News Neuer Android-Trojaner zielt auf mTANs ab

offtopic: (aber würde mich interessieren)
hm? wie bitte funktioniert das? den TAN bekomm ich doch zugesendet, den erstell ich doch nicht selbst.
 
Wenn Dieb Zugang zu deinem Bank Login hat und dein Handy infiziert ist:

Er macht Überweisung, die mTan geht an dein Handy, wird aber umgehend an ihn weitergeleitet.
(so habe ich es jedenfalls verstanden)
 
MajinChibi schrieb:
Dann müsste man aber eine gescheite SMS Applikation schreiben. Welche bei entdecken dann ja fix nutzlos wäre.
und wo ist das Problem? Wo mehr zu holen ist, da kann man auch mehr Zeit investieren.
Baut man eben ne geniale SMS App für umsonst, lässt die nen Jahr lang laufen um gute Verbreitung zu haben und baut dann den Trojaner ein, fertig.
Warum halten eigentlich alle Kriminelle für absolut dämlich? Mit ein wenig Vorbereitungszeit lässt sich da eben mehr rausholen.

MajinChibi schrieb:
Ausserdem könnte ich wetten, die meisten Leute stecken mehr Überlegung ins ersetzen Ihrer standard sms app als in "ZOMFG SUPER MEGA HYPER ANGRY BIRDS HINTERGRUNDBILDER APP"
Pack 5 gratis SMS im Monat in die App und die Leute werden sie reihenweise laden.
Manchmal frage ich mich, warum ich mein Geld auf ehrliche Weise verdiene...
 
bLu3to0th schrieb:
Warum zum Geier rafft es eigtl. keiner, dass nicht alle einen IQ von 300 und 25Jahre IT-Erfahrung haben(Achtung überspitzt!).
Es gibt genug Leute, die von der Materie einfach keine Ahnung haben(oder nicht genug) und trotzdem diese Geräte, Internet und Programme nutzen.

Ist klar, dennoch wird in den mTAN-Nutzungsbedingungen der Bank davor gewarnt, Onlinebanking Login und Empfang der mTAN auf dem gleichen Gerät zu haben.
Man muss sich das aber halt auch durchlesen.

Ansonsten ist mTAN immernoch wesentlich sicherer (und bequemer) als eine vorgenerierte TAN-Liste.
 
Plastikman schrieb:
Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen.

Und wenn du jetzt jedem empfiehlst auf Symbian, Linux, etc. zu wechseln, dann rate mal welches System als nächstes das Angriffsziel wird.
 
S!L3NC3R schrieb:
Lächerlich! Käse zum Whine... einfach mal Brain.exe installieren dann muss man sich keine Sorgen machen.
Lächerlich.
Erstens lässt sich unter Android keine .exe installieren (jaja, wer anderen eine grube gräbt..) und zweitens könnte man so alles erklären und entschuldigen.
Drei viertel meiner bekanntschaft hat kein interesse, sich mit irgendwelchen computerthemen auseinanderzusetzen, und es ist einfach ein fakt, dass es unter Android zusätzlich zu "normalen" sicherheitslücken mittlerweile malware ohne ende gibt. Bei iOS ist das nicht so.
Das nimmt Android nicht die lebensberechtigung, ist aber eben eine tatsache.

@über mir: auch das ist falsch. Die geschichte hat einen bart. Linux und vor allem OS X sind mittlerweile schon lange verbreitet und die möglichkeiten für malware-schreiber sind bei weitem nicht so unbegrenzt wie unter Windows.
 
Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen
So ein Unfug. Symbian wird sicherlich ähnlich oft verwendet wie iOS oder Android.
 
@ice-breaker

ich halte die Kriminellen nicht für dämlich.
Aber wie gesagt, ich denke es wird ehr erst der Rechner infiziert, eh gezielt das Handy in Angriff genommen wird.
SMS Applikation schreiben, welche GUT ist und ein Jahr (o.ä.) als Alternative genutzt wird?
Unnötig viel Aufwand, damit haben auch die "nicht-kriminellen" ihre Probleme ;)
Riskieren, dass die ausgenutzte Sicherheitslücke in nem Jahr (bzw sowas kann viel viel fixer gehen und dann war alles umsonst) geschlossen wird?
Riskieren, dass die App schon vorher soviel Aufmerksamkeit zieht, dass die Hintertür entdeckt wird?
Mehr Spuren durch mehr und vor allem betreuten Code hinterlassen?
5 Gratis SMS in einem Ausmass garantieren, dass auch eine vernünftige Anzahl an Leuten zu frieden ist und nicht gleich die ersten paar die das Ding laden schlechte Bewertungen abgeben?
(wie ermöglicht man 5 Gratis sms durch eine App per Fremdanbieter für viele viele Leute?)

