Forum: Netzwelt
mTan-Verfahren: Betrüger finden Angriffsweg beim Online-Banking
Corbis

Die Konten mehrerer Online-Banking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handynummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTan-Verfahren, das eigentlich als sicher gilt.

Seite 1 von 13
ratschbumm 24.10.2013, 10:13
1. Dieses Verfahren war nie sicher und konnte es auch nicht sein.

Zitat von sysop
Die Konten mehrerer Online-Banking-Nutzer sind geplündert worden. Die Angreifer schnüffelten auf deren Rechnern, besorgten sich dann eine neue Sim-Karte und ließen die Handynummern der Kunden auf ein zweites Handy umleiten. So besiegten sie das mTan-Verfahren, das eigentlich als sicher gilt.
Da längst jede SMS - Mitteilung abgehört werden kann, ist als einziges noch halbwegs sicher zu bezeichnendes Verfahren, die manuelle TAN - Erzeugung mithilfe eines TAN - Generators in Verbindung mit der körperlich vorhandenen Bankcard zu sehen.

Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.

Beitrag melden Antworten / Zitieren
citizengun 24.10.2013, 10:25
2.

Eine Evolutionsstufe höher ist dann wenn man Funkzellen simuliert, so wie es der IMSI-Catcher macht. (Dessen Konzept lässt sich bereits heute nachbauen.) Der eigentliche Skandal ist aber dass die Banken den Kunden in das mTan-Verfahren zwingen und das vermutlich aus Kostengründen. Weil es vorteilhafter ist nicht blind nur der Technik zu vetrauen (komplexe System erzeugen komplexe Fehler), wäre ich gern bei iTan geblieben, durfte aber nicht. Bei iTan weiss ich wer mich beklaut, bei mTan vermutlich nicht. (Und mTan lässt sich auch noch automatisieren.)

Beitrag melden Antworten / Zitieren
jahandy 24.10.2013, 10:27
3. Telekom-Kunden also?

Weiß man auch ob die Betroffenen Cabrio-Fahrer waren?
Gut zu wissen, dass mTan folglich nicht sicher ist, obwohl es doch den SMS-Standard nutzt. Es wäre nützlicher zu berichten was eigentlich heutzutage noch sicher ist.

Beitrag melden Antworten / Zitieren
Mertrager 24.10.2013, 10:28
4. liegt wohl nicht an der Telekom

Da man in seinem Konto angibt, auf welche Handy-Nr. die SMS mit der TAN kommen soll, wird das wohl Provider unabhängig sein. Der Hinweis auf die Telekom ist mir unklar

Beitrag melden Antworten / Zitieren
lanas 24.10.2013, 10:29
5. Naja

Zitat von ratschbumm
Wer aber auf mies oder garnicht verzinsten Girokonten derart hohe Guthaben stehen lässt, ist selbst schuld und die Banken lachen sich schief ob der Naivität ihrer Kunden.
Wo lassen Sie sich denn Ihr Gehalt/Zinserträge, Aktienverkäufe etc. hin überweisen?
Und buchen Sie sofort nach Eingang alles runter?
Da wartet man doch erst bis die 10.000 Euro Miete etc. pp. runter sind und bucht dann erst weg.
Wenn in der Zwischenzeit jemand zuschlägt......

Beitrag melden Antworten / Zitieren
rst2010 24.10.2013, 10:31
6. 'sicher'

das ist ja wohl lächerlich.
als sicher kann ein verfahren erst gelten, wenn es ein jahrelanges öffentliches audit hinter sich hat.
sämtliche, im geheimen von den banken selber gebastelte systeme sind grundsätzlich als unsicher anzusehen.
und die erfahrung gibt hier recht: sie sind ausnahmslos alle geknackt worden. und das tollste: beim mtab verfahren kann man die schuld dem kunden aufhängen.
finger weg vom browser banking. die einzige zuverlässigere und schwerer zu knackende methode ist hbci/fin-ts.

Beitrag melden Antworten / Zitieren
rst2010 24.10.2013, 10:32
7. 'sicher'

das ist ja wohl lächerlich.
als sicher kann ein verfahren erst gelten, wenn es ein jahrelanges öffentliches audit hinter sich hat.
sämtliche, im geheimen von den banken selber gebastelte systeme sind grundsätzlich als unsicher anzusehen.
und die erfahrung gibt hier recht: sie sind ausnahmslos alle geknackt worden. und das tollste: beim mtab verfahren kann man die schuld dem kunden aufhängen.
finger weg vom browser banking. die einzige zuverlässigere und schwerer zu knackende methode ist hbci/fin-ts.

Beitrag melden Antworten / Zitieren
Rob.R. 24.10.2013, 10:34
8. So ganz...

...komme ich noch nicht dahinter.
OK. Jemand hat tatsächlich Zugang zu meinem Online-Banking erhalten.

(Fehler des Nutzers: Unsicheres Passwort, Kein Virenschutz, etc.)
Er besorgt sich dann irgendwie eine SIM-Karte, ohne sich dabei mit gültigen Daten beim Mobilfunkbetreiber zu registrieren (Fehler beim Mobilfunkanbieter. Darf eigentlich gar nicht möglich sein.)

Dann leitet er also meine gültige Nummer auf die neue Nummer um. Das heißt mein aktueller Mobilfunkbetreiber hat nicht ausreichend geprüft, ob ich selbst meine Daten weitergeleitet haben möchte. (Kann ich die Post meiner Nachbarn auch so leicht auf meinen Briefkasten umleiten?)

Ich denke damit ist recht schnell klar, wo hier der Fehler liegt und im wer im Zweifelsfall für den Schaden aufzukommen hat.
Oder gibt's eine andere Lücke, die ich gerade nicht sehe?

Beitrag melden Antworten / Zitieren
ratschbumm 24.10.2013, 10:37
9. Auf meinen Girokonten beliebt nur das,

Zitat von lanas
Wo lassen Sie sich denn Ihr Gehalt/Zinserträge, Aktienverkäufe etc. hin überweisen? Und buchen Sie sofort nach Eingang alles runter? Da wartet man doch erst bis die 10.000 Euro Miete etc. pp. runter sind und bucht dann erst weg. Wenn in der Zwischenzeit jemand zuschlägt......
was im laufenden Monat an Überweisungen / Abbuchungen / Einzügen fällig ist. Der Rest kommt in bar unter die Matratze.
Hat schon meine Oma so gemacht.
Zinsen kassiere ich nicht aus Prinzip ( Zinseszins ist der Tod des Papiergeldes ) und Aktiengeschäfte sind Verarschung des kleinen,
( dummen ) Mannes. Edelmetalle kauft man in bar.

Beitrag melden Antworten / Zitieren
Seite 1 von 13