Privacy Blog

Ich habe gestern einen ziemlich interessanten Artikel über Online Banking bei Spiegel Online gelesen. Da ging es darum, dass die Hacker aus Russland einen Trojander für Postbank und Deutsche Bank entwickelt haben, der beim Aufruf der entsprechenden Webseiten zusätzlichen Java-Script Code in diese Webseite integriert, was beim TAN Eingabe eine Fehlermeldung bewirkt, die dem Benutzer mitteilt, dass die eingegebene TAN falsch sei und man noch einmal probieren soll. Danach funktioniert alles wie gewohnt. Dabei speichert das Programm die angeblich falsch eingetippte TAN und übermittelt diese an den „Besteller“.
Die Sicherheitslücke ist zwar inzwischen behoben, trotzdem habe ich mich dafür entschlossen auf mobiles TAN Verfahren umzusteigen. Dafür habe ich meine Handynummer eingegeben und mit einer TAN bestätigt. Als nächstes gab es 2 Optionen, den Antrag entweder per Post/Fax zu verschicken, oder per Telefon zu bestätigen. Da ich zuhause kein Fax Gerät und keine Lust auf Warten habe, habe ich mich entschlossen, das Verfahren per Telefon zu aktivieren. Ich habe die, auf der Webseite angezeigte 180 Nummer angerufen, meine Telefon-PIN und Kontonummer eingetippt und… eine Ansage bekommen, dass ich mich nicht identifizieren können soll und deswegen die Aktivierung jetzt per Post machen muss.

Ich halte zwar es für sehr unwahrscheinlich, dass jemand für Fishing eine 180-Nummer registriert hat, um die Telefon-PINs zu klauen, aber es klingt schon dem Spiegel-Artikel sehr nahe