Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Neuer Android-Trojaner zielt auf mTANs ab
- Ersteller Sasan
- Erstellt am
- Zur News: Neuer Android-Trojaner zielt auf mTANs ab
- Registriert
- Nov. 2007
- Beiträge
- 991
Wenn Dieb Zugang zu deinem Bank Login hat und dein Handy infiziert ist:
Er macht Überweisung, die mTan geht an dein Handy, wird aber umgehend an ihn weitergeleitet.
(so habe ich es jedenfalls verstanden)
Er macht Überweisung, die mTan geht an dein Handy, wird aber umgehend an ihn weitergeleitet.
(so habe ich es jedenfalls verstanden)
ice-breaker
Commodore
- Registriert
- Nov. 2008
- Beiträge
- 4.132
und wo ist das Problem? Wo mehr zu holen ist, da kann man auch mehr Zeit investieren.MajinChibi schrieb:Dann müsste man aber eine gescheite SMS Applikation schreiben. Welche bei entdecken dann ja fix nutzlos wäre.
Baut man eben ne geniale SMS App für umsonst, lässt die nen Jahr lang laufen um gute Verbreitung zu haben und baut dann den Trojaner ein, fertig.
Warum halten eigentlich alle Kriminelle für absolut dämlich? Mit ein wenig Vorbereitungszeit lässt sich da eben mehr rausholen.
Pack 5 gratis SMS im Monat in die App und die Leute werden sie reihenweise laden.MajinChibi schrieb:Ausserdem könnte ich wetten, die meisten Leute stecken mehr Überlegung ins ersetzen Ihrer standard sms app als in "ZOMFG SUPER MEGA HYPER ANGRY BIRDS HINTERGRUNDBILDER APP"
Manchmal frage ich mich, warum ich mein Geld auf ehrliche Weise verdiene...
H
hrafnagaldr
Gast
bLu3to0th schrieb:Warum zum Geier rafft es eigtl. keiner, dass nicht alle einen IQ von 300 und 25Jahre IT-Erfahrung haben(Achtung überspitzt!).
Es gibt genug Leute, die von der Materie einfach keine Ahnung haben(oder nicht genug) und trotzdem diese Geräte, Internet und Programme nutzen.
Ist klar, dennoch wird in den mTAN-Nutzungsbedingungen der Bank davor gewarnt, Onlinebanking Login und Empfang der mTAN auf dem gleichen Gerät zu haben.
Man muss sich das aber halt auch durchlesen.
Ansonsten ist mTAN immernoch wesentlich sicherer (und bequemer) als eine vorgenerierte TAN-Liste.
Brandkanne
Lt. Commander
- Registriert
- Okt. 2010
- Beiträge
- 1.305
Plastikman schrieb:Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen.
Und wenn du jetzt jedem empfiehlst auf Symbian, Linux, etc. zu wechseln, dann rate mal welches System als nächstes das Angriffsziel wird.
Lächerlich.S!L3NC3R schrieb:Lächerlich! Käse zum Whine... einfach mal Brain.exe installieren dann muss man sich keine Sorgen machen.
Erstens lässt sich unter Android keine .exe installieren (jaja, wer anderen eine grube gräbt..) und zweitens könnte man so alles erklären und entschuldigen.
Drei viertel meiner bekanntschaft hat kein interesse, sich mit irgendwelchen computerthemen auseinanderzusetzen, und es ist einfach ein fakt, dass es unter Android zusätzlich zu "normalen" sicherheitslücken mittlerweile malware ohne ende gibt. Bei iOS ist das nicht so.
Das nimmt Android nicht die lebensberechtigung, ist aber eben eine tatsache.
@über mir: auch das ist falsch. Die geschichte hat einen bart. Linux und vor allem OS X sind mittlerweile schon lange verbreitet und die möglichkeiten für malware-schreiber sind bei weitem nicht so unbegrenzt wie unter Windows.
Tomahawk
Commander
- Registriert
- Feb. 2002
- Beiträge
- 2.976
So ein Unfug. Symbian wird sicherlich ähnlich oft verwendet wie iOS oder Android.Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen
- Registriert
- Nov. 2007
- Beiträge
- 991
@ice-breaker
ich halte die Kriminellen nicht für dämlich.
Aber wie gesagt, ich denke es wird ehr erst der Rechner infiziert, eh gezielt das Handy in Angriff genommen wird.
