Da Mobiltelefone zunehmend mit Internetzugang ausgestattet sind, hat das mTAN-Verfahren grundsätzliche Schwächen, etwa wenn die mTAN auf dasselbe Gerät gesendet wird, das auch für das Online-Banking genutzt wird. Bei einem Verlust des Mobiltelefons besteht zudem der einzige Schutz vor missbräuchlichen Transaktionen in den Zugangsdaten zum Banking. TAN-Generatoren bieten in dieser Hinsicht wesentlich mehr Sicherheit, da die Geräte nicht vernetzt sind.
Entsprechend kann auf einem Smartphone ein Trojaner, der die Kontrolle über das System übernimmt, zuerst Benutzernamen und Passwort des Online-Bankings abhören und anschließend vollautomatisch Überweisungen durchführen, indem er sich erst ins Online-Banking einloggt, dann eine Überweisung ausfüllt, anschließend die SMS der mTAN abfängt und damit die Überweisung legitimiert. Es reicht also für einen Trojaner ein einmaliges Einloggen beim Online-Banking über das Smartphone, damit diese Sicherheitslücke ausgenutzt werden kann. Das Ganze funktioniert auch, wenn der Angreifer Benutzernamen und Passwort des Online-Bankings auf einem anderen Wege in Erfahrung gebracht hat, z. B. durch einen weiteren Trojaner auf dem PC.
Im September 2010 wurde erstmals in der Presse über neue Varianten des Banking-Trojaners ZeuS berichtet, der mit einer mobilen Variante entsprechende Parallel-Infektionen durchführt.[8] Im Dezember 2012 wurde berichtet, dass durch diesen Trojaner bereits über 36 Millionen Euro erbeutet worden sind.[9]
Eine weitere Schwachstelle ist die mit der Rufnummer verknüpfte SIM-Karte des Mobiltelefons. Diesbezüglich wurden Angriffe bekannt, bei denen mithilfe etwa per Trojaner erbeuteter Nutzerdaten die Rufnummer des Opfers auf eine neue SIM-Karte portiert[10] oder von den Angreifern eine Zweit-SIM angefordert wurde[11], mit der sie anschließend das mTAN-Verfahren aushebeln konnten.
![neo[2k]](/community/data/avatars/m/127/127530.jpg?1577437184){kind=avatar}
