Forum: Netzwelt
mTan-Verfahren: BKA warnt vor Betrug beim Online-Banking
imago

Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.

Seite 8 von 15
Fwh1 18.05.2014, 18:54
70.

Zitat von lsrider
Sie meinen man hat die Zugangsdaten eines Benutzers und auch gleichzeitig sein Handy befallen? Man würde auf seinem Konto eine Transaktion einleiten und die Schadsoftware auf dem Handy des Opfers würde dem Angreifer die dazugehörige mTan zeitnah weiterleiten mit der der Angreifer die Transaktion dann bestätigen könnte (wenn's geht noch die Spuren verwischen), richtig? ... jo, prinzipiell ist alles denkbar. Die Vorraussetzungen wären allerdings recht aufwändig - Infizieren des PC's oder Spionage (Einbruch in die Wohnung, finden der Zugangsdaten etc.), Identifizierung des dazugehörigen Handys (nicht nur die Nummer sondern das Gerät selbst) und Infizieren des selbigen und dann auch eine zeitlich gut abgestimmte Handlung beim Raubzug, denn die mTan ist nur wenige Minuten gültig. ... gehen tut natürlich prinzipiell letztendlich alles, wenn man es auf eine Einzelperson abgesehen hat und entsprechende Mittel besitzt (und wenn die NSA oder die Mafia Dich auf dem Kicker hat ist eh alles zu spät). Aber Sie meinten ja massenhafte Transaktionen auf allen geklauten Kontenzugängen (womöglich von wenigen Rechnern aus) um eine 'Schnittmenge' zu bekommen und das ohne dass es auffällt. Also diese 'Schnittmenge' dürfte dann derart mager sein, dass ich mir für meinen Teil weniger Sorgen mache als derjenige, der mit einer solchen Masche aufzufallen droht.
Belastbare Zahlen habe ich derzeit nicht recherchiert, das ist wahr.
Wenn man aber die Zahl der gehackten Mailkonten betrachtet, die das BSI vor einiger Zeit veröffentlich hat, kann man sich eine Größenordnung ausmalen.
Der zeitliche Faktor, den Sie ansprechen, ist jedoch irrelevant, da alles vollautomatisiert durchgeführt werden kann:
Die Transaktionen werden eingeleitet
Alle infizierten Handys, auf denen MTans ankommen, leiten diese in Echtzeit weiter
Zuordnung mTan-Transaktion findet aufgrund von Zielkontonummer und Betrag statt, die in der SMS zu finden sind
Die Transaktionen werden sofort bestätigt
Dem Nutzer wird die SMS auf dem Handy nicht präsentiert

Die Voraussetzungen, Handys oder Rechner zu infizieren, sind übrigens nicht so hoch wie Sie denken, sehen Sie sich doch die Zahlen der einschlägigen Botnetze an. Das sind (abgesehen von EBury/Operation Windigo) fast ausschliessich Windows-PCs von Endnutzern.

Beitrag melden Antworten / Zitieren
petermalysia 18.05.2014, 19:04
71. Der eigentliche Skandal ist....

...das sich die Banken schon seit Beginn vom Online Banking aus der Verantwotung ziehen.

Das machen sie durch Ihre Vertragsbedingungen die jeder zustimmen muss und die Kernklausel ist: ...die Bank haftet nicht durch Schaeden die durch Fraud im Online Banking entstehen...

Damit ziehen sie sich schoen aus der Verantwortung als ob es sie nichts angeht.

So lange diese Verantwortung nicht von den Banken uebernommen wird, werde ich auch kein Onlinebanking machen die denen auch noch hoehere Rendite einbringt, weil kostenguenstiger.

Aber es scheint ja viel zu geben die finden Onlinebanking so hip, das sie das Risko nicht stoert.

Beitrag melden Antworten / Zitieren
bold_ 18.05.2014, 19:58
72. Wenn die Kids der Ansicht sind,

alle ihre Aktivitäten über das Smartphone abwickeln können, lockt das zwangsläufig die Böslinge an!
Das ist seit der Freigabe des IN zum Zwecke des Ausspionierens vermehrt der Fall, und wer das nicht verinnerlicht, hat kein "Recht" darauf, ohne Probleme und Verluste weiterhin durchs Leben zu gehen.
"Foto-Tan" ist der neueste Trick meiner Bank, billige Hardware ein- und die ihren Kunden teuer zu verkaufen. Alternativlos?

Nein, die Lösung heißt HBCI. Dafür muß man zwar auch (und sogar mehr) investieren, aber das geschieht freiwillig und bewußt, und dann kann man seine Onlinebankgeschäfte ziemlich sicher abwickeln!

Natürlich wird auch _das_ Verfahren - bei entsprechender Verbreitung - wieder gehackt werden. Dann gehen wir halt während der - immer spärlicheren - Geschäftszeiten wieder in die Bankfliale - zu den Bank"beamtInnen". Wenn sie bis dahin nicht alle wegrationalisiert wurden...

Beitrag melden Antworten / Zitieren
toledo 18.05.2014, 20:03
73. ....

Zitat von DenkenKannHelfen!
...wie hier viele behaupten, ist ein Angriff auf mTan nicht: Es reicht, sich eine Zweit-SIM-Karte des Opfers zu besorgen (geht bei einigen Providern leichter als einem lieb sein kann) und schon hat der Angreifer 50% des Systems unter seiner Kontrolle. Dann noch den PC kompromittiert, und das wars... (Ein gekaperter PC erleichtert übrigens auch Schritt 1)
Nunja... dieser 'Trick' mit der zweiten SIM Card habe ich noch nirgends als tatsächlich bestätigt gefunden. Kann mir auch nicht vorstellen, dass 2 SIM Cards gleichzeitig funktionieren.
Sollte ein Provider meine SIM Card sperren, dürfte dies wie eine Alarmfunktion wirken!
Und Sie müssen vorher schon das Konto des Opfers gekapert haben, um mit der SIM Card etwas anfangen zu können!
Ziemlich viele Unwahrscheinlichkeiten!

Beitrag melden Antworten / Zitieren
citizengun 18.05.2014, 20:04
74.

Zitat von frutsch
Dann befassen Sie sich erstmal mit der Materie, bevor Sie sich so einen Unsinn aus den Fingern saugen. Bei starker Kryptographie hängt die Sicherheit nicht vom Algorithmus ab.
Das hab ich nie behauptet aber dokumentiert ist der Algorithmus auch nicht. (Falls sie ihn kennen, dann bitte posten!)

Zitat von
Lesen Sie mal hier: Da ist das ohne mathematischen Hintergrund beschrieben.
Es gibt beim Chip-Tan ganz unterschiedliche Implementationen. (Gute und schlechte, jede Bank hat ihr eigenes.) Richtig implementiert, d.h. unter Bezugnahme einer ausreichend langen, individuellen Code-Pin (die sie nicht eintippen müssen), die nur die Bank kennt und die nur auf ihrer Karte gespeichert ist und welche den Computer nur über eine Signatur passiert, ist Chip-Tan genauso sicher wie HBCI.

Falls sie anders denken, dann erläutern sie mir bitte ihren Weg.

Beitrag melden Antworten / Zitieren
oui 18.05.2014, 20:07
75. sie zwingen uns

zu ihren Schrott-Lösungen!

die echte Chip-Karte war zu teuer! Denn in vielen Fällen zahlt den Betrug...

...nicht die Bank sondern der Kunde!

Beitrag melden Antworten / Zitieren
deegeecee 18.05.2014, 20:09
76.

Zitat von Loddarithmus
Genau für solche Zwecke ... ... wurde neulich Bargeld erfunden!
und das bietet konket welchen Schutz vor kriminellem Abgriff?

Beitrag melden Antworten / Zitieren
ColynCF 18.05.2014, 20:24
77.

Zitat von toledo
Nunja... dieser 'Trick' mit der zweiten SIM Card habe ich noch nirgends als tatsächlich bestätigt gefunden. Kann mir auch nicht vorstellen, dass 2 SIM Cards gleichzeitig funktionieren. Sollte ein Provider meine SIM Card sperren, dürfte dies wie eine Alarmfunktion wirken!
Alle Telefon Anbieter dürften heute ein Multi Sim im Angebot haben. Bei der T-Mobile der Telekom kann man 3 SIMs für die gleiche Nummer gleichzeitig aktiv haben. Kostet lediglich eine einmalige Gebühr von 10-20 Euro für die extra SIM-Karte.

Viele Kunden brauchen heute 3 SIMs: 1 fürs Smartphone, 1 für Tablet und 1 fürs Auto. Ich hab derzeit 2 für meine Nummer.

Zitat von toledo
Und Sie müssen vorher schon das Konto des Opfers gekapert haben, um mit der SIM Card etwas anfangen zu können! Ziemlich viele Unwahrscheinlichkeiten!
Das ist leider kein Hindernis. Erst kapert man den PC, dann bestellt man über den PC im Service Portal des Telefonanbieters die 2. SIM.

Beitrag melden Antworten / Zitieren
ColynCF 18.05.2014, 20:28
78.

Zitat von Loddarithmus
... wurde neulich Bargeld erfunden!
Na toll. Dann laufen die Leute mit hunderten Euros in der Tasche rum, nur weil sie sich Klamotten oder einen Fernseher oder ähnliches kaufen wollen. Ich kann mich noch erinnern, als man mit weiter über 1-2000 DM in der Tasche in Urlaub gefahren ist. Wehe da kamen Trickdiebe oder gar ein echter Überfall. Das ist auch der Vorteil vom eBanking: zumindest wird man bei keinem Überfall erschossen.

Beitrag melden Antworten / Zitieren
Onlineexperte 18.05.2014, 20:37
79. Auftragslimit

Ein niedriges Auftragslimit und Sperrung aller Auslandsüberweisungen hilft besser als alles andere
gegen größere Schäden

Beitrag melden Antworten / Zitieren
Seite 8 von 15