SMS Applikation schreiben, welche GUT ist und ein Jahr (o.ä.) als Alternative genutzt wird?
Unnötig viel Aufwand, damit haben auch die "nicht-kriminellen" ihre Probleme
Riskieren, dass die ausgenutzte Sicherheitslücke in nem Jahr (bzw sowas kann viel viel fixer gehen und dann war alles umsonst) geschlossen wird?
Riskieren, dass die App schon vorher soviel Aufmerksamkeit zieht, dass die Hintertür entdeckt wird?
Mehr Spuren durch mehr und vor allem betreuten Code hinterlassen?
5 Gratis SMS in einem Ausmass garantieren, dass auch eine vernünftige Anzahl an Leuten zu frieden ist und nicht gleich die ersten paar die das Ding laden schlechte Bewertungen abgeben?
(wie ermöglicht man 5 Gratis sms durch eine App per Fremdanbieter für viele viele Leute?)
Alles Risiken und zu langwierig.
(btw auf deinen Edit habe ich auf Seite 2 im Edit geantwortet ^^)
ohoh, unentdeckte Fehler sind die schlimmsten
ich halte die Kriminellen nicht für dämlich.
Aber wie gesagt, ich denke es wird ehr erst der Rechner infiziert, eh gezielt das Handy in Angriff genommen wird.
SMS Applikation schreiben, welche GUT ist und ein Jahr (o.ä.) als Alternative genutzt wird?
Unnötig viel Aufwand, damit haben auch die "nicht-kriminellen" ihre Probleme
Riskieren, dass die ausgenutzte Sicherheitslücke in nem Jahr (bzw sowas kann viel viel fixer gehen und dann war alles umsonst) geschlossen wird?
Riskieren, dass die App schon vorher soviel Aufmerksamkeit zieht, dass die Hintertür entdeckt wird?
Mehr Spuren durch mehr und vor allem betreuten Code hinterlassen?
5 Gratis SMS in einem Ausmass garantieren, dass auch eine vernünftige Anzahl an Leuten zu frieden ist und nicht gleich die ersten paar die das Ding laden schlechte Bewertungen abgeben?
(wie ermöglicht man 5 Gratis sms durch eine App per Fremdanbieter für viele viele Leute?)
Alles Risiken und zu langwierig.
(btw auf deinen Edit habe ich auf Seite 2 im Edit geantwortet ^^)
fire2002de schrieb:solche herben Fehler wirst du bei ios niemals sehen !
ohoh, unentdeckte Fehler sind die schlimmsten
Zuletzt bearbeitet:
fire2002de
Lt. Junior Grade
- Registriert
- Mai 2008
- Beiträge
- 258
DaDare schrieb:Als ob es bei ios keine Sicherheitslücken gäbe.
Gut zu wissen by the way.
solche herben Fehler wirst du bei ios niemals sehen !
Sherman123
Fleet Admiral
- Registriert
- Nov. 2002
- Beiträge
- 12.341
Wie soll das noch gleich funktionieren?
Ich bekomme meinen 5 Minunten lang gültigen mTAN erst unmittelbar vor jeder Überweisung. Selbst wenn jemand die sms abfängt, hat dieser weder Kontonummer noch Zugangsdaten. (und selbst wenn, ist dieser mTAN nur für die geplante Überweisung gültig)
Gibt es hier noch ein anderes System, das anfälliger ist?
Ich bekomme meinen 5 Minunten lang gültigen mTAN erst unmittelbar vor jeder Überweisung. Selbst wenn jemand die sms abfängt, hat dieser weder Kontonummer noch Zugangsdaten. (und selbst wenn, ist dieser mTAN nur für die geplante Überweisung gültig)
Gibt es hier noch ein anderes System, das anfälliger ist?
ice-breaker
Commodore
- Registriert
- Nov. 2008
- Beiträge
- 4.132
deswegen sprach ich ja davon, die Betrüger quasi zu nem Termin zu "zwingen". Sollen eben schnell morgens um 6 Uhr vorbeikommen, wenn man auf die Arbeit fährt. Für die Betrüger interessant, da du keine Zeit für sie hast und für dich bzw. die Polizei weil sie nur vielleich ne halbe Stunde warten müssten, je nachdem wie groß das Zeitfenster gesetzt wird.MajinChibi schrieb:@ice-breaker
ja stimmt, ans einfachste habe ich natürlich nicht gedacht ^^
Aber dennoch: für so eine vage einzel Aussage kommt vllt ne Streife und die sicherlich auch nicht 24h lang und dann wird sich wohl keiner blicken lassen +.+
Man muss beides in Angriff nehmen, die Reihenfolge ist egal. Wenn man Zugriff auf den Rechner hat sollte es leicht sein die App zu anpreisen: Man modifiziert Werbebanner in Webseiten usw.MajinChibi schrieb:ich halte die Kriminellen nicht für dämlich.
