News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

[Lar337]

Ne iTan ist wesentlich unsicherer. Gerade weil es sich da um Universal-TANs handelt. Man braucht nur eine TAN über Phishing zu erhalten und kann sich den vollen verfügbaren Betrag überweisen. SMS-Tans sind nur für eine Transaktion gültig und es steht sogar in der SMS der Betrag.

Die SIM-Karte ist aber sogar jeden Tag das Tageslimit wert. Also viel mehr als jede iTAN, die nur einmal das Tageslimit wert ist.
Allerdings kann man iTAN auch völlig aushebeln, indem man die Formulardaten direkt beim Absenden an die Bank verändert. Schadsoftware auf Clientseite vorausgesetzt, aber das isses ja hier auch (wenn auch "nur" Keylogger)

 

[Pat]

Mit mTAN hat das ja aber mal gar nichts zu tun.

Das ist social engineering der Telekom.

 

[Forum-Fraggle]

Halb Offtopic:
Ändert besser das Artikelbild, das könnte Ärger geben und eigentlich auch nicht zu Unrecht. Es suggeriert nämlich ein Problem mit der Postbank und nicht, wie der Artikel hergibt, ein Problem durch die Telekom. Und wenn der Artikel nicht gänzlich gelesen wird bzw. falsch verstanden wird (z.B. daß vielleicht nur Postbankkunden betroffen sind), dann könnte die Postbank sich auf den Schlips getreten fühlen.
Unabhängig davon ist es auch schlecht gewählt überhaupt eine Bank abzubilden, weil die Schuld bei der Telekom liegt.

 

[wahlmeister]

mTan war schon immer unsicher, zumindest auf Androiden die infiziert werden konnten um die SMS abzufangen und umzuleiten.
Meine Bank bietet nur iTan an und damit bin ich auch sehr zufrieden. Solange niemand hier einbricht kann nichts passieren.

 

[WhiteShark]

Für SMS-Tan braucht es aber einen Trojaner auf dem PC und dem Smartphone (oder einen unfähigen Provider).
iTan reicht ein Trojaner auf dem Desktop.

SMS-Tan ist bisher sicher.

 

[Koto]

mTan war schon immer unsicher, zumindest auf Androiden die infiziert werden konnten um die SMS abzufangen und umzuleiten.

Aber auch nur wenn man beides auf den Gerät macht. Und beides angreift. Also Browser und SMS. Da braucht es ja schon fast Root zugriff.

Das Problem ist keines von mtan. Wenn Die Telekom Karten irgendwohin schickt ist das ein Problem der Telekom.

Selbst wenn ich eine Karte im Shop als verloren Melde. Wieso geht die Karte in den Shop und nicht zum Kunden?

Wieso kann sich jeder als Shop ausgeben?
Was hat der Shop Inhaber für Leute angestellt?

Also da haften wohl die Telekom bzw der Shop Betreiber und kaum der Kunde.

 

[ds1]

Ein bekannter von mir gehört zu den betroffenen. Von heut auf morgen wurden ihm über 30k€ gestohlen. Und er ist nicht unbedingt ein computerlaie. Gut, er ändert vöcht die passwörtr nicht monatlich aber das kanns ja wohl auch nicht sein. Phishing ist eigentlich auch ausgeschlossen da er nen aktuellen kasper auf seinem rechner laufen hat. Wie auch immer die kriminellen dran gekommen sind...

Er hat 2 wochen gebraucht um die bank davon zu überzeugen, für das geld aufzukommen. An die telekom hat da keiner gedacht. Und die bank wollte ihn noch beschuldigen, nicht oft genug die passwörter geändert zu haben. Erst als er mit dem anwaltsschreiben kam haben die nachgegeben... Also in dessen haut möchte man nicht gesteckt haben...

 

[Koto]

Phishing ist eigentlich auch ausgeschlossen da er nen aktuellen kasper auf seinem rechner laufen hat.

Ja der glaube der allmacht der Virenscanner ist ungebrochen.

 

[hrafnagaldr]

Ein bekannter von mir gehört zu den betroffenen.

