Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 11 bis 20 von 24

Thema: Abgreifen von TANs via trojanisches Pferd

  1. #11
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard Werden Kontonummer und Betrag berücksichtigt?

    Zitat Zitat von Goofy Beitrag anzeigen
    ... der Trojaner leitet die Banking-Verbindung auf einen fremden Server in Russland um, oder der Trojaner blockt die laufende Banking-Verbindung, simuliert aber die erfolgreiche Transaktion und fischt die PIN/TAN mit einem keylogger ab.
    Das würde auch nichts nützen, wenn die Kontonummer und/oder Bankleitzahl zur TAN-Berechnung genutzt werden. Wird eine Überweisung abgefangen und statt dessen eine andere Überweisung an die Bank übermittelt, würde die Prüfziffer nicht stimmen und die Überweisung abgewiesen.

    Wird der Erzeugungsalgorithmus für die TAN bekannt, ist allerdings Dreck Trumpf. Da hilft nur regelmäßiges Ändern.

    Wuschel
    Wer mir was tut, sei auf der Hut!

  2. #12
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Vielleicht sollte man die Diskussion langsam mal auslagern?

    Wie gesagt, hier wurde gar nicht das mTAN-Verfahren an sich angegriffen, sondern die Registrierung einer neuen Handynummer. Dazu benötigt der Angreifer einerseits Zugang zum Online-Banking (im konkreten Fall wohl durch einen Trojaner), andererseits benötigt er auch Zugriff auf die Post des Opfers, um den Bestätigungscode abzugreifen. Oder aber das Opfer war so naiv, dass es den Brief erhalten und bestätigt hat, ohne zu bemerken, dass die dort angegebene Handynummer nicht die eigene war.

    Hat man so weit alles eingerichtet, sprich die eigene Handynummer als TAN-Empfänger eingetragen, kann man beliebige Überweisungen tätigen und selbst bestätigen. Das Opfer kriegt davon überhaupt nichts mit, außer natürlich über merkwürdige Posten auf dem Kontoauszug. Dass in der Verwaltung des Online-Bankings eine falsche Nummer steht dürfte den wenigsten auffallen.

    Angriffe auf ein fertig eingerichtetes mTAN-System sind prinzipiell dann möglich, wenn man sowohl den Online-Banking-Zugang als auch die Mobilfunkverbindung infiltrieren kann. Man müsste wenn das Opfer eine Überweisung tätigen will einerseits auf dem Kanal der Internetverbindung die übertragenen Daten durch eigene Bankdaten ersetzen, andererseits müsste man die SMS abgreifen und manipulieren können. Denn in der SMS, mit der die TAN mitgeteilt wird, steht auch Kontonummer und BLZ des Empfängers. Mir ist kein Fall bekannt, in dem ein derartiger Angriff gelungen wäre.

    Es gibt aber noch einen leichteren Weg: Viele Bankkunden lesen die SMS nicht richtig sondern tippen einfach die TAN ab. So könnte man (z.B. via Trojaner) die Überweisungen manipulieren und auf das eigene Konto umleiten. Der selbe Trick funktioniert auch mit anderen Verfahren wie smart TAN. Deshalb ist es ganz wichtig, dass man Kontonummer und BLZ nochmal überprüft, bevor man die TAN eingibt.
    Durchgeknallter Netzindianer und stolz drauf

  3. #13
    Mitglied
    Registriert seit
    10.11.2009
    Beiträge
    214

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Die technik ist soweit klar - aber wie stiehlt der Trojaner auf einem PC die TAN, die per SMS kommt?
    Mal am Rande, da scheint es auch insofern eine Sicherheitsproblem geben zu können, wenn man Onlinebanking per Smartphone nutzt. Bei Einrichtung der mobileTAN wies mich die Bankangestellte darauf hin. Aber da ich noch ganz althergebracht PC und Handy nutze habe ich mich nicht weiter darum gekümmert.

  4. #14
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Nutzt man mTANs beim Onlinebanking vom Smartphone verliert man den Vorteil der zwei getrennten Kanäle. Dann müsste nur das Smartphone kompromittiert werden und schon könnte der Angreifer Überweisungen in Auftrag geben, die SMS abfangen und die darin enthaltene TAN auslesen.

    Deshalb ist bei E-Banking-Apps das mTAN-Verfahren nicht möglich. Zumindest bei meiner App von der VR-Bank ist das so, ich denke aber dass das bei anderen Banken ähnlich ist.

