OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Tarif La Poste 2014 für weniger als 20 Gramm in Europa:
Zone 1 83 Cent
Zone 2 98 Cent
Einschreiben 4 Euro 50...
Tarif La Poste 2010:
Zone 1: 51 Cents
Einschreiben: 2 Euro 15...Gerade die Einschreiben, die es ermöglichen, aus einem Vertrag 'rauszukammen...
Gehts jetzt um Briefe oder die mobilen TAN's.
Ach sorry, ist ja nen OT-FRED.
@cng-lpg
Deine Verwandschaft hatte nicht zufällig vor kurzem ihr Handy verloren? Die Transaktion funktioniert ja nur mit dem Code der per SMS kommt. Der kam ja augenschein noch bei euch an. Wenn man an der Stelle ansetzen kann (die Fälle gab es vor ca. 3 Monaten in den Medien, hab mir nur nicht gemerkt wie das funktionierte, nutze kein SMS Tan), würde also ein Nichtbefugter die SMS abgreifen und somit völlig unauffällig (für die Bank) eine Transaktion tätigen. Würde an dem Punkt als nicht nur bei der Bank hellhörig werden, sondern vor allem auch am Handy mal checken, ob da was manipuliert wurde. Ggf. mal googlen, wie dieser Beschiss funktioniert, findet man sicher.
Nein, das Handy wurde nicht verloren. Aber ich wette, daß es in der Generation durchaus mal "ausgeliehen" werden kann. Passiert ist das meiner Tochter, die ja ganz vernünftig reagiert hat und sofort bei der Bank anrief, als die beiden SMS eingingen.
Seitens der Bank wurde heute mir gegenüber bestätigt, daß die beiden SMS tatsächlich von der Bank kamen. Mehr sei aber nicht geschehen. Eine vernünftige Erklärung wurde dafür aber nicht gegeben, außer der 08/15-Anschuldigung, meine Tochter müsse wohl einen Trojaner auf dem Rechner gehabt haben. Man müsse halt ab und an seine Antivirensoftware updaten und gelegentlich mal einen Scan durchführen... - der Scanner datet sich dutzende Male pro Tag automatisch up und überwacht das System ständig. Ohne Alarm zu geben. Der zur Sicherheit durchgeführte Scan brachte auch keinen Trojaner oder andere Schadsoftware.
Ich kann mir gut vorstellen, daß sogar versucht wurde, Geld in nennenswerter Höhe abzubuchen, daß das aber vom System der Bank erkannt oder manuall unterbunden wurde. In den SMS waren zwar nur Kleinbeträge genannt, aber bei einem für mich als Laien vorstellbaren Szenario lässt sich ggf. auch diese Information beeinflussen.
Genau da liegt aber das Problem: Welcher Endverbraucher kann schon beurteilen, was da inzwischen möglich ist und wie die Gauner arbeiten? Sicher ist im Augenblick daher nur eines: Dem mTan-Verfahren kann man nicht trauen, wenn einem von der Bank (!) Nummern per SMS zu nicht selbst in Auftrag gegebenen Überweisungen gesendet werden können, wie gestern passiert.
Gruß Michael
Ähnliche Themen
Das mit den Kleinbeträgen ist wohl durchaus üblich, die Chance, dass der Beschiss gar nicht entdeckt und vom Betroffenen "einfach geschluckt" wird, ist wohl ungleich höher als bei großen Summen.
Habt ihr keinen Tan- Generator für's Onlinebanking oder wieso lasst ihr euch die Tan per SMS senden?
TAN-Generatoren kosten Geld und heute hat fast jeder ein Smartphone. Also wollen die Banken das nutzen. Eigentlich eine gute Sache. Die Umsetzung scheint aber fragwürdig zu sein.
Ich hab meinen ca. 2 Jahre und nichts bezahlt.
Geschickter ist das Teil ja schon, früher musstest immer Nummern abstreichen.
Handy hin oder her, am PC fühl ich mich sicherer. Meine Handnr. muss auch nicht jeder Hinz und Kuntz haben, hab vom Banker ja auch keine. 😁
Im TV kamen schon genug Beiträge über das anscheinend so einfache "knacken" der Handys, selbst wenn es ausgeschaltet ist/wurde.
An jeder Stelle wo Daten übertragen werden, besteht auch immer die Gefahr, dass diese abgefischt und missbraucht werden. Ob das nun per SMS Tan oder Tan Generator oder sonstwas ist, ist da ziemlich wurst. Alles was Menschen entwickelt haben, werden Menschen früher oder später manipulieren können. Wer das nicht will, muss halt für jede Transaktion zur Bank stiefeln. Sofern es sie denn noch als reales Gebäude gibt.
Zitat:
@Nette Hexe schrieb am 11. November 2014 um 15:38:21 Uhr:
Habt ihr keinen Tan- Generator für's Onlinebanking oder wieso lasst ihr euch die Tan per SMS senden?