Aber wie gesagt, ich denke es wird ehr erst der Rechner infiziert, eh gezielt das Handy in Angriff genommen wird.
sehe ich als gar kein Problem an, man muss sich nur ansehen welche Verbreitung die Todo-App "Clear" auf iOS in wenigen Tagen erreicht hat, weil sich jemand 2 Minuten Zeit genommen hat und an eine nützliche Bedienung gedacht hat. Das ganze wurde in HTML5 von einem Entwickler an einem Wochenende nachgebaut. Also schafft man die Anwendung auch in einer Woche zu entwickeln (ich bin Entwickler, somit Zeitschätzung nicht unrealistisch).MajinChibi schrieb:SMS Applikation schreiben, welche GUT ist und ein Jahr (o.ä.) als Alternative genutzt wird?
Da ist EC-Kartenleser in Baumärkten auszutauschen ein viel viel höherer Aufwand.MajinChibi schrieb:Unnötig viel Aufwand, damit haben auch die "nicht-kriminellen" ihre Probleme
Man baut den Trojaner natürlich nicht sofort ein, wäre ja dämlich. Sondern erst an Tag X an dem man loslegt, Vorbereitungsphase vs. Ausnutzphase.MajinChibi schrieb:Riskieren, dass die ausgenutzte Sicherheitslücke in nem Jahr (bzw sowas kann viel viel fixer gehen und dann war alles umsonst) geschlossen wird?
Riskieren, dass die App schon vorher soviel Aufmerksamkeit zieht, dass die Hintertür entdeckt wird?
Mehr Spuren durch mehr und vor allem betreuten Code hinterlassen?
schlechte Bewertungen sind bei Android doch gar kein Problem, die meisten Apps haben wenigstens ein paar schlechte Bewertungen weil es auf dem oder dem Smartphone irgendwie doch nicht läuft.MajinChibi schrieb:5 Gratis SMS in einem Ausmass garantieren, dass auch eine vernünftige Anzahl an Leuten zu frieden ist und nicht gleich die ersten paar die das Ding laden schlechte Bewertungen abgeben?
Dafür gibt es SMS-Gateways, eine SMS inkl. Absenderkennung über das Ausland (damit billiger und nur wenige Sekunden längere Auslieferungszeit) sind ~5ct pro SMS.MajinChibi schrieb:(wie ermöglicht man 5 Gratis sms durch eine App per Fremdanbieter für viele viele Leute?)
Das ganze war ja nur ein Beispiel, es gibt ja noch mehr Beispiele eine attraktive App zu machen, z.B. das "Clear"-Beispiel.
Na in einen Baumarkt einzubrechen, die EC-Leser zu tauschen und wieder zu gehen ist noch risikoreicher, natürlich aber auch mit höherem Gewinn verbunden.MajinChibi schrieb:Alles Risiken und zu langwierig.
Es gibt aber sicherlich noch mehr Dinge, die man auf so einem Smartphone erstmal abgreifen kann, wenn man als App installiert, die mTan muss ja nur ein Teil davon sein.
Cohen
Commodore
- Registriert
- Aug. 2010
- Beiträge
- 4.577
Also in Filmen werden die Leute immer umgebracht, wenn sie den Räubern keine Wertgegenstände anbieten könnenTomahawk schrieb:Und dir der Überweisungsträger gestohlen werden? Der Schaden ist dann exakt 0 Euro.
xammu
Captain
- Registriert
- Dez. 2008
- Beiträge
- 3.244
neo-bahamuth schrieb:Ist klar, dennoch wird in den mTAN-Nutzungsbedingungen der Bank davor gewarnt, Onlinebanking Login und Empfang der mTAN auf dem gleichen Gerät zu haben.
Man muss sich das aber halt auch durchlesen.
Warum durchlesen, die Banken könnten so was technisch begrenzen.
