PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Pin und TAN angeben ... kein Thema



adm_wiin
23.07.2005, 02:08
Bei den ersten Mails, die ich von Banken bekommen habe, bin ich noch hergegangen und habe alle schön beantwortet. Da ich aber leider bei all diesen Banken kein Konto habe, musste ich mir Kontonummer, PIN und Tan-Nummern aus den Fingern saugen :rolleyes:

Da aber mittlerweile mehr Phishings als Spam ankommen, wurde mir das ganze zu lästig: eMail-Filter ... und Tschüß ....

maps
23.07.2005, 11:09
Bei den ersten Mails, die ich von Banken bekommen habe, bin ich noch hergegangen und habe alle schön beantwortet.
Ich bin ja auch kein Kunde dieser Banken und die Wahrscheinlichkeit dass meine kleine, ortsansässige Bank da auftaucht ist auch minimal.

Die Idee ist aber sicher schonmal nicht verkehrt, lässt sich das vielleicht aber auch automatisieren? Wenn die Typen von 10000 Leuten falsche Daten erhalten, haben dann wohl alle Hände voll zu tun, die PINS/TANS der echten Opfer zu finden, was meint ihr?

maps

wazi
23.07.2005, 11:55
Die dabei nicht zu unterschätzende Gefahr ist, daß ihr dann zufällig ein Konto eines Unbeteiligten erwischt, der dann abgeräumt wird. :eek: :eek:

Also Vorsicht ;)

Gruß wazi

Investi
23.07.2005, 11:57
Bei den ersten Mails, die ich von Banken bekommen habe, bin ich noch hergegangen und habe alle schön beantwortet. Da ich aber leider bei all diesen Banken kein Konto habe, musste ich mir Kontonummer, PIN und Tan-Nummern aus den Fingern saugen

Ob sich die Inhaber der "erfundenen" Konten darüber gefreut haben, daß nach drei durch den Phisher erfolgten Fehlversuchen die Onlinefunktion gesperrt und ein Gang zum Sachbearbeiter nötig wurde? Die Wahrscheinlichkeit, daß man ein tatsächlich existierendes Konto "erfindet", ist immerhin gegeben. Daher würde ich eine solche Vorgehensweise nicht empfehlen.

maps
23.07.2005, 12:18
Die Wahrscheinlichkeit, daß man ein tatsächlich existierendes Konto "erfindet", ist immerhin gegeben. Daher würde ich eine solche Vorgehensweise nicht empfehlen.
Klar besteht diese Möglichkeit, nach einem falschen Versuch wird ein Konto aber nicht gleich gesperrt, oder? Ist es nicht wahrscheinlicher dass die Typen irgendwann einfach die Nase voll haben?
Ich glaube auch nicht, dass sie ihr "Handwerk" deswegen gleich aufgeben werden, müssen sich aber was besseres ausdenken.
Sicher ist die Idee auch etwas der Ausdruck der Hilflosigkeit, die einen unweigerlich überkommt, wenn man merkt, wie diese Verbrecher jedes mal ungestraft weitermachen.

maps

RA Meier-Bading
23.07.2005, 12:57
Die Chance eine echte 10-stellige Kontonummer bei 1.000 falschen Angaben zu erwischen ist immernoch 1: 10.000.000 - und 1.000 Fehleinträge dürften dicke ausreichen. Ich find das jetzt nicht sone schlechte Idee. Automatisieren ließe sich das sicherlich auch irgendwie.

TooniX

Investi
23.07.2005, 13:23
Klar besteht diese Möglichkeit, nach einem falschen Versuch wird ein Konto aber nicht gleich gesperrt, oder?

Ich glaube nicht, daß die nach dem ersten Fehlversuch aufgeben. Immerhin werden in den meisten Phishing-Versuchen mehrere TANs abgefragt.


Sicher ist die Idee auch etwas der Ausdruck der Hilflosigkeit, die einen unweigerlich überkommt, wenn man merkt, wie diese Verbrecher jedes mal ungestraft weitermachen.
maps

Ja, da muß ich Dir vollkommen zustimmen, wenngleich es durchaus Erfolge gibt. Leider weniger im Bereich des Phishings. Zum Glück sind aber die Banken grad auf dem Weg zu neuen Sicherheitskonzepten. Hoffen wir mal, daß die Betrüger die nicht so schnell knacken können. Das könnte zwar nicht unbedingt weniger Phishing-Mails, aber wenigstens weniger Opfer bedeuten.



Die Chance eine echte 10-stellige Kontonummer bei 1.000 falschen Angaben zu erwischen ist immernoch 1: 10.000.000 - und 1.000 Fehleinträge dürften dicke ausreichen.