    Wenn der Kontoinhaber natürlich statt einer App den Browser verwendet kann man ihm auch nicht helfen. Theoretisch denkbar wäre noch dass die eBanking-Seite den Request-Header (HTTP_USER_AGENT) auswertet und daran erkennt dass der Besucher ein Smartphone verwendet. Warum das (zumindest bei meiner Bank) nicht gemacht wird weiß ich nicht.
    Durchgeknallter Netzindianer und stolz drauf

  5. #15
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    http://www.suedkurier.de/region/linzgau-zollern-alb/messkirch/Betrug-beim-Online-Banking-40-000-Euro-Schaden;art372566,5481099
    [Link nur für registrierte Mitglieder sichtbar. ]
    Eine nicht neue Masche des Computerbetrugs hat in einem aktuellen Fall mit einer Schadenssumme von etwa 40 000 Euro den Weg in den Landkreis Tuttlingen gefunden. Dabei wurde der Nutzer beim Online-Banking auf die gefälschte Homepage einer Bank weitergeleitet und dort aufgefordert, eine angebliche Sicherheitsprozedere zu absolvieren, teilt die Polizei mit. Hierbei wurde er auch zur Eingabe mehrerer TAN aufgefordert.

  6. #16
    Mitglied
    Registriert seit
    19.07.2007
    Beiträge
    967

    Standard

    Hi,

    Zitat Zitat von Solli Beitrag anzeigen
    Warum das (zumindest bei meiner Bank) nicht gemacht wird weiß ich nicht.
    Gaaaaanz einfach: Man kann bei (fast) allen mobilen Browsern einstellen, wie sie sich identifizieren sollen. Wenn man das z.B. beim Feuerfuchs auf "Desktop" stellt, isses Essig mit der Erkennung.......

    Grüße
    Snyder
    Was ist paradox? Ein Cold Call aus einem warmen Büro!
    Ein geistiges Duell mit einem ColdCaller ist unfair. Schließlich ist er unbewaffnet!

  7. #17
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Eventuell kann man als allgemeinen Rat formulieren: Nutze E-Banking nicht im mobilen Browser des Smartphones, das du auch zum Empfang der mTAN-SMS verwendest. Am besten verwendet man beim Smartphone grundsätzlich nicht den Browser sondern lieber eigens dafür entwickelte Apps.
    Durchgeknallter Netzindianer und stolz drauf

  8. #18
    Senior Mitglied Avatar von madsi
    Registriert seit
    03.06.2009
    Ort
    im Land Brandenburg
    Beiträge
    1.174

    Standard

    Ausserdem verweisen doch nun eigentlich wirklich oft genug diverse Banken darauf, dass sie nie zur "Verifizierung" oder anderen Zwecken die Eingabe von TANs fordern.
    Das gabs mal, während die alten ausgedruckten TAN-Listen noch in Gebrauch waren, vielleicht hat der eine oder andere User das noch im Hinterkopf... Also zumindestens musste die neue Liste mit einer TAN der alten freigeschalten werden.

    offtopic:
    Da könnte man glatt wieder mal auf die Einführung des Internet-Führerscheins zurückkommen...
    Geändert von madsi (27.04.2012 um 14:10 Uhr) Grund: Nachtrag
    Was Du nicht willst was man Dir tut, das füge auch keinem anderen zu.

  9. #19
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Dazu fällt mir folgender Spruch ein: "Social engineering works because there is no patch against human stupidity." Oder auch "Two things are infinite, the universe and human stupidity, and I am not yet completely sure about the universe."

    Angriffe, die die Dummheit von Menschen ausnutzen, gibt es genug und es wird sie immer geben. Und wie der BGH erst diesen Dienstag [Link nur für registrierte Mitglieder sichtbar. ] hat haftet die Bank nicht, wenn der Kunde "die im Verkehr erforderliche Sorgfalt außer Acht lässt".

    Im eingangs zitierten Arikel wird die Sache aber so dargestellt, als ob der Angriff so geschickt gewesen wäre, dass das Opfer ihn nicht bemerken konnte.
    Auf dem regulären Postweg erreichte den Leipziger eine Aktivierungskennziffer zur Freischaltung einer Mobilrufnummer, angeblich von seiner Hausbank. Was er nicht ahnte: Mit der Eingabe des Codes wurde nicht die eigene sondern die Handynummer der Betrüger freigeschaltet.
    So wie ich das aber interpretiere hat das Opfer die Handynummer (die ja auf dem Brief angegeben sein musste) nicht überprüft, was dann doch wieder ein weiterer Beweis für die Unendlichkeit der menschlichen Dummheit wäre.
    Durchgeknallter Netzindianer und stolz drauf

  10. #20
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Zitat Zitat von Solli Beitrag anzeigen
    Eventuell kann man als allgemeinen Rat formulieren: Nutze E-Banking nicht im mobilen Browser des Smartphones, das du auch zum Empfang der mTAN-SMS verwendest. Am besten verwendet man beim Smartphone grundsätzlich nicht den Browser sondern lieber eigens dafür entwickelte Apps.
    [Link nur für registrierte Mitglieder sichtbar. ]
    Experten warnen vor Onlinebanking mithilfe von mTan. Das sind Einmalpasswörter, die den Kunden auf ihr Handy geschickt werden. "Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren", sagt C. F. von der IT-Sicherheitsfirma Kaspersky im neuen SPIEGEL.

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen