News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

Reglohln schrieb:
Ergänzung ()

Richtig. Aber es klingt ja so viel gefährlicher und erzeugt Klicks.

Auch CB bedient sich soclher Methoden um Klicks zu bekommen.
Dachte auch an so eine Lücke.

Dislike-Button bitte einführen.
Danke!
 
nap schrieb:
und noch dümmer sind die, die glauben ios wäre sicher!
Erst letzten Monat wurden mindestens 40 Apps aus dem Store entfernt, die mit einem Wurm infiziert waren! Darunter eine App, welche 200millionen Nutzer hatte! soviel dazu...

Das Problem ist doch die Freiheit eines offenen Systems inkl. aller ungepatchten Sicherheitslücken weil es keine Updates gibt SOVIEL DAZU! Während man bei Android die Banking Apps aus diversen (auch dunklen) Quellen nutzen kann, ist das bei iOS nicht möglich.
 
Ach nee? Dann lad dir mal eine ipk aus "einer dunklen Quelle" und füge sie in iTunes hinzu.
Geht wohl doch wa?7

Abgesehen davon gehts doch darum aber auch gar nicht - mir wurde sogar nicht mal die Wahl gelassen als man die TANListen auf Papier abgeschafft hatte. Ich KANN aus Prinzip keinen Kartenleser (HBCI) nutzen - das einzige was sonst eben noch erhältlich war ist dieses "Supersichere" mTAN Verfahren. Außerdem sind da Sparkasse und Konsorten auch inkonsequent in meinen Augen - meine App warnt mich sogar, dass ich ein gerootetes Gerät nutze, lässt mich über die App auch nix überweisen, im Browser auch vorerst nicht - mit einem Klick auf "Desktopansicht nutzen" dann aber eben doch. Eine Extra Rufnummer für eben den Empfang der TANs kann man auch nicht angeben, um eben dann ein uraltTelefon dafür zu nutzen zb. und der größte Witz: Festnetznummern darf man auch nicht verwenden....

Und auch mein Starmoney auf dem Tab macht keinerlei Anstalten die SMSTAN auf demselben Gerät zu empfangen wie den Überweisungsvorgang auszulösen (Offizielle "Profiapp" der Sparkassengruppe).
 
Zuletzt bearbeitet:
du kannst die Bank wechseln, bei der Deutschen Bank hast die Wahl. Da kannst die Methode wählen oder du machst es wie ich. Hauptkonto ohne Onlinebanking und Kreditkartengedöns und Onlinekonto mit überschaubarem Risiko.
 
Habe auch mehrere Konten, nutze allerdings wie beschrieben aus den angegebenen Gründen die SparkassenÜW Online im Höchstfalle 2-3 mal im Jahr. Ich fand nur eben das Gespräch mit meiner Beraterin sehr Informativ als man mir erklärte es ginge nicht in erster Hinsicht um die Sicherheit, sondern eben um das "Bequeme Ortsunabhängige Bedienen von Verbindlichkeiten" und wer das nicht benötigt, solle doch bitte den tollen Kartenleser verwenden.

Klar gibt es noch andere Möglichkeiten, so eben bei meinem Zweitkonto: Die haben witzigerweise immer noch TANListen und sind nicht mal die kleinsten auf dem Markt (AAB/Netbank).
 
das_mav schrieb:
mir wurde sogar nicht mal die Wahl gelassen als man die TANListen auf Papier abgeschafft hatte.

Gibt auch keinen Grund einem die Wahl zu lassen. Das unsicherste Verfahren hat deine Bank eben abgeschafft und bietet bessere Verfahren an.
 
Sind die Listen auf Papier tatsächlich so unsicher? Wo ist da der Angriffsvektor?
 
WhiteShark schrieb:
Gibt auch keinen Grund einem die Wahl zu lassen. Das unsicherste Verfahren hat deine Bank eben abgeschafft und bietet bessere Verfahren an.