Die Chance, eine echte Kontonummer zu "erfinden", liegt bei 1:10 bis 1:100. Je nach Bank werden die Nummern zwar nicht fortlaufend vergeben, aber sie unterscheiden sich im ungünstigsten Fall in den letzten beiden Ziffern.
Meine Kontonummer ist beispielsweise nur 6-stellig.

Besser finde ich da schon, in die Kontonummern Buchstaben einzubauen. Dies ist in manchen Ländern durchaus üblich. Außer dem Phisher, der seine Zeit verschwendet, schädigt man hierdurch niemanden (ok, der Bankserver wird zusätzlich belastet).

maps
23.07.2005, 13:49
Ich glaube nicht, daß die nach dem ersten Fehlversuch aufgeben. Immerhin werden in den meisten Phishing-Versuchen mehrere TANs abgefragt.
Kommt man mit der falschen PIN aber erst gar nicht so weit die TAN einzugeben?


Besser finde ich da schon, in die Kontonummern Buchstaben einzubauen. Dies ist in manchen Ländern durchaus üblich. Außer dem Phisher, der seine Zeit verschwendet, schädigt man hierdurch niemanden (ok, der Bankserver wird zusätzlich belastet).
OK, sicher eine Idee, nur könnte man da wohl bei etwas intelligenteren Phishern das ganze auch leicht ins Leere laufen lassen, wenn die den Trick mitbekommen.

Investi
23.07.2005, 13:59
Kommt man mit der falschen PIN aber erst gar nicht so weit die TAN einzugeben?
Stimmt


OK, sicher eine Idee, nur könnte man da wohl bei etwas intelligenteren Phishern das ganze auch leicht ins Leere laufen lassen, wenn die den Trick mitbekommen.

Ich persönlich finde diese "Gefahr" immer noch akzeptabler, als unschuldigen Kontoinhabern den Online-Bankzugang (wenn auch nur vorübergehend) zu sperren.

RA Meier-Bading
23.07.2005, 14:13
Die Chance, eine echte Kontonummer zu "erfinden", liegt bei 1:10 bis 1:100. Je nach Bank werden die Nummern zwar nicht fortlaufend vergeben, aber sie unterscheiden sich im ungünstigsten Fall in den letzten beiden Ziffern.
Meine Kontonummer ist beispielsweise nur 6-stellig.

okay, meine hat 9 Stellen, die andere 7. Ob fortlaufend vergeben oder nicht ist für die Wahrscheinlichkeit egal. Wir landen also bei einer Chance von 1:10.000 bis 1.000.000 - wie kommst Du auf Deine Werte?


3mal die falsche PIN schadet glaubich nichts. Wenn das schon den Zugang sperren würde, könnten wir alle mal bei "Spam deutsch" nachsehen und ein paar Leute sehr verärgern, sobald sie uns ihre Kontonummer schicken ...


TooniX

Investi
23.07.2005, 14:23
wie kommst Du auf Deine Werte?

Beispiel: Kto. 176402659 zuz. Prüfziffer kann max. 10 verschiedene Werte haben. Dann ist die Wahrscheinlichkeit 1 (Richtige) : 9 (Falschen) Prüfziffern. Und schon hast Du eine Kontonummer "erfunden". Dies war jetzt, wenn nur eine Prüfziffer vergeben wird.

Manche Kontonummern errechnen sich durch zwei Prüfziffern. Dann steht die Chance korrekterweise 1 (Richtige) : 99 (Falschen) Prüfziffern.


3mal die falsche PIN schadet glaubich nichts. Wenn das schon den Zugang sperren würde, könnten wir alle mal bei "Spam deutsch" nachsehen und ein paar Leute sehr verärgern, sobald sie uns ihre Kontonummer schicken ...

Normalerweise kenne ich das von allen meinen Konten bisher, daß 3-malige Falscheingabe (auch bei Kartenbenutzung am Automaten) die entsprechende Funktion sperrt. Man muß dann immer zu seinem Sachbearbeiter am Schalter und die Freigabe beantragen. Ist eine Sicherheitsvorkehrung, um das "Ausprobieren" bis man einen Treffer landet, zu vehindern.

maps
23.07.2005, 14:25
Ich persönlich finde diese "Gefahr" immer noch akzeptabler, als unschuldigen Kontoinhabern den Online-Bankzugang (wenn auch nur vorübergehend) zu sperren.
Unbeteiligte aussperren möchte ich auch nicht, ich sehe die Gefahr nur einfach nicht so hoch.
Man sollte aber wirklich vielleicht mal genauer Analysieren, ob man da was machen kann, oder ob man wirklich vor allem Unschuldige trifft.

maps

adm_wiin
29.07.2005, 18:14
Die Chance, eine echte Kontonummer zu "erfinden", liegt bei 1:10 bis 1:100. Je nach Bank werden die Nummern zwar nicht fortlaufend vergeben, aber sie unterscheiden sich im ungünstigsten Fall in den letzten beiden Ziffern.
Meine Kontonummer ist beispielsweise nur 6-stellig.