Kühle Geschichte, Bru!

Aber zum Thema: eigentlich sollte man zumindest per Email zusätzlich informiert werden, wenn eine neue SIM Karte für einen gebucht wurde. Damit der potentiell Betroffene zumindest hellhörig wird. Dass man sich so leicht als Händler ausgeben kann geht aber gar nicht.

Ich nutze schon seit nunmehr 20 Jahren Onlinebanking (bereits per BTX), und mir ist trotz TAN-Liste und seit vielen Jahren mTAN noch nicht ein Cent abhanden gekommen.

Abgesehen davon würde es mir nicht passieren, dass man soviel Geld abhebt. Weil ich auch täglich aufs Konto schaue. Ist ja nun icht so schwer.

 

[Merle]

Wie kann es sein, dass eine Ersatz-SIM-Karte durch eine wildfremde Person und zudem noch an eine völlig neue Adresse verschickt wird? Selbst, wenn eine verloren gegangene Karte durch einen Dritten gemeldet wird, so wird diese doch dann an die im Vertrag hinterlegte Adresse verschickt und ggf. sogar per PostIdent-Verfahren. Und wieso ist davon nur die Telekom betroffen?

Ich kanns euch erklären...
T-Shop Mitarbeiter haben Karten in Umschlägen auf Vorrat. Diese müssen die Diebe wohl haben.
Was man dann noch braucht ist die interne Hotline zur sofortigen Simkartenaktivierung. Normalerweise dann noch eine Nummer vom Shop zur Identifikation. All das kann man durch einen Aufenthalt im T-Shop mitbekommen, habe ich nicht nur ein Mal so erlebt, da die Aktivierung an der Theke durchgeführt wird, NACH erfolgter Legitimation durch den Mitarbeiter. Die Rückfrage an der Hotline beläuft sich dann normal auf Nachname, Vorname, Nummer/Kartennummer, eventuell, wenn der Kundenname nicht ganz sicher war (die hat mir mein Enkel mal geschenkt, aber auf wen angemeldet?), weitere Daten.

Meine einzige Frage ist, wie die an die Simkarten gekommen sind, also die nicht aktivierten. Die müssten ja aus dem Telekomfundus stammen, wenn ich das System richtig interpretiere. Das sind übrigens keine Interna, alles als Anwesender im Laden miterlebt.

@Pat:

Das ist social engineering der Telekom.

Und ganz genau so ist es. So und nicht anders.

 

[Mort626]

Social Engeneering eben...

 

[Pyrodactil]

Puh, hatte bis jetzt immer ein alten Handyknochen ohne Internet Funktion fürs Onlinebanking benutzt, & werd mir wieder in diesem Zusammenhang ne Penny-SIM-karte dafür holen. Letztens wurde erst mein eBay-Account trotz Sicherheitssoftware übers (Android) Smartphone gehackt. Smartphones sind so unsicher das auch SMS-TAN´s mitgelesen werden. Natürlich geht dann alles erst wenn noch der PC nen Trojaner & Keylogger drauf hat.

 

[|SoulReaver|]

Ich hab kein Onlinebanking einmal im Monat gehe ich einen Kontoauszug holen. Meine Überweisungen mache immer noch in der Bank. Online kaufe ich über Paypal und das ganze mache ich wenn ich was kaufe über Linux. Von daher Save Habour so gut wie es geht ;=)

Viele sind abseits diese Themas einfach selber schuld und zu unvorsichtig und müssen einfach mal die Rechnung bekommen, damit sie darüber nachdenken wie verhalte ich mich vorm PC mit dem Smartphone what ever, und dann passiert auch weniger. Auf der anderen Seite gibt es noch Bankomaten die mit XP laufen da könnte ich kotzen.

Die Welt ist böse da draußen, nicht immer aber oft ;=)

 

[woodpeaker]

Was erwartet ihr denn?
Nur weil einer schreit es ist sicher?
Welchen Aufwand treibt ihr am Desktop PC um sicher zu sein und dann meint ihr die elenden Smartphones haben das schon ab Werk?