Du wirst lachen, aber der liegt bei meiner Tochter im Schrank. Die Bank hat vor einiger Zeit das System umgestellt, das war keine Entscheidung meiner Tochter. Angeblich sollte das mTan-Verfahren ja wegen der zwei Wege sicher oder sogar sicherer sein: Das Banking erfolgt über den PC, die Tan-Bestätigung über das Handy.
Gruß Michael
Zitat:
@Nette Hexe schrieb am 11. November 2014 um 15:53:58 Uhr:
Ich hab meinen ca. 2 Jahre und nichts bezahlt.Geschickter ist das Teil ja schon, früher musstest immer Nummern abstreichen.
Handy hin oder her, am PC fühl ich mich sicherer. Meine Handnr. muss auch nicht jeder Hinz und Kuntz haben, hab vom Banker ja auch keine. 😁
Im TV kamen schon genug Beiträge über das anscheinend so einfache "knacken" der Handys, selbst wenn es ausgeschaltet ist/wurde.
Die Bank zahlt den TAN Generator und will natürlich Kosten einsparen.
Naja, also die größte Schwachstelle ist und bleibt der Kopf eines Menschen. "Social Engineering" ist hier das Stichwort. Oftmals geht es nicht darum, eine technische Hürde mit einem technischen Mittel zu überwinden. Oftmals ist es viel "einfacher" (ja, es klingt pervers...) sich das Vertrauen der Zielperson oder eines Angehörigen/Kollegen zu erschleichen.
Gegen sowas kann man sich jedenfalls schwer schützen. Eigentlich nur, wenn man immer sorgfältig prüft und misstrauisch agiert.
Eine Überweisung per Online Banking als Hacker zu verändern, ist an sich nicht schwer. Das Gleiche gilt für Online-Bestellungen, Facebook, Twitter u.v.m.. Ein simples Arpspoofing und MITM reichen auch heutzutage noch völlig aus, um einem potenziellen Opfer richtig Probleme einzubrocken.
Wie man sowas anstellt, werde ich hier nicht posten.
Zitat:
@cng-lpg schrieb am 11. November 2014 um 15:13:45 Uhr:
Man müsse halt ab und an seine Antivirensoftware updaten und gelegentlich mal einen Scan durchführen... - der Scanner datet sich dutzende Male pro Tag automatisch up und überwacht das System ständig. Ohne Alarm zu geben. Der zur Sicherheit durchgeführte Scan brachte auch keinen Trojaner oder andere Schadsoftware.
Richtige Profis lassen sich für eine begrenzte Aktion einen Trojaner programmieren der dann auch nicht gefunden wird. Dazu kommt das in den letzten Monaten bei allen bekannten Trojanerfällen im Bekanntenkreis der Virenscanner (diverse Hersteller) brav seinen Dienst verrichtete und auch ein Scan nix fand.
Virenscannern trau ich genauso weit wie Bankmitarbeitern die gleich mit solchen Anschuldigungen daher kommen...
Wenn ich extra für Onlinebanking meinen Rechner einschalte um eine Überweisung zu tätigen boote ich einfach das System das ich oben verlinkt habe. Ist immer noch weniger aufwändig als zur Bank zu latschen...
Sorry aber das ist nicht nur völlig OT... Wo genau ist jetzt überhaupt das das Problem und warum sollte SMS TAN unsicher sein?
So lange du nicht mit dem Handy, auf dem du die SMS TANs empfängst dein Online Banking betreibst, ist das ziemlich sicher. Und Leuten, die das tun, ist halt auch nicht mehr zu helfen, weil sie das Prinzip der SMS TAN offensichtlich nicht begreifen...
Wenn ich dich richtig verstanden habe, hast du einfach nur unaufgefordert TANs per SMS bekommen?
Das kann zum Beispiel passiert sein, wenn jemand deine PIN ausspioniert hat und versucht hat eine Überweisung zu tätigen. Aber da die SMS ja bei DIR und niemandem anderen angekommen ist, tut das System doch genau was es soll: Die Überweisung konnte nicht ausgeführt werden und du wurdest sogar darüber benachrichtigt!
Abgesehen davon stehen in der SMS i.d.R Details zu der Überweisung?!
Lieber mal die PIN ändern und den eigenen PC auf Schadsoftware überprüfen und keine Links in Phishing Mails anklicken, anstatt das SMS TAN System zu verfluchen...
Zitat:
@fate_md schrieb am 11. November 2014 um 16:00:20 Uhr:
An jeder Stelle wo Daten übertragen werden, besteht auch immer die Gefahr, dass diese abgefischt und missbraucht werden. Ob das nun per SMS Tan oder Tan Generator oder sonstwas ist, ist da ziemlich wurst. Alles was Menschen entwickelt haben, werden Menschen früher oder später manipulieren können. Wer das nicht will, muss halt für jede Transaktion zur Bank stiefeln. Sofern es sie denn noch als reales Gebäude gibt.
Ebend.
Eines Tages gibt es keine reale Bank mit realen Bankangestellten mehr.