Wenn eine Kontonummer "nur" 6-stellig ist, kann es theoretisch Kontonummern von 000000 - 999999 geben, also 1 Mio.
Eine Chance von 1:10 gibt es nur bei 1stelligen Kontonummern - nämlich von 0,1,2,3...9. ;)

Bei "nur" 6 Stellen und 5 Stellen für die PIN und 6 Stellen für die TAN ist die Trefferquote also 1:1000000000000000000. Das genau ist ja der Grund, warum wir alle solche Mails erhalten.

Also spricht wohl kaum etwas gegen "erfundene" Nummern, mit denen wir die Daten der "Misstaeter" verseuchen.

Investi
29.07.2005, 20:45
Eine Chance von 1:10 gibt es nur bei 1stelligen Kontonummern - nämlich von 0,1,2,3...9. ;)


Unsinn! Bei einstelligen Kontonummern gibt es nur 10 Konten. Da ist die Trefferquote 100%, da eine Prüfziffer unmöglich ist.



Bei "nur" 6 Stellen und 5 Stellen für die PIN und 6 Stellen für die TAN ist die Trefferquote also 1:1000000000000000000. Das genau ist ja der Grund, warum wir alle solche Mails erhalten.

Bei 6 Stellen sind die ersten 5 Stellen (bei einfacher Verschlüsselung in der 6.Stelle) die Kontonummer und die 6. Stelle stellt die Prüfziffer dar. Ich stelle Dir das mal an einer 13-stelligen EAN-Numemr dar (das sind die Barcode-Nummern auf der Ware im Supermarkt):
Die letzte der 13 Stellen stellt die Prüfziffer dar. Ich verwende jetzt die EAN Frolic Knusperknochen, 400g, also eine real existierende Nummer. Also gibt es folgende Möglichkeiten:
400842910651 1
400842910651 2
400842910651 3
400842910651 4
400842910651 5
400842910651 6
400842910651 7
400842910651 8
400842910651 9
400842910651 0

Nur die 4 ist die korrekte Prüfziffer. Die Trefferquote beträgt also 1:9 (ein Treffer zu 9 Fehlern). Du siehst also, daß die Länge der Nummer absolut irrelevant ist. Lediglich die Art der Verschlüsselung ist maßgeblich. Denn bei EANs wird nur mit einer einstelligen Prüfziffer verschlüsselt. Im Falle einer zweistelligen Verschlüsselung beträgt die Wahrscheinlichkeit 1:99 (ein Treffer zu 99 Fehlern). Da Kontonummern i.d.R. fortlaufend vergeben werden und, je nach Bank lediglich die letzten beiden Ziffern zur Überprüfung herangezogen werden, liegt die Wahrscheinlichkeit, eine existierende Kontonummer zu "erfinden", bei 1:99, im schlimmsten Fall bei 1:9. Und allein die Eingabe dieser Kontonummer und die Eingabe einer falschen PIN kann zur Sperrung eines Onlinezugangs führen. Die Sperrungen erfolgen i.d.R. nach drei Fehlversuchen. Manche Banken sperren bei drei aufeinanderfolgenden Fehlern, bei manchen Systemen führen auch drei Fehleingaben bei zwischenzeitlichen korrekten Eingaben zur Sperre.
Opfer ist in jedem Fall der Kontoinhaber der "erfundenen" Kontonummer.

Daher ist von der Eingabe "erfundener" Kontonummern eigentlich immer abzuraten. Es sei denn, man weiß, daß eine bestimmte Bank grundsätzlich z.Bsp. 10-stellige Nummern vergibt. Dann kann man durch Eingabe einer 5-stelligen Nummer niemandem schaden, außer den Nerven des Phishers.

adm_wiin
29.07.2005, 23:16
Unsinn! Bei einstelligen Kontonummern gibt es nur 10 Konten. Da ist die Trefferquote 100%, da eine Prüfziffer unmöglich ist.


OK. Das mit den Prüfziffern habe ich verstanden.

Vielleicht sollte man hier einmal veröffentlichen, welche Banken welche Kontonummern führen. Dann könnte man ja theoretisch eine kürzere (oder längere) angeben.