Wo ist eine weggeschlossene bzw. gegen Zugang dritter gesicherte Papierliste bitte unsicherer als ein Smartphone? Abgesehen davon, darf dieses "besser" gerne deine Ansicht sein, ich habe da eine etwas andere.

Smagjus schrieb:
Wo ist da der Angriffsvektor?

Wüsste ich auch gern.
Das einzige was daran unsicher wäre ist meiner Meinung nach die Idiotie einiger Kunden die diese Listen auf "(Phishing-)Verlangen von 1-99 in ein Formular hämmern und absenden.
 
ds1 schrieb:
Ein bekannter von mir gehört zu den betroffenen. Von heut auf morgen wurden ihm über 30k€ gestohlen. Und er ist nicht unbedingt ein computerlaie. Gut, er ändert vöcht die passwörtr nicht monatlich aber das kanns ja wohl auch nicht sein. Phishing ist eigentlich auch ausgeschlossen da er nen aktuellen kasper auf seinem rechner laufen hat. Wie auch immer die kriminellen dran gekommen sind...

Mal davon abgesehen, dass die Telekom hier Mist gebaut hat, die Höhe des Schadens ist auch stark durch eigene Dummheit verursacht. Wieso ist das Tageslimit so hoch? Bei mir sind das 500€ (als Student reichts locker), und ich hab auch nie mehr als das nötige für den Monat auf dem Giro liegen + eine kleine Reserve. Der Rest liegt schön auf einem Sparbuch mit dem ich zur Bank dackel, wenn ich an das Geld ran will. Dafür kann es nicht gehackt werden, außer jemand knackt die Bank.

Das ein gewisses Risiko beim Online-Banking besteht sollte jedem klar sein, vor allem wenn man kein Laie ist. Da ist sowas ja schon fahrlässig.

das_mav schrieb:
Wo ist eine weggeschlossene bzw. gegen Zugang dritter gesicherte Papierliste bitte unsicherer als ein Smartphone? Abgesehen davon, darf dieses "besser" gerne deine Ansicht sein, ich habe da eine etwas andere.



Wüsste ich auch gern.
Das einzige was daran unsicher wäre ist meiner Meinung nach die Idiotie einiger Kunden die diese Listen auf "(Phishing-)Verlangen von 1-99 in ein Formular hämmern und absenden.

Es reicht, den PC zu infizieren, da reicht ein gut platzierter Drive-by-Donwload. Neben dem PC noch das Smartphone (schwer) oder ein ChipTan Gerät (nahezu unmöglich) zu kompromittieren erhöht die Komplexität des Angriffs enorm. Daher liest man bei den beiden Verfahren im Grunde nur von Social-Engineering Angriffen über die Kundenhotlines etc.

Außerdem müssen die Banken hier die Kunden auch vor sich selbst schützen, weil es genug Idioten gibt, die eben bei irgendeinem Phising alle Tans eingeben. Da die Bank aber für den Schaden aufkommen muss haben die wenig Interesse dadran, solche Scheunentore in Form dummer Kunden offen zu lassen.
 
Zuletzt bearbeitet:
@Smagjus: Man in the Middle Angriff. Du weisst nicht für was für eine Überweisung du gerade die TAN eingibst. Wenn es jemand schafft sich zwischen dich und deine Bank zu schalten dann kann die tatsächliche Überweisung ganz anders aussehen als das was dir auf dem PC-Bildschirm angezeigt wird. Bei den Kartenlesern wird ja erstmal alles durch den Bildschirm per wechselndem "Barcode" auf den Kartenleser übertragen und du siehst nochmal wohin das Geld geht und wie viel Geld eigentlich transferiert werden soll. Erst dann wird dir eine TAN auf dem Kartenleser erzeugt die du dann für genau diese eine Überweisung verwenden kannst. Da kann sich niemand mehr zwischenreinschalten und die Anzeige am PC manipulieren weil spätestens auf dem Kartenleser würdest du die richtigen Daten sehen, also die wo das Geld wirklich hingeht.