Bitte aufwachen!

Wenn es sicher sein soll, obwohl es niemals 100 %tige Sicherheit gibt, dann ist es einzig und allein HBCI.

Und verteufelt weder die Provider noch die Banken.

Der Endverbraucher bestimmt was angeboten wird, also ihr selbst!
Steigt keiner bei einer Sache ein, dann ist die schneller wieder vom Markt als man denkt.

 

[Merle]

Ich bin nach wie vor ein Verfechter von Brain.exe. Ohne einen infizierten PC geht das nämlich nicht. Vielleicht noch mit dem Kaspersky Virtual Keyboard (o.ä.), wenn kein Anderer nahe ist, zur Eingabe des Passworts, wenn man paranoid ist. Und dann eben der klassische TAN-Generator. Warum? Meine Karte müssen die erst Mal bekommen. Und bei Bankkarten wäre genau dieses Vorgehen schwerer als mit SIM Karten. Und wenn man die zufällig verliert, braucht derjenige noch einige weitere Daten.
Keine Ahnung. Ich finde, dass das Konzept, potentiell unsichere (da neuere) Technik einzubinden, in dem Fall Handys/Smartphones, keine gute Idee ist. Stagefright zeigt die Anfälligkeit. Ebenso die Software, die aus dem Apple AppStore entfernt wurde.
Dennoch möchte ich eigentlich nicht auf Onlinebanking verzichten. Ist halt einfach ein Sicherheit <=> Komfort - Thema.

 

[X_Clamp]

Naja, scheint ja zumindest nicht die grundsätzlich falschen getroffen zu haben. Dennoch ist sowas natürlich immer ärgerlich ...

 

[JamesFunk]

Wenn bei mir wirklich einer trotzdem das Login zu meiner Bank hackt, kann er zwar meine Kontobewegungen sehen, aber es nutzt es ihm 0, da meine Mobilfunknummer nicht komplett angezeigt wird - und um die Nummer eventuell zu ändern braucht es wiederum eine mTan oder beim "echten" Verlust einer Karte einen Anruf bei der Bank, die mir dann per Post einen Freischaltcode postalisch an meine offizielle Adresse schickt. Ich glaube kaum, dass der Betrüger dann an meinem Briefkasten in meinem Hausflur "campt".

Da kann sich wer will jemand als Mobilshop-Betreiber an die Telekom wenden, ohne die komplette Mobilfunknummer nutzt ihm das einfach nichts. Geschweige denn, dass er überhaupt weiss dass meine Handynummer zur Telekom gehört.

Wer Banking UND mTan auf einem Handy ausführt, den müsste man wegen grober Fahrlässigkeit auf seinen Kosten sitzen lassen.

Bei einer neuen Karte bleibt die Mobilfunknummer die gleiche...
Da muss man nichts ändern.

 

[iSight2TheBlind]

@Koto & Merle

"Ja, es geht um eine neue SIM für die Kundin Irma Meier... Nee, die kriegt die SIM nie im Leben selbst gewechselt, schickt die am besten mal direkt zu uns in den Shop, wir wechseln sie ihr dann dort... Ja, danke, tschüss"

Ich würde erwarten dass das ungefähr so läuft, einfach erzählen dass der Kunde nicht fähig ist die SIM selbst zu wechseln oder in ein neues Gerät einzusetzen.

 

[WhiteShark]

Wobei ich mich frage wo dann das Problem sein soll, das die Kundin mit der SIM-Karte und Smartphone in den Laden geht. Dazu muss die Karte nicht in den Shop geschickt werden.

 

[Jesterfox]

Naja, welcher Laden... oft haben die Leute ihren Vertrag ja nicht direkt über den Anbieter (Telekom) sondern über einen Reseller... wenn die sich jetzt als Reseller ausgeben um an di Sim zu kommen... hat die Telekom ein Problem weil sie Sch... baut wenn sie die Sim rausschickt ohne das genauer zu prüfen. (aber genau das haben sie wohl gemacht)