OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Man muss das doch aber irgendwie Rückverfolgen können.
Oder nicht?
Bei meinen mobilen TAN's, sehr selten da nur bei Kreditkarte, kommt
außerdem noch der Betrag, und wer das Geld haben will, Shop, etc.
Dann ist der TAN auch nur für 1 Minute gültig.
Zitat:
@Nr.5 lebt schrieb am 12. November 2014 um 09:45:50 Uhr:
Wo ist das Problem? Der Sicherheitsmechanismus hat doch funktioniert.Logisch gibt es nur drei Möglichkeiten:
...
3) Es hat sich niemand Zugang verschafft und auch niemand berechtigt aus sein Konto zugegriffen, dann hat lediglich der Bankrechner aus welchem Grund auch immer 2 unangeforderte TAN´s verschickt, und nun?
...
Oh, da gibt es noch einige Varianten mehr! Aber die hier detailliert zu schildern würde den Rahmen sprengen. Laut der Bank soll der Fall 3.) passiert sein. Wie man das als "Sicherheitsmechanismus hat doch funktioniert" bezeichnen kann, ist mir schleierhaft. Das System hat nicht funktioniert. Zwar ohne Schaden, aber es gab eine massive Fehlfunktion. Wie man daraus folgern kann, daß das Sytem aber wenn es darauf ankommt zuverlässig funktionieren soll, kann ich nicht nachvollziehen, das tut mir leid. Ich will das mal mit einem Vergleich aus dem Kfz-Bereich veranschaulichen:
Beim Ford Focus gibt es einen Spurhalteassistenten. Der kann, wenn man diese Funktion aktiviert, sogar aktiv gegenlenken, wenn man die Spur zu verlassen droht. Soweit die korrekte Funktion. Würde der Wagen aber auch nur einmal aktiv aus der Mitte der Fahrspur zur Seite lenken, dann würde ich dem System auch dann nicht mehr vertrauen, wenn ich durch simples Gegenlenken einen möglichen Unfall verhindert hätte. Kein Schaden bedeutet alles in Ordnung? Für mich nicht!
Und exakt so ist das beim Sicherheitssystem mTan: Es gab eine Fehlfunktion, es ist etwas geschehen, das angeblich nicht passieren kann. Und damit ist mein Vertrauen in dieses System erschüttert.
Zumal ich nicht glauben mag, daß es tatsächlich keinen Zugriffsversuch eines Dritten gegeben haben soll. Ich denke, die Bank leugnet einen solchen Versuch bloß. Aber wer weiß, evtl. sind irgendwelche Gauner bereits dabei, direkt den Rechner der Bank anzugreifen? Können wir das wissen?
Gruß Michael
Zitat:
@adi1204 schrieb am 12. November 2014 um 10:20:59 Uhr:
Man muss das doch aber irgendwie Rückverfolgen können.
Oder nicht?Bei meinen mobilen TAN's, sehr selten da nur bei Kreditkarte, kommt
außerdem noch der Betrag, und wer das Geld haben will, Shop, etc.
Dann ist der TAN auch nur für 1 Minute gültig.
Jein. Es wird ein Vorgang und die Summe genannt. Anhand der Vorgangsnummer könnte die Bank die übrigen Daten angeben, aber das macht sie nicht. Der Kunde kann bei korrektem Ablauf anhand der Vorgangsnummer die mTan der einzelnen Überweisung zuordnen.
Anfänglich wollten wir bei der Telefongesellschaft nachfragen, woher die SMS kam, aber das hatte sich erübrigt als die Bank zugab, die beiden SMS selbst verschickt zu haben.
Ich bin auch nach wie vor überzeugt, daß es einen ggf. auch nur temporären Trojaner gegeben haben dürfte. Nur kann man sich dagegen ja nicht wehren, man kann das nicht 100 % verhindern. Und gerade deshalb ist das System mit dem Handy extrem angreifbar, da die Handys selber im Vergleich zu einem PC um Welten schlechter gegen Angriffe geschützt sind.
Das System mit dem Tan-Generator ist daher in meinen Augen erheblich weniger angreifbar, weil das Gerät anzeigt, welche Überweisung getätigt werden soll. Es mag sicher auch da Möglichkeiten geben, aber es ist nicht so einfach wie beim mTan-System.
Die betreffende Bank hatte früher auch das System mit dem Tan-Generator, hat das aber zugunsten des mTan-Systems ausgetauscht. Warum weiß ich nicht, aber ich vermute Kostengründe.