Wirklich "unsicher" ist das ganze aber auch nicht. Man schaltet sich nicht einfach locker zwischen den Kunden und seine Bank, dazu muss man schon ziemlich gezielt die ganze Kommunikation umleiten, und dazu wird normalerweise der PC des Kunden gehackt oder gleich die Website der Bank übernommen. Beides keine alltäglichen Aufgaben...
 
Das klingt eher nach "Überlistung der Mobilfunnkanbieter" als nach "Überlistung von mTan"... 1A hack, so wie es heutzutage halt gemacht wird ;)
 
Autokiller677 schrieb:
Es reicht, den PC zu infizieren, da reicht ein gut platzierter Drive-by-Donwload. Neben dem PC noch das Smartphone (schwer) oder ein ChipTan Gerät (nahezu unmöglich) zu kompromittieren erhöht die Komplexität des Angriffs enorm. Daher liest man bei den beiden Verfahren im Grunde nur von Social-Engineering Angriffen über die Kundenhotlines etc.

Ahja, und wie bekommst du dann bitte die TAN von dem Papier auf meinen/deinen PC?
Ich gehe schon davon aus, dass auch du nicht einer der Leute bist die sich das zur Bequemlichkeit als TANLISTE.jpg auf dem Desktop speichern oder?

Sollte tatsächlich ein Man-in-the-middle Angriff stattfinden nützt dir deine so Supersichere mTAN, der Unbetrügbare HBCI Kartenleser oder diese lustigen Plastiknippelchen zum Karte reinschieben auch genau gar nichts, dann bist wieder mal du als Mensch selbst das schwächste Glied in der Kette wenn du nicht in der Lage bist sowas zu erkennen oder zu verhindern.
Eine TANListe ist NICHT unsicherer als die mTAN oder HBCI Kartenleser - es benötigt immer 2 Faktoren und das Smartphone oder den Kartenleser zu kompromittieren ist immer noch 1000 mal einfacher als in mein Schlafzimmer zu laufen, den kleinen Tresor aufzubrechen und die Liste rauszuholen+die TANS einzutippen.

Und mal nebenbei: Es soll auch Geschäftskonten geben die mit OnlineBanking arbeiten - hier einen Lieferanten in 60 Raten a 500€ zu bezahlen nur weil man einmal Material bestellt halte ich gelinde gesagt für noch dümmer.
 
Zuletzt bearbeitet:
Die TANs der Liste sind aber nicht auftragsspezifisch. Die mit dem ChipTAN/PhotoTAN/mTan-Verfahren generierten schon, d.h. sie funktionieren nur für die eine Kontonummer und den einen Betrag bzw. für den einen Auftrag funktioniert genau nur eine TAN (manche HBCI-Lösungen zeigen vor einer Bestätigung auch die Auftragsdaten an). Solange man diese Daten im Gerät (Generator, Handy, ...) überprüft, sind diese Verfahren gegen reine Man-in-the-Middle-Angriffe sicher, die TAN-Liste aber nicht.
 
Zuletzt bearbeitet:
Wie willst du denn einen Kartenleser manipulieren? Ich glaube kaum, dass man den durchs Dranhalten an den Monitor mit ner Schadsoftware infizieren kann. Zumindest wenn derjenige, der das Teil entwickelt hat, ein bisschen Verstand an den Tag gelegt hat, dann kann man den Kartenleser NICHT über das Einlesen der Transaktionsdaten flashen sondern nur über einen internen Anschluss an den der Kunde garnicht rankommt...

Dh selbst wenn dir der Computerbildschirm deine vermeintlich korrekte Überweisung anzeigt wird dir der Kartenleser immer die wirklichen Daten anzeigen bevor er die TAN erzeugt. Der Kartenleser ist ja dadurch relativ sicher, dass er mit nichts kommunizieren kann sondern nur ein paar blinkende Punkte vom Bildschirm einliest die nix anderes als die serielle 5 oder 6 Bit Übertragung der Transaktionsdaten sind.

Bei einer einfachen TAN-Liste musst du dich dagegen drauf verlassen, dass die Daten die dir der PC anzeigt auch wirklich die Daten sind wo das Geld dann hingeht.

