News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

[basilisk86]

Das kann doch nicht sein das die Telekom schon wieder auf so ne Masche reinfällt!! Das ist doch der eigentliche Skandal, wer weiss was die Leute noch so mit den Sim Karten anstellen würden wenn die da mal was anderes machen wollen als nur Banküberweisungen.

An sich müsste die Telekom gezwungen werden jeden Schaden bis auf den letzten Cent den schwerreichen Banken zu erstatten, so viel Fahrlässigkeit bei derartig sensiblen Sachen gehört bestraft!

Anscheinend darf sich ja jeder Telekom Shop schimpfen, cool, ich ruf da mal an, die sollen ma paar PS4 Prämienpakete rüberwachsen lassen. Ja ne, is klar....

 

[S.Longus]

mTAN mochte ich noch nie wirklich.
Schon allein weil ich gern die Banking App auf meinem Smartphone nutze.

Ich bin ganz froh, dass meine Bank chipTAN/smartTAN anbietet, dafür gibt es - sofern man sich die Daten auf dem Gerät durchließt - noch nicht einmal theoretische Angriffszenarien. Damit würde ich sogar im Internetcafe Banking nutzen.

 

[Spawn182]

Habt ihr den Inhalt eures Artikels mal gelesen und dann die Überschrift angeschaut. Was hat das Vorgehen der Betrüger mit "überlisten mTAN-Authentifizierung" zu tun.

Einbrecher überlisten Schloss und nutzen Zweitschlüssel oder wie jetzt Ich würde eher sagen "Betrüger nutzen Sicherheitslücke bei der Deutschen Telekom aus und räumen Bankkonten leer" aber oh weh, da würde ja dem RosaRiesen jemand böses tun, so trifft es halt die vermaledeite mTAN.

Und um meinen Vorredner zu korrigieren, mit der Methode überliste ich auch die ChipTAN, wenn ich in einem Szenario die Möglichkeit hätte mir eine Ersatzkarte EC Karte zuschicken zu lassen und die nötigen weiteren Unterlagen hätte. Hoffe die Banken sind da sorgfältiger als die Deutsche Telekom.

Ich musste bei meiner Hausbank auch mal neue Karten telefonisch freischalteten lassen, die Zeiten sind auch schon wieder vorbei. Mein VISA Karten Unternehmen ruft jedoch sofort an, wenn etwas komisch ist, dazu gehören falsche PIN Eingaben bei hohen Beträgen, überhaupt Beträge die sonst nicht üblich sind oder mehrfache Nutzung im gleichen Geschäft direkt nacheinander.

Und zum Thema SIM Karte, wenn diese beschädigt ist oder man ein anderes Format (Nano etc.) braucht, kann man sich im Shop eine neue geben lassen und diese wird sofort aktiviert. Also muss da nichts verschickt werden, ich brauche nur einen Shop, ich vermute den kann ich einfach so eröffnen oder ich klaue die Daten, wenn ich auch schon zuvor erfolgreich System gehackt habe und ein entsprechendes Kontingent an SIM Karten.

 

[DefconDev]

Ich dachte bis heute eigentlich, sobald eine neue Sim-karte bestellt wird, wird die alte automatisch gesperrt, bei allen Anbietern. So zumin ist es bei Base im Online-Kundenportal. Sobald ich dort eine neue Sim-Karte bestelle, wird sogar darauf hingewiesen dass die alte gesperrt wird.

 

[RedXon]

Da bin ich ja froh, nie auf mTan gewechselt zu haben (wäre mir eh zu umständlich).

Ganz einfach per "Kästchen" welches mir nach eingabe eines Codes, des Einlegens der Bankkarte und eingabe des Kartenpins einen längeren Code angibt... Das ist vermutlich auch sicherer, da keine Drittfirma involviert ist. Zudem ist das erhalten einer Ersatzkarte doch etwas schwerer und den Pin hat man dann immer noch nicht.