Alles Risiken und zu langwierig.


(btw auf deinen Edit habe ich auf Seite 2 im Edit geantwortet ^^)


fire2002de schrieb:
solche herben Fehler wirst du bei ios niemals sehen !

ohoh, unentdeckte Fehler sind die schlimmsten ;)
 
Zuletzt bearbeitet:
DaDare schrieb:
Als ob es bei ios keine Sicherheitslücken gäbe.:rolleyes:

Gut zu wissen by the way.

solche herben Fehler wirst du bei ios niemals sehen !
 
Wie soll das noch gleich funktionieren?
Ich bekomme meinen 5 Minunten lang gültigen mTAN erst unmittelbar vor jeder Überweisung. Selbst wenn jemand die sms abfängt, hat dieser weder Kontonummer noch Zugangsdaten. (und selbst wenn, ist dieser mTAN nur für die geplante Überweisung gültig)

Gibt es hier noch ein anderes System, das anfälliger ist?
 
MajinChibi schrieb:
@ice-breaker
ja stimmt, ans einfachste habe ich natürlich nicht gedacht ^^
Aber dennoch: für so eine vage einzel Aussage kommt vllt ne Streife und die sicherlich auch nicht 24h lang und dann wird sich wohl keiner blicken lassen +.+
deswegen sprach ich ja davon, die Betrüger quasi zu nem Termin zu "zwingen". Sollen eben schnell morgens um 6 Uhr vorbeikommen, wenn man auf die Arbeit fährt. Für die Betrüger interessant, da du keine Zeit für sie hast und für dich bzw. die Polizei weil sie nur vielleich ne halbe Stunde warten müssten, je nachdem wie groß das Zeitfenster gesetzt wird.

MajinChibi schrieb:
ich halte die Kriminellen nicht für dämlich.
Aber wie gesagt, ich denke es wird ehr erst der Rechner infiziert, eh gezielt das Handy in Angriff genommen wird.
Man muss beides in Angriff nehmen, die Reihenfolge ist egal. Wenn man Zugriff auf den Rechner hat sollte es leicht sein die App zu anpreisen: Man modifiziert Werbebanner in Webseiten usw.

MajinChibi schrieb:
SMS Applikation schreiben, welche GUT ist und ein Jahr (o.ä.) als Alternative genutzt wird?
sehe ich als gar kein Problem an, man muss sich nur ansehen welche Verbreitung die Todo-App "Clear" auf iOS in wenigen Tagen erreicht hat, weil sich jemand 2 Minuten Zeit genommen hat und an eine nützliche Bedienung gedacht hat. Das ganze wurde in HTML5 von einem Entwickler an einem Wochenende nachgebaut. Also schafft man die Anwendung auch in einer Woche zu entwickeln (ich bin Entwickler, somit Zeitschätzung nicht unrealistisch).

MajinChibi schrieb:
Unnötig viel Aufwand, damit haben auch die "nicht-kriminellen" ihre Probleme ;)
Da ist EC-Kartenleser in Baumärkten auszutauschen ein viel viel höherer Aufwand.

MajinChibi schrieb:
Riskieren, dass die ausgenutzte Sicherheitslücke in nem Jahr (bzw sowas kann viel viel fixer gehen und dann war alles umsonst) geschlossen wird?
Riskieren, dass die App schon vorher soviel Aufmerksamkeit zieht, dass die Hintertür entdeckt wird?
Mehr Spuren durch mehr und vor allem betreuten Code hinterlassen?
Man baut den Trojaner natürlich nicht sofort ein, wäre ja dämlich. Sondern erst an Tag X an dem man loslegt, Vorbereitungsphase vs. Ausnutzphase.

MajinChibi schrieb:
5 Gratis SMS in einem Ausmass garantieren, dass auch eine vernünftige Anzahl an Leuten zu frieden ist und nicht gleich die ersten paar die das Ding laden schlechte Bewertungen abgeben?
schlechte Bewertungen sind bei Android doch gar kein Problem, die meisten Apps haben wenigstens ein paar schlechte Bewertungen weil es auf dem oder dem Smartphone irgendwie doch nicht läuft.