Bei meinem Sparkassenkonto ist gar keine Überweisung per mTAN möglich wenn ich mit dem Handy auf der Kontoseite bin. Per iTAN ginge es theoretisch, aber bei der Sparkasse ist das nur entweder oder.
sinngemäße Meldung: "Kein unterstütztes Tan verfahren gefunden".
Bei meinen anderen Banken sind Überweisungen per mTAN auch von Mobilgeräten erlaubt.
Edit: Ich muss ggf mal testen, ob das alle Mobilgeräte betrifft oder nur das TAN Handy.
- Registriert
- Nov. 2007
- Beiträge
- 991
@ice-breaker
In Baumärkten wird nichts getauscht, da wird wenn dann ein Skimmer an die vorhandenen Geräte gepappt. (und das auch meist von Leuten die dort arbeiten)
Wenn fail dann fail, wenns klappt dann "gut", aber eben alles Zeitnah und ohne lange Verzögerung.
Und da wirds dann bei Fehlschlag halt im nächsten versucht.
Bei der SMS App müsste man dann bei Fehlschlag einfach mal eben noch eine Super app schreiben. Man braucht ja "nur" eine Idee...
(kenne sms Gateways, aber macht man sich dann dort hunderte Accounts? Oder lässt man Hunderte user über einen dort versenden?)
Ich verstehe deine Überlegungen schon, ich wollt sie auch nicht totreden oder die Möglichkeit ausschliessen.
Ich sag nur, warum es höchstwahrscheinlich nicht dazu kommt.
(und hey, ich bin auch auf jedenfall fürs Polizei rufen und versuchen ob man da wen dingfest machen kann. Aber sich darüber wundern, dass andere kriminelle prinzipiell für dämlich halten und dann erwarten, dass sie zu einem selbst festgelegten Termin erscheinen? ^^)
In Baumärkten wird nichts getauscht, da wird wenn dann ein Skimmer an die vorhandenen Geräte gepappt. (und das auch meist von Leuten die dort arbeiten)
Wenn fail dann fail, wenns klappt dann "gut", aber eben alles Zeitnah und ohne lange Verzögerung.
Und da wirds dann bei Fehlschlag halt im nächsten versucht.
Bei der SMS App müsste man dann bei Fehlschlag einfach mal eben noch eine Super app schreiben. Man braucht ja "nur" eine Idee...
(kenne sms Gateways, aber macht man sich dann dort hunderte Accounts? Oder lässt man Hunderte user über einen dort versenden?)
Ich verstehe deine Überlegungen schon, ich wollt sie auch nicht totreden oder die Möglichkeit ausschliessen.
Ich sag nur, warum es höchstwahrscheinlich nicht dazu kommt.
(und hey, ich bin auch auf jedenfall fürs Polizei rufen und versuchen ob man da wen dingfest machen kann. Aber sich darüber wundern, dass andere kriminelle prinzipiell für dämlich halten und dann erwarten, dass sie zu einem selbst festgelegten Termin erscheinen? ^^)
Zuletzt bearbeitet:
Ich glaub es wurde noch nicht erwähnt, das es technisch in der Regel nicht möglich ist, ein gerät als Tan Generator und zum Online Banking (überweisung zu nutzen)
Man brauch also immer 2 Geräte
Handy (Generator)
PC (Banking)
oder
Generator mit EC Karte (Generator)
Handy (Banking)
Von daher ist mTan schon sicher.
Aber Leute die halt in der Online Welt nicht sicher sind, und auf so was reinfallen, sollten das vll auch einfach lassen.
Zu dem anderen Artikel mit dem Browser:
Wer in Emails irgendwelche Links öffnet.... gilt das gleiche wie oben, die sollten es vll einfach lassen.
Man brauch also immer 2 Geräte
Handy (Generator)
PC (Banking)
oder
Generator mit EC Karte (Generator)
Handy (Banking)
Von daher ist mTan schon sicher.
Aber Leute die halt in der Online Welt nicht sicher sind, und auf so was reinfallen, sollten das vll auch einfach lassen.
Zu dem anderen Artikel mit dem Browser:
Wer in Emails irgendwelche Links öffnet.... gilt das gleiche wie oben, die sollten es vll einfach lassen.
DiamondDog
Captain
- Registriert
- März 2004
- Beiträge
- 3.703
Tomahawk schrieb:So ein Unfug. Symbian wird sicherlich ähnlich oft verwendet wie iOS oder Android.
stimmt nur mit Geräten die aus der Steinzeit kommen und deren Anwender mit den Geräten nichts großartiges anstellen können. Das macht die ganze Sache für die Programmierer solcher Schad-Software die ganze Geschichte uninteressant.
riDDi schrieb:Es nützt den Angreifern nichts, auf eine andere Seite umzuleiten.