Und wenn die Bankkarte gestohlen wird, merk ich das, und auch dann braucht man den Pin und wenn Karte und Pin weg ist, na gut, da braucht man dann auch kein Ebanking mehr um das Geld zu erhalten...

 

[DaZpoon]

Dass Ersatz-SIMs so einfach ausgeliefert werden ist erbärmlich. Wenn an privat geliefert wird, dann bitte per Einschreiben persönlich. Und wenn an Shops, dann bitte nur an vertraute, verifizierte Adressen.
Andererseits ist es eben auch ein schöner Verantwortungkrieg wenn man die Identifizierung auf den Telefonanbieter abwälzt.

Und an alle die sich mit Antivirensoftware sicher fühlen: Das ist fahrlässig. Spätestens wenn die Viren in der Firmware des PC hängen hat auch die Antivirensoftware keine Chance mehr zumal die Tarnmechanismen von Trojanern auch immer "besser" werden.

 

[kai84]

Richtige wäre "Überlistung der Telekom Deutschland". Außerdem haben die Betroffenen wohl auch grundlegende Sicherheitsvorkehrungen zumindest grob fahrlässig nicht beachtet.

Aber so wie es im Artikel und vor allem in der Headline beschrieben ist kann man halt mehr Ängste schüren und Zugriffe generieren.

 

[Zündkerze]

Die Überschrift bringt einfach Klicks ... ich traue es mich kaum zu sagen aber selbst Winfuture hat eine bessere Überschrift (die sogar stimmt): Bankkonten leergeräumt: Telekom gab Ersatz-SIMs an Kriminelle aus

Sind solche Artikel nur noch STRG+C und STR+V ?
Schuld an dem ganzen ist nicht die mTAN-Auth. sondern schlicht und ergreifend die laschen Sicherheitsvorkehrungen anfordern neuer SIM-Karten.

 

[hrafnagaldr]

Die Telefonica scheint auch betroffen, auch wenn der Fall als "anders gelagert" beschrieben wird:
http://www.spiegel.de/wirtschaft/se...-betrifft-wohl-auch-telefonica-a-1059028.html

 

[Zero Cool]

mTAN mochte ich noch nie wirklich.
Schon allein weil ich gern die Banking App auf meinem Smartphone nutze.

das sollten man dann wirklich nicht tun. mTAN und Bankapp auf einem Handy. Ich kenne einige Leute die beides vom Handy aus machen und trotz mehrmaligen Hinweise es weitermachen. Genau die Leute jammern dann rum das was schief gegangen ist.
Ich nutze mTAN aber ich nutze mein Onlinebanking nur zu Hause oder einem anderem "sicheren" Rechner. Im Internetcafe schon garnicht. Was weis denn ich was da im Hintergund mitläuft. Gut, wenn die Simkarten ohne meine Kenntniss an Dritte geschickt werden bin ich natürlich auch ein potentielles Opfer.

 

[Tronx]

Sorry, aber hier wird mal wieder das falsche suggeriert, mTan als solches ist in meinen Augen und in der Nutzung sicher. Nicht ein Schlupfloch von mTAN war schuld, sondern die Telekom und die SIM Kartenlieferung.

 

[OdinHades]

Wirklich sicher ist Online Banking letztlich nie.

 

[Baxxter]

Als ich vor Jahren in einem Kabel Deutschland Shop gearbeitet habe, musste ich bei jedem Anruf in der Zentrale meine MA- und die Shop-Nummer nennen. Ebenso war die Telefonnummer des Shops in deren System verifiziert. Da hat die Telekom wohl noch Nachholbedarf, wobei solche Sicherheitsvorkehrungen für so einen großen Konzern eigentlich Standard sein sollten.

 

[iSight2TheBlind]

@Spawn182 & Tronx

Ich finde die Überschrift hier schon in Ordnung, denn in diesem Fall geht es ja wirklich darum, dass das eigentlich sichere mTAN-Verfahren in einer unsicheren Welt eben doch unsicher sein kann.