MajinChibi schrieb:
(wie ermöglicht man 5 Gratis sms durch eine App per Fremdanbieter für viele viele Leute?)
Dafür gibt es SMS-Gateways, eine SMS inkl. Absenderkennung über das Ausland (damit billiger und nur wenige Sekunden längere Auslieferungszeit) sind ~5ct pro SMS.
Das ganze war ja nur ein Beispiel, es gibt ja noch mehr Beispiele eine attraktive App zu machen, z.B. das "Clear"-Beispiel.

MajinChibi schrieb:
Alles Risiken und zu langwierig.
Na in einen Baumarkt einzubrechen, die EC-Leser zu tauschen und wieder zu gehen ist noch risikoreicher, natürlich aber auch mit höherem Gewinn verbunden.
Es gibt aber sicherlich noch mehr Dinge, die man auf so einem Smartphone erstmal abgreifen kann, wenn man als App installiert, die mTan muss ja nur ein Teil davon sein.
 
Tomahawk schrieb:
Und dir der Überweisungsträger gestohlen werden? Der Schaden ist dann exakt 0 Euro.
Also in Filmen werden die Leute immer umgebracht, wenn sie den Räubern keine Wertgegenstände anbieten können :evillol:
 
neo-bahamuth schrieb:
Ist klar, dennoch wird in den mTAN-Nutzungsbedingungen der Bank davor gewarnt, Onlinebanking Login und Empfang der mTAN auf dem gleichen Gerät zu haben.
Man muss sich das aber halt auch durchlesen.

Warum durchlesen, die Banken könnten so was technisch begrenzen.
Bei meinem Sparkassenkonto ist gar keine Überweisung per mTAN möglich wenn ich mit dem Handy auf der Kontoseite bin. Per iTAN ginge es theoretisch, aber bei der Sparkasse ist das nur entweder oder.
sinngemäße Meldung: "Kein unterstütztes Tan verfahren gefunden".

Bei meinen anderen Banken sind Überweisungen per mTAN auch von Mobilgeräten erlaubt.

Edit: Ich muss ggf mal testen, ob das alle Mobilgeräte betrifft oder nur das TAN Handy.
 
@ice-breaker

In Baumärkten wird nichts getauscht, da wird wenn dann ein Skimmer an die vorhandenen Geräte gepappt. (und das auch meist von Leuten die dort arbeiten)
Wenn fail dann fail, wenns klappt dann "gut", aber eben alles Zeitnah und ohne lange Verzögerung.
Und da wirds dann bei Fehlschlag halt im nächsten versucht.
Bei der SMS App müsste man dann bei Fehlschlag einfach mal eben noch eine Super app schreiben. Man braucht ja "nur" eine Idee...

(kenne sms Gateways, aber macht man sich dann dort hunderte Accounts? Oder lässt man Hunderte user über einen dort versenden?)

Ich verstehe deine Überlegungen schon, ich wollt sie auch nicht totreden oder die Möglichkeit ausschliessen. :)

Ich sag nur, warum es höchstwahrscheinlich nicht dazu kommt.

(und hey, ich bin auch auf jedenfall fürs Polizei rufen und versuchen ob man da wen dingfest machen kann. Aber sich darüber wundern, dass andere kriminelle prinzipiell für dämlich halten und dann erwarten, dass sie zu einem selbst festgelegten Termin erscheinen? ^^)
 
Zuletzt bearbeitet:
Ich glaub es wurde noch nicht erwähnt, das es technisch in der Regel nicht möglich ist, ein gerät als Tan Generator und zum Online Banking (überweisung zu nutzen)

Man brauch also immer 2 Geräte

Handy (Generator)
PC (Banking)

oder

Generator mit EC Karte (Generator)
Handy (Banking)

Von daher ist mTan schon sicher.

Aber Leute die halt in der Online Welt nicht sicher sind, und auf so was reinfallen, sollten das vll auch einfach lassen.

Zu dem anderen Artikel mit dem Browser:

Wer in Emails irgendwelche Links öffnet.... gilt das gleiche wie oben, die sollten es vll einfach lassen.
 
Tomahawk schrieb:
So ein Unfug. Symbian wird sicherlich ähnlich oft verwendet wie iOS oder Android.

stimmt nur mit Geräten die aus der Steinzeit kommen und deren Anwender mit den Geräten nichts großartiges anstellen können. Das macht die ganze Sache für die Programmierer solcher Schad-Software die ganze Geschichte uninteressant.
 
@DiamondDog
Du irrst dich gewaltig - für Symbian gibt es Banking Apps. Die installierte Basis dürfte vergleichbar sein wie bei Android oder iOS.
 
riDDi schrieb:
Es nützt den Angreifern nichts, auf eine andere Seite umzuleiten.
Der TAN-Generator spuckt nicht einfach eine beliebige TAN aus. Der Blinkende Strichcode enthält sämtliche vorher eingegebenen Informationen: Kontonummer, Bankleitzahl, Betrag. Aus diesen Informationen und den Daten deiner Bankkarte, die nur du und deine Bank kennen, errechnet das Gerät eine TAN, die nur für genau diese eine Überweisung mit diesen Daten gültig ist. Die Bank tut genau das selbe und kann so die zurück gesendete TAN vergleichen. Wenn der Angreifer deine Bankkarte nicht hat, dann kann er keine gültigen TANs generieren.
Da das Gerät nicht mit dem PC verbunden ist kann es nicht korrumpiert werden. Es wird immer unverfälscht die Überweisungsdaten, für die die TAN generiert wird, anzeigen. Wenn du die kontrollierst kann nichts schief gehen.
Selbst wenn der verwendete Algorithmus Schwächen hat (z.B. ist die TAN zu kurz, um alle o.g. Informationen ohne Wiederholungen zu encodieren), ist es quasi unmöglich eine zweite Überweisung zu finden, die die selbe TAN ergibt, aber das Geld auf ein Konto der Angreifer transferiert.

Und genau das ist wahrscheinlich falsch. Ich kenne den blinkenden Strichcode jetzt nicht genau, aber mal ein angriffsszenario:
Du gehst auf die Bankseite und wirst auf eine umgeleitet, die exakt genau so aussieht. Sowas gibts ja schon länger. Du loggst dich auf der falschen Seite ein... schon haben die Angreifer deinen Zugang und nutzen diesen Sofort. Als nächstes tätigst du eine Überweisung. Das selbe machen die Angreifer im Hintergrund mit deinen richtigen Daten und überweisen ein hohe summe auf ihr Konto. Nun bekommen die Angreifer diesen Flickercode den sie dir sofort bei deiner Überweisung anzeigen. Du scannst den Code und gibst dann den Angreifern den richtigen Pin. Geld ist Futsch!
mTan ist da immernoch sicherer!
 
SMS und Online-Banking mit dem selben Gerät zu betreiben, korrumpiert sowieso den ganzen Vorgang, und hebelt alle Sicherheitsmaßnahmen aus!

Habe dafür extra ein Prepaid Handy. Auf meinem Android mache ich auch keine kritischen Sachen. Immerhin benutze ich eine Custom-Rom, wo es mir nur begrenzt möglich ist zu beurteilen ob da irgendwas manipuliert wurde ...
 
Plastikman schrieb:
Auf Symbian hat man, wie Linux gegenüber Windows, einfach weniger Probleme, weil weniger Leute es nutzen.

Symbian ist global gesehen immer noch weiter verbreitet als Android, wenn es uninteressant ist, dann höchstens weil aufgrund einer anderen Zielgruppe prozentual sicherlich weniger Leute darauf Onlinebanking nutzen als bei Android oder iOS, aber nicht wegen geringerer Verbreitung.

Beama schrieb:
Aber Leute die halt in der Online Welt nicht sicher sind, und auf so was reinfallen, sollten das vll auch einfach lassen.

Man denkt auch immer wer so blöd sein kann Viagra bei URLs aus Spam-Mails zu kaufen - trotzdem ist das ganze profitabel.

Und gerade die Leute die bei solchen Dingen vorsichtiger sein sollten, sind üblicherweise diejenigen die sich der Gefahr nicht bewusst sind.

Gefahren durch technische Möglichkeiten verhindern ist weniger ausgrenzend als Menschen von neuen Technologien auszuschließen nur weil sie die nicht perfekt beherrschen.
 
Zurück
Oben