Der TAN-Generator spuckt nicht einfach eine beliebige TAN aus. Der Blinkende Strichcode enthält sämtliche vorher eingegebenen Informationen: Kontonummer, Bankleitzahl, Betrag. Aus diesen Informationen und den Daten deiner Bankkarte, die nur du und deine Bank kennen, errechnet das Gerät eine TAN, die nur für genau diese eine Überweisung mit diesen Daten gültig ist. Die Bank tut genau das selbe und kann so die zurück gesendete TAN vergleichen. Wenn der Angreifer deine Bankkarte nicht hat, dann kann er keine gültigen TANs generieren.
Da das Gerät nicht mit dem PC verbunden ist kann es nicht korrumpiert werden. Es wird immer unverfälscht die Überweisungsdaten, für die die TAN generiert wird, anzeigen. Wenn du die kontrollierst kann nichts schief gehen.
Selbst wenn der verwendete Algorithmus Schwächen hat (z.B. ist die TAN zu kurz, um alle o.g. Informationen ohne Wiederholungen zu encodieren), ist es quasi unmöglich eine zweite Überweisung zu finden, die die selbe TAN ergibt, aber das Geld auf ein Konto der Angreifer transferiert.
Und genau das ist wahrscheinlich falsch. Ich kenne den blinkenden Strichcode jetzt nicht genau, aber mal ein angriffsszenario:
Du gehst auf die Bankseite und wirst auf eine umgeleitet, die exakt genau so aussieht. Sowas gibts ja schon länger. Du loggst dich auf der falschen Seite ein... schon haben die Angreifer deinen Zugang und nutzen diesen Sofort. Als nächstes tätigst du eine Überweisung. Das selbe machen die Angreifer im Hintergrund mit deinen richtigen Daten und überweisen ein hohe summe auf ihr Konto. Nun bekommen die Angreifer diesen Flickercode den sie dir sofort bei deiner Überweisung anzeigen. Du scannst den Code und gibst dann den Angreifern den richtigen Pin. Geld ist Futsch!
mTan ist da immernoch sicherer!
moodle
Banned
- Registriert
- Juni 2011
- Beiträge
- 856
SMS und Online-Banking mit dem selben Gerät zu betreiben, korrumpiert sowieso den ganzen Vorgang, und hebelt alle Sicherheitsmaßnahmen aus!
Habe dafür extra ein Prepaid Handy. Auf meinem Android mache ich auch keine kritischen Sachen. Immerhin benutze ich eine Custom-Rom, wo es mir nur begrenzt möglich ist zu beurteilen ob da irgendwas manipuliert wurde ...
Habe dafür extra ein Prepaid Handy. Auf meinem Android mache ich auch keine kritischen Sachen. Immerhin benutze ich eine Custom-Rom, wo es mir nur begrenzt möglich ist zu beurteilen ob da irgendwas manipuliert wurde ...
SILen(e
Banned
- Registriert
- Sep. 2008
- Beiträge
- 3.551
Plastikman schrieb:Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen.
Symbian ist global gesehen immer noch weiter verbreitet als Android, wenn es uninteressant ist, dann höchstens weil aufgrund einer anderen Zielgruppe prozentual sicherlich weniger Leute darauf Onlinebanking nutzen als bei Android oder iOS, aber nicht wegen geringerer Verbreitung.
Beama schrieb:Aber Leute die halt in der Online Welt nicht sicher sind, und auf so was reinfallen, sollten das vll auch einfach lassen.
Man denkt auch immer wer so blöd sein kann Viagra bei URLs aus Spam-Mails zu kaufen - trotzdem ist das ganze profitabel.
Und gerade die Leute die bei solchen Dingen vorsichtiger sein sollten, sind üblicherweise diejenigen die sich der Gefahr nicht bewusst sind.
Gefahren durch technische Möglichkeiten verhindern ist weniger ausgrenzend als Menschen von neuen Technologien auszuschließen nur weil sie die nicht perfekt beherrschen.
Ähnliche Themen
- Antworten
- 36
- Aufrufe
- 7.215
- Antworten
- 12
- Aufrufe
- 2.157
- Antworten
- 28
- Aufrufe
- 5.919
D