Meine Bank hat übrigens keine TANs, das wird hier anders gelöst...
 
Zuletzt bearbeitet:
@CD: Du verwechselst da etwas, ich rede hier von HBCI-Kartenlesern (Und schreibe das deswegen auch absichtlich immer dazu), die sehr wohl direkt mit dem PC verbunden sind - solche Geräte wie du sie meinst gibt es bei meiner Sparkasse nicht einmal - und sicherer sind die auch nicht als eine TANListe. Außerdem sind die von dir benannten Geräte noch relativ neu, ältere generieren bei Eingelegter Karte und Knopfdruck simpelst eine TAN - sind also imgrunde auch wieder nur eine TANListe mit Batterie. Da steht genau garnichts weiter als die TAN auf dem Monochromen Einzeilendisplay.

/E: Wie denn? Mir wäre kein Verfahren außer eben jenes mit einem HBCI Leser und einhergehend der Eingabe einer PIN zum Authentifizieren der Transaktion bekannt.

@SB94: Angenommen wir gehen davon aus dein PC wäre mit einem BankingTrojaner infiziert, ist es da so abwegig anzunehmen, dass eben jener auch dein Smartphone infizieren könnte, welches man dann doch ab und an mal am PC hängen hat, um die entsprechende SMS weiterzuleiten/umzuleiten oder sonstwie dritten zugänglich zu machen? Wie dem auch sei - meine AAB/Netbank Tanliste ist meiner Meinung nach sehr viel sicherer als das mTAN Verfahren der Sparkassen und genau darum geht es doch zu 99%: Sich sicher fühlen - dass letzendlich absolut garnichts zu 100% sicher ist wissen wir ja nun unlängst.
 
Zuletzt bearbeitet:
Wo ist eine weggeschlossene bzw. gegen Zugang dritter gesicherte Papierliste bitte unsicherer als ein Smartphone? Abgesehen davon, darf dieses "besser" gerne deine Ansicht sein, ich habe da eine etwas andere.
Dann ist deine Ansicht aber eben falsch. Gut für dich das die Bank so handelt und dich zu etwas sicherem zwingt.

das_mav schrieb:
Sollte tatsächlich ein Man-in-the-middle Angriff stattfinden nützt dir deine so Supersichere mTAN, der Unbetrügbare HBCI Kartenleser oder diese lustigen Plastiknippelchen zum Karte reinschieben auch genau gar nichts, dann bist wieder mal du als Mensch selbst das schwächste Glied in der Kette wenn du nicht in der Lage bist sowas zu erkennen oder zu verhindern.
Eine TANListe ist NICHT unsicherer als die mTAN oder HBCI Kartenleser - es benötigt immer 2 Faktoren und das Smartphone oder den Kartenleser zu kompromittieren ist immer noch 1000 mal einfacher als in mein Schlafzimmer zu laufen, den kleinen Tresor aufzubrechen und die Liste rauszuholen+die TANS einzutippen.

Bei iTAN brauche ich nur eine Man-in-the-middle-Attacke. Die funktioniert bei mTAN schon mal nicht, da das Smartphone als zusätzliche Sicherheit her hält. In der SMS steht sogar der Betrag und Empfänger.
Bei mTAN müssen zwei Geräte kompromittiert werden, bei iTAN nur eines. Darum gibt es da eigentlich nichts zu diskutieren, es ist erwiesene Tatsache das mTAN wesentlich sicherer ist als iTAN.

@SB94: Angenommen wir gehen davon aus dein PC wäre mit einem BankingTrojaner infiziert, ist es da so abwegig anzunehmen, dass eben jener auch dein Smartphone infizieren könnte, welches man dann doch ab und an mal am PC hängen hat, um die entsprechende SMS weiterzuleiten/umzuleiten oder sonstwie dritten zugänglich zu machen?
Das ist sogar ziemlich abwegig. Es wäre zwar möglich das ein Trojaner auf den Speicher des Smartphones geschoben wird, aber ausgeführt wird er dadurch nicht.
 