Gruß Michael
Zitat:
@cng-lpg schrieb am 12. November 2014 um 10:43:57 Uhr:
Jein. Es wird ein Vorgang und die Summe genannt. Anhand der Vorgangsnummer könnte die Bank die übrigen Daten angeben, aber das macht sie nicht. Der Kunde kann bei korrektem Ablauf anhand der Vorgangsnummer die mTan der einzelnen Überweisung zuordnen.Zitat:
@adi1204 schrieb am 12. November 2014 um 10:20:59 Uhr:
Man muss das doch aber irgendwie Rückverfolgen können.
Oder nicht?Bei meinen mobilen TAN's, sehr selten da nur bei Kreditkarte, kommt
außerdem noch der Betrag, und wer das Geld haben will, Shop, etc.
Dann ist der TAN auch nur für 1 Minute gültig.
Gruß Michael
Das ist ja dann die spezielle Sache deiner Bank.
Bei mir stehen da ähnlich wie bei adi neben der Tan, die Summe, die IBAN des Empfängers und die Uhrzeit wann die Transaktion ausgeführt werden soll. Da hätte man für etwaige Rückschlüsse schon mehr in der Hand.
Ähnliche Themen
Du glaubst also, dass tatsächlich ein zugriff von außen erfolgt ist?
Dann ist es ja die variante 1 und alles hat so funktioniert, wie es funktionieren soll.
Einen Angriff auf den Bankrechner von außen kann die Bank nur verhindern, indem sie offline geht.
ps. Mein bester Freund (den kenne ich seit fast 60 Jahren) ist Referatsleiter beim Betrugsdezernat bei der Kripo Berlin. Wenn der manchmal erzählt, was da so auf den Tisch kommt, das kann man nicht glauben. Und zu 99% sind es die Betroffenen, die sich den Schuh anziehen müssen.
Zitat:
@sakasanje schrieb am 12. November 2014 um 09:14:19 Uhr:
Lassen sich aus den Infos aus der SMS keine Rückschlüsse ziehen? Bei mir wird immer Konto-Nr., Zeitpunkt, Betrag mit übermittelt. Anhand dessen sollte eine Bank doch Nachforschungen anstellen können, wer da was versucht hat bzw. wie. Ich meine, sonst wird doch alles mitgeloggt und ausgerechnet eine Bank kann nicht feststellen, dass jemand auf ein Konto zugegriffen hat? O_o
Vielleicht gabs ja auchn Übertragungsfehler ala Doppelklick = 2 Posts.
Du denkst in die richtige Richtung. Ich denke auch, daß die Bank wissen wird, wer was usw. da passiert ist - nur blockt die Bank ja ab und macht dazu keine Angaben bzw. leugnet, daß da jemand etwas versucht haben soll. Die Beschwichtigungen der Bank beunruhigen mich mehr, als wenn die Bank Roß und Reiter genannt und einen vereitelten Versuch eines Dritten eingeräumt hätte.
Gruß Michael
Zitat:
@Nr.5 lebt schrieb am 12. November 2014 um 10:51:49 Uhr:
Du glaubst also, dass tatsächlich ein zugriff von außen erfolgt ist?
Dann ist es ja die variante 1 und alles hat so funktioniert, wie es funktionieren soll.
Nein, hat es nicht. Ich wiederhole mich: Es ist nur kein Schaden entstanden. Ich liebe anschauliche Beispiele, also nehmen wir mal das Haus eines gutsituierten Menschen, der einen Safe hat. Es geschieht ein Einbruch und der Einbrecher schafft es nicht, den Safe zu öffnen. An dieser Stelle ist es eine Frage des Standpunktes, ob man sagt, das Sicherheitskonzept hat funktioniert oder nicht. Du sagst ja, weil der Safe nicht geöffnet wurde, ich sage nein, weil ein Einbrecher bereits im Haus war.
Gruß Michael
Zitat:
@Rennvan schrieb am 12. November 2014 um 00:22:20 Uhr:
Ich habe für das Online Banking nen älteren Lappi und der wird ausschließlich für´s Online Banking genutzt. So kann man die Chancen sicherlich auch beschränken sich was einzufangen. Und ich nutze den Tan Generator.
Für alles andere nutze ich den PC.
Das schützt dich nicht vor arspoofing und mitm.
Vorschlag:
Wechsel die Bank, auch wenn es auf dem Lande nicht viele gibt.
Wenn die Bank einem etwas verschweigt, sorry aber das geht garnicht.