(Kontonummern der Volksbanken sind 9stellig)

Wenn die Banken weltweit besser zusammenarbeiten würden, wäre das ganze recht einfach - und auch schnell vorbei:

Ich gebe meine richtige Kontonummer, inkl. echter PIN und unbenutzter TAN an, NACHDEM ich meine Bank informiert habe. Wird nun diese TAN benutzt, geht hier sofort "eine Lampe an". Technisch dürfte das kein Problem sein. Immerhin klappt das heute schon, wenn ich versuche, 900.000 EUR zu überweisen. Da kommt sofort eine Meldung : Kreditlimit überschritten.

Also weiter : Die getätigte Aktion wird automatisch auf 0,01 EUR reduziert. Dieses Geld kommt dann tatsächlich bei irgendeiner Bank irgendwo in Dunkelafrika an. Auch hier "brennt" sofort eine Lampe. Bei Barabhebungsversuchen ist es dann wohl nicht mehr schwer, die "Misstäter" dingfest zu machen. :clown:

Wenn ich so überlege, dass es schon Menschen gab, die auf dem Mond spazieren gegangen sind, oder, dass ich jetzt und hier (irgendwo in DE) in der Lage bin, eine Webcam in New York über das Internet fernzusteuern ... es kann nicht sehr utopisch sein, was ich mir da vorstelle... :rolleyes:

homer
31.07.2005, 08:18
Vielleicht sollte man hier einmal veröffentlichen, welche Banken welche Kontonummern führen. Dann könnte man ja theoretisch eine kürzere (oder längere) angeben.
(Kontonummern der Volksbanken sind 9stellig)
Sicher? Meine Kontonummer bei einer Bank aus dem VR-Verbund ist fünfstellig, inkl. Prüfziffer. Das Geschäftskonto eines Bekannten hat eine sieben- oder neunstellige Kontonummer. Ich meine, die Kontonummer der Verbundbanken hängt vom regionalen Institut ab, und dort von der Kontoart (Sparkonto, Girokonto, privat, geschäftlich, was es da sonst noch gibt).
Bei den "großen" Banken mag es durchaus eine feste Stellenanzahl geben.

RA Meier-Bading
31.07.2005, 19:47
@Investi: Du hast Die Wahrscheinlichkeit ausgerechnet, daß eine beliebige Nummer syntaktisch in Ordnung ist. Damit ist aber noch lange nicht geklärt, ob eine Nummer, die theoretisch existieren könnte auch tatsächlich einer Person zugewiesen wurde und noch aktiv ist.
fassen wir also zusammen:
- die Chance für eine korrekte Nummer ist 1:9 bis 1:99
- die theoretisch denkbaren Nummern müssen zugewiesen sein. Schätz ich mal ins Blaue 1:1
- die Nummernlänge muß zu Bank und Filiale passen, also zwischen 6 und 10 Ziffern, macht 1:10.000

Wenn man nun 1.000 Nummern erfindet, ist also die Chance jemand zu erwischen irgendwo zwischen 1:200 und 1:2.000. Ersteres wäre mir persönlich zu hoch, so daß wir wirklich abchecken sollten:
- entweder welche Bank wieviel Ziffern hat
- oder ob 3 falsche PINs (bei TANs sind wir uns einig) wirklich zu einer Sperrung führen. Ich bezweifle das, weil mir die Mißbrauchsgefahr zu hoch erscheint.

Und wer sagt überhaupt, daß die Phisher das alles von Hand eintippen und das nicht automatisieren?


TooniX

trekkie
31.07.2005, 20:16
oder ob 3 falsche PINs (bei TANs sind wir uns einig) wirklich zu einer Sperrung führen. Ich bezweifle das, weil mir die Mißbrauchsgefahr zu hoch erscheint.

Zumindest für die Volksbanken und die LBBW kann ich die Information beisteuern:


<Auszug FAQ VoBa>
Wie kann eine gesperrte PIN entsperrt werden?

Geben Sie wie gewohnt Ihre Kundennummer und Ihre PIN ein. Voraussetzung ist, dass Sie Ihre PIN noch wissen. Durch Eingabe einer gültigen TAN können Sie die Entsperrung durchführen.
</Auszug FAQ VoBa>

Bei der LBBW das selbe. Wird beim entsperren allerdings wieder eine falsche PIN oder TAN verwendet, wird das Konto endgültig gesperrt. Wird bei den anderen wohl genauso sein...

Dreimal falsche TAN führt auch bei beiden Banken zur Sperrung des TAN-Bogens, wobei die VoBa gleich automatisch einen neuen versendet. Bei der LBBW steht das zwar nirgends, aber da mir das schon mal passiert ist, kann ich es bezeugen...