Dass der Fehler selbst nicht bei den mTANs lag sondern beim Mobilfunkprovider macht diese mögliche Lücke in der Sicherheit ja nicht weniger relevant.
Jede Sicherheitskette ist nur so stark wie das schwächste Glied und bei unvorsichtigen Providern bricht die Sicherheit von mTANs dann plötzlich in sich zusammen.

Der Gedanke hinter mTANs ist es ja, dass zwei verschiedene Medien für eine Überweisung genutzt werden und dass kein Angreifer beide Medien zusammen als Man-in-the-Middle manipulieren kann.
Hier wird einer der Wege durch Trojaner erfolgreich angegriffen und mit den dort erlangten Daten war es den Tätern dann möglich durch unvorsichtige/schlecht geschulte Callcentermitarbeitern den zweiten Weg nicht nur zu manipulieren sondern vollständig zu übernehmen.

Theoretisch hätten die auch noch eine selbstgeschaltete kostenpflichtige Telefonnummer auf Kosten des Betrogenen anrufen können, um die Einnahmen noch weiter zu steigern.

Der Fehler liegt so zwar eigentlich im System der Kontrolle wer eine SIM-Karte erhalten darf, aber ausgeprägt hat er sich in diesem Fall so, dass die Sicherheit eines eigentlich sicheren TAN-Verfahrens völlig in sich zusammengebrochen ist.

Wenn man noch eine Malware entwickelt die auf dem einen Medium anfängt und sich dann auf das andere fortpflanzen kann werden mTANs aber auch völlig ohne Providerfehler angreifbar.

Die Mail die Trojaner-Anhänge enthält die sowohl Payloads für den Computer als auch das Smartphone bietet oder der Trojaner der auf der einen Plattform anfängt und dann sobald das Smartphone per USB mit dem Rechner verbunden wird sich in die eine bzw. die andere Richtung fortpflanzt.

 

[fp69]

Wann sterebn die Dummen endlich aus. Ich meine nicht zwingend die Opfer.

Die ITAN ist eine gute Sache, wenn sie per Mausklick einzugeben ist. Die DiBa konnte ich leider nicht davon überzeugen.
Aber immerhin bieten sie ITAN.

 

[WhiteShark]

Ob ich die itan per Maus oder per Tastatur eingebe macht keinen großen Unterschied.
Der Trojaner erkennt das es Formular Daten sind und loggt die so ist so mit.
Das die Diba noch das unsicherste Verfahren anbietet ist eigentlich schade. Ich hoffe die bringen auch bald mTan.

Einen Trojaner der sich automatisch per Mail installiert und dann auch noch direkt per USB aufs Smartphone schiebt gibt es so nicht.
Ein Trojaner muss immer ausgeführt werden. Das geht nur wenn der User das explizit macht, oder wenn in einem Programm eine Lücke ist die Programmcode ausführt.

Von Desktop kann der Trojaner zwar auf das Smartphone kopiert werden, ist dort aber wirkungslos.

 

[tobias84]

Artikel-Update: Die jüngste Betrugsserie beschränkt sich nicht nur auf Kunden der Deutschen Telekom. Auch beim Mobilfunkanbieter Telefónica (O2, E-Plus) soll es mindestens einen entsprechenden Fall geben. Zudem berichten Polizeikreise von einer deutlich höheren Schadensumme; diese gehe eher in Richtung zwei Millionen Euro.

 

[Taigabaer]

Für einmal Betrügen 2 000 000 Euro? Da kriegt man ja noch Bewährung bzw. eine geringe Gefängnisstrafe! Das lohnt sich ja glatt!

 

[22428216]

Da hilft nur eins:

wer seine Karte verliert, muss zum entsprechenden Shop gehen und sich mit einem gültigen Ausweisdokument verifizieren.

 

[Peter_Shaw]

Verfahren mit TAN-Generatoren haben hier den klaren Vorteil, dass zusätzlich ein Stück Hardware vorhanden ist, sodass der bloße Datenklau nicht reicht. Oder gabs auch schon Fälle, wo sich jemand Ersatz-EC-Karten hat schicken lassen?