Zuletzt bearbeitet:
Ah sorry ok verwechselt. Aber warum sollte ein schnöder Kartenleser nicht sicherer sein als eine TAN-Liste? Immerhin zeigt der mir an für was eine Überweisung die TAN verwendet wird die er generiert hat?

Ich find es eher einfach umständlich und nervig, jedes mal für meine Überweisungen den Kartenleser und die EC-Karte rausholen zu müssen. ;)
 
Zuletzt bearbeitet:
das_mav schrieb:
Ahja, und wie bekommst du dann bitte die TAN von dem Papier auf meinen/deinen PC?
Ich gehe schon davon aus, dass auch du nicht einer der Leute bist die sich das zur Bequemlichkeit als TANLISTE.jpg auf dem Desktop speichern oder?

Ich muss nur einen Key Logger laufen haben, die Tan abgreifen und dann den Browser schließen, bevor du die Überweisung an die Bank abschließt. Und dann habe ich einen Blanko-Check für dein Online Banking

Sollte tatsächlich ein Man-in-the-middle Angriff stattfinden nützt dir deine so Supersichere mTAN, der Unbetrügbare HBCI Kartenleser oder diese lustigen Plastiknippelchen zum Karte reinschieben auch genau gar nichts, dann bist wieder mal du als Mensch selbst das schwächste Glied in der Kette wenn du nicht in der Lage bist sowas zu erkennen oder zu verhindern.
Eine TANListe ist NICHT unsicherer als die mTAN oder HBCI Kartenleser - es benötigt immer 2 Faktoren und das Smartphone oder den Kartenleser zu kompromittieren ist immer noch 1000 mal einfacher als in mein Schlafzimmer zu laufen, den kleinen Tresor aufzubrechen und die Liste rauszuholen+die TANS einzutippen.
Punkt 1: Mein ChipTan zeigt mir vor der Tan sowohl das Zielkonto als auch den Betrag an. Wenn da einer über Man-in-the-Middle was Falsches unterschieben will, erkennt man das sofort. Da brauche ich nicht zu gucken ob das SSL Cert korrekt ist oder sonstwas. Und da die Tan basierend auf diesen Daten generiert wird, kann sie auch für keine anderen Überweisung genutzt werden. Und ist nur wenige Minuten gültig.
Eine (i)Tan ist ein ein nicht ablaufender Generalschlüssel, solange er noch nicht benutzt wurde.

Punkt 2: Smartphones sind noch zu kompromittieren, ja. Der Kartenleser? Der bekommt ein paar Blinkebildchen vom Bildschirm, um den damit zu flaschen musst du die Architektur des Geräts genau kennen und dann muss es auch noch die nötige Sicherheitslücke geben. Da ist es tatsächlich einfacher die TAN Liste aus deinem Tresor zu klauen.

Und mal nebenbei: Es soll auch Geschäftskonten geben die mit OnlineBanking arbeiten - hier einen Lieferanten in 60 Raten a 500€ zu bezahlen nur weil man einmal Material bestellt halte ich gelinde gesagt für noch dümmer.
Gut, so Sonderfälle gibt es. Aber da man sein Geschäft wohl kaum vom Smartphone aus schmeißt, halte ich es bei solchen Limits und Beträgen erst recht für fahrlässig, nicht das sicherste Verfahren am Markt zu nehmen. Und das ist nunmal ChipTan.
 
Zuletzt bearbeitet:
Nein, Abwegig ist das nicht, aber schon deutlich schwerer als nur den PC zu infizieren und das reicht ja bei einer TAN-Liste. Ich benutze auch das ChipTAN- und PhotoTAN-Verfahren und bei beiden wird (bei mir) nicht das Handy zur Generierung oder zum Empfang der TAN genutzt, sondern jeweils ein drittes Gerät, welches keine Schnittstelle zur Kompromittierung hat generiert jene.
 
Zuletzt bearbeitet:
Zurück
Oben