder Playstore heruntergeladen und auf seinem eigenen Endgerät installiert. Ihm fehlt lediglich eine Kreditkartennummer, die er in seiner App neu hinterlegt und die der Kreditkartennummer des Bankkunden entspricht.

Dies ist jedoch ein Leichtes: Kreditkartendaten können im Internet millionenfach freiverkäuflich erworben werden, ihre Prüfziffer (CVC) lässt sich durch einen einfachen Algorithmus errechnen oder in zahllosen Webshops einfach ohne Eingabebeschränkung „durchprobieren“. Ein zweiter Faktor zur Authentifikation auf seinem Endgerät ist nicht notwendig. Ein Identitätscheck durch die App auf seinem eigenen Gerät erfolgt nicht.

Von der App des Betrügers ausgelöst, bekommt der Bankkunde nun eine authentische Nachricht von seiner Bank, wörtlich oder sinngemäß: „Ich habe ein neues Smartphone/Tablet – was muss ich tun.“ Wenn der Betrüger jetzt die Übernahme des Banking App-Accounts vom anderen Gerät anfordert, passiert Folgendes: Es wird eine Nachricht an den Besitzer des bisherigen Mobilgeräts versandt mit der Bitte um Freigabe.

Übernahme ohne weitere Freigabe

Und genau Letzteres passiert. Bis weit in den Herbst 2023 konnte der Bankkunde beim angeblichen Gerätewechsel diesen Wechsel sogar durch eine schlichte Buttonfreigabe, ohne PushTAN, mit seinem „bisherigen Mobilgerät“ autorisieren:

Von Seiten seiner Bank erscheint ein Bestätigungsfenster. In diesem wird der Bankkunde wörtlich oder sinngemäß zu einer „Bestätigung, dass er seine Registrierung ändern möchte“ aufgefordert. Ohne jeden Warnhinweis oder Erklärung, warum er von seiner Bank diese Nachricht erhält, erteilt der Kunde die Freigabe.

Auf diese Weise wird der Umzug des Banking-App-Accounts zum Betrüger ohne jede Erfordernis einer Eingabe eines Passworts oder einer PIN und ohne Verwendung von Biometrie oder Besitznachweis auf Seiten des Betrügers möglich.

Kunden völlig ahnungslos

Für den Bankkunden ist nicht erkennbar, dass es sich um einen böswilligen Angriff eines Betrügers handelt, der diese Bestätigungsanfrage ausgelöst hat. Der Hauptschwachpunkt des Verfahrens liegt also darin, dass vom übernehmenden Account keinerlei Identifizierung verlangt wurde.

Ein beliebiger Smartphone-Besitzer weltweit konnte die App installieren und ohne weitere Kenntnisse außer der Kreditkartennummer die Genehmigung der Account-Übernahme vom bisherigen Account-Inhaber anfordern.

(ID:50054771)