Ich gehe mal davon aus, daß das alle Banken in etwa gleich handhaben, also wird man (fast) immer die PIN mit einer TAN entsperren können, während die TAN-Liste bei dreimal falscher Eingabe hinüber ist.


Quellen: LBBW (http://www.lbbw.de/ibhilfe/internetbanking-hilfe.pdf) / VoBa (http://www.stuttgarter-volksbank.de/__C1256C15003983A1.nsf/(WWWFrame)/XEF62466DBE99D24241256C6F0031DC11!OpenDocument)

RA Meier-Bading
31.07.2005, 21:24
dann sollten wir da mal ausprobieren: hat mal einer eine Kontonummer von einer Rechnung eines Spammers? Irgendwelche bestellten Gummibäume? Ich geb dann gern 3 mal irgendne falsche PIN ein und seh beim 4. Versuch mal nach, ob das Konto gesperrt ist :D


TooniX

Investi
01.08.2005, 00:45
so daß wir wirklich abchecken sollten:
- entweder welche Bank wieviel Ziffern hat
- oder ob 3 falsche PINs (bei TANs sind wir uns einig) wirklich zu einer Sperrung führen. Ich bezweifle das, weil mir die Mißbrauchsgefahr zu hoch erscheint.

Zumindest beim Gebrauch der Bankkarte führt die 3-malige Falscheingabe am Automaten zur Sperrung der Karte. Kann nur durch Bank entsperrt werden, indem die Fehlerkodierung auf der Karte auf Null gesetzt wird.

Für die Sparkasse Rhein-Haardt gelten 7-stellige Kontonummern, bei der VR-Bank Mittelhaardt sind sie 9-stellig. Wobei durchaus auch noch alte Kurznummern bei beiden Banken existieren können. Bei der Sparkasse können aber ebenso neue Numemrn im Gebrauch sein, deren Länge mir unbekannt ist. Nach der letztjährigen Fusion zweier Sparkassen hier im Raum hatte nämlich meine Kontonummer zwei mal existiert. Nachdem nun alles i.O. ist, muß also der andere mit der gleichen Nummer nun eine neue bekommen haben.

Allerdings ist es wohl international üblich, die Leerstellen vor der Kontonummer mit Nullen aufzufüllen. Da ich morgen eh einen Termin bei meiner Bank habe, kann ich ja mal nachfragen.

RA Meier-Bading
08.08.2005, 11:18
sorry fürs Aufwärmen, aber ich hab mich jetzt mal schlau gemacht:
Ihr Zugang zu commerzbanking.de wird automatisch gesperrt, wenn die PIN dreimal nacheinander falsch eingegeben wird. Dadurch wird verhindert, dass jemand durch Probieren Ihre PIN ermitteln kann.
Dadurch aber kann man in der Tat einen Spammer, dessen Kontonummer man hat, des öfteren zur Bank schicken...
Dafür ist in der Tat das Risiko zu groß, jemand zu schädigen, indem man Kontonummern erfindet. Außer wir machen jetzt eine Liste mit Banken und Nummernlängen.

TooniX

trekkie
08.08.2005, 23:27
sorry fürs Aufwärmen, aber ich hab mich jetzt mal schlau gemacht:
Dadurch aber kann man in der Tat einen Spammer, dessen Kontonummer man hat, des öfteren zur Bank schicken...
Dafür ist in der Tat das Risiko zu groß, jemand zu schädigen, indem man Kontonummern erfindet. Außer wir machen jetzt eine Liste mit Banken und Nummernlängen.

TooniX

Scheint, als ob das doch alle Banken individuell handhaben. Schade.

Die Liste dürfte zum Problem werden - da meist kurze Bestandsnummern mit neuen, langen gemischt werden, ist es fast unmöglich zu sagen, was denn nun richtig ist. Bis die Stuttgarter VoBa das RZ gewechselt hat, war's dort genauso. Seitdem sind aber alle Nummern 9-stellig.

Schade, damit ist das Thema wohl vom Tisch...

inkognito1973
21.08.2005, 21:58
Hallo,

also bei der Citibank ist es so, das die ersten sechs Zahlen der Kontonummer das Geburtsdatum sind.

Nun könnte man also die fünfte und sechste Zahl so wählen das man z.B. gerade mal ein paar Jahre alt ist. Hier wäre es also fast unmöglich das eine passende echte Kontonummer vorhanden ist. Die Wahrscheinlichkeit, das die Citibank so viele Kunden hat die über Hundert Jahre alt sind, sollte doch auch sehr gering sein.

Ciao