Nur mal am Rande: Ich bin bei der Bank kein Kunde, es handelt sich um meine Tochter, die als Studentin mit wenig Einkommen ein Konto mit nur wenigen Buchungen und geringem Guthaben hat. Sie hat bei Eingang der SMS schnell und sinnvoll reagiert, indem sie sofort bei der Bank anrief. Später hat sie mich um Hilfe gebeten, weil die Bank blockte und sie wegen des Studiums auch nicht so viel Zeit hatte. Ich habe dann mit einer entsprechenden Vollmacht ausgestattet auch mit der Bank gesprochen. Andere Banken gibt es hier übrigens nicht, da wir am Ende der Welt wohnen. Es kämen dann allenfalls reine Online-Banken oder Banken am Studienort Köln ist Frage. Das bedeutet aber, den Teufel mit dem Belzebub auszutreiben. Im Augenblick läuft es wohl auf ein reines Papierbelegbanking hinaus.
Gruß Michael
Naja aber der ganze Sachverhalt wäre doch wesentlich klarer und besser zu lösen gewesen, wenn in der SMS statt einer Vorgangsnummer tatsächlich die Kontonummer des Empfängers dieser "Abbuchung" gestanden hätte. Denn mit dieser hätte man schon recht sicher die Schwachstelle herausfinden können. Dann hätte es nämlich entweder tatsächlich einen Abbuchungsversuch gegeben oder bei fehlender Kontonummer wars dann wahrscheinlich doch eher ein Fehler im Programm der Bank.
Die Bank deiner Tochter scheint mit dieser Vorgangsnummer ja eher einen Sonderweg zu gehen.
Raiffeisenbank Köln bietet einen sicheren kostenlosen TAN-Generator an.
Den nutze ich auch, da ich noch ein Konto dort habe, obwohl ich mittlerweile 500km von dort entfernt wohne.
Ist sogar von Studenten leicht zu bedienen.
Bei aller angebrachter Vorsicht, man muss nicht alles verteufeln.
Zitat:
@CalleGSXF schrieb am 12. November 2014 um 11:00:16 Uhr:
Das schützt dich nicht vor arspoofing und mitm.Zitat:
@Rennvan schrieb am 12. November 2014 um 00:22:20 Uhr:
Ich habe für das Online Banking nen älteren Lappi und der wird ausschließlich für´s Online Banking genutzt. So kann man die Chancen sicherlich auch beschränken sich was einzufangen. Und ich nutze den Tan Generator.
Für alles andere nutze ich den PC.
Calle sprich deutsch, nicht alle sind Computerfreaks. Außerdem das es keine 100% Sicherheit gibt mir auch klar, aber mit nem extra Lappi der nur für OB genutzt wird und sonst für nix lässt sich das Risiko minimieren.
Zitat:
@Vulkanistor schrieb am 12. November 2014 um 11:41:20 Uhr:
Raiffeisenbank Köln bietet einen sicheren kostenlosen TAN-Generator an.
Den nutze ich auch, da ich noch ein Konto dort habe, obwohl ich mittlerweile 500km von dort entfernt wohne.
Ist sogar von Studenten leicht zu bedienen.
Bei aller angebrachter Vorsicht, man muss nicht alles verteufeln.
Ich habe MEHRFACH geschrieben, daß ich das mTan-System kritisch sehe und stattdessen einen Tan-Generator empfehle(*). Angesichts dessen ist Dein Posting völlig daneben. Wenn man schon austeilen möchte, sollte man erst einmal die Postings lesen, oder nicht? Und dieses "sogar von Studenten leicht zu bedienen" ist schon nicht mehr unterste Schublade, das ist schon unterm Schrank oder fast unterm Teppich.
Ich habe über einen Fall berichtet, damit sich jeder seine eigenen Gedanken machen kann. Ich verteufel nichts und niemanden und ich emfpinde es mindestens als frech, wenn nicht beleidigend, daß hier die Tendenz da ist, mich als Volltrottel hinzustellen. Oder meine Tochter, die klug reagiert hat. Immerhin ist es nicht unwahrscheinlich, daß die beiden SMS nicht nur meiner Tochter, sondern auch dem möglichen Dieb bekannt wurden und nur der schnelle Anruf einen Schaden verhinderte. Die Bank rückt ja nicht mit den Fakten raus.
Gruß Michael
(*) Im Ursprungsposting sprach ich nur von Hardware gestützten Sicherheitssystemen, was auch das HBCI-Verfahren einschließt:
Zitat:
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.