1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

auf das sogenannte Chip-TAN-Verfahren auszuweichen.

  2. Thema

Neues Thema Ansicht wechseln

  1. auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Koto 25.10.13 - 16:06

    Also ich weiß nicht.

    Auch mtan ist knackbar8, wenn man bei jemanden die Karte und die Online Banking Daten abgreift.
    Oder Rechner Infezieren Kunden irgendwo auflauern. So wie viele auch Pins von Karten ausspionieren.

    Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?

    Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht schlampen.

  2. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: RipClaw 26.10.13 - 00:42

    Koto schrieb:
    --------------------------------------------------------------------------------

    > Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der
    > Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?

    Die beschriebenen Szenarien sind keine Fiktion eines Sicherheitsforschers sondern so passiert.

    Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel. Mit wenigen Aktionen wurde viel Geld ergaunert.

    > Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht
    > schlampen.

    Das war noch die einfachste Variante.

    Eine Alternative ist es einen Trojaner auf das Smartphone zu schmuggeln.
    Wenn die Gauner hoch gerüstet sind dann könnten sie einfach den Mobilfunkverkehr via IMSI Catcher mitschnüffeln und die SMS so lesen.

    Chip TAN ist nur angreifbar wenn man physischen Zugriff auf die Bankkarte hat. Bei den mTAN Angriffen ist ein physischer Zugriff nicht nötig.

    Daher ist Chip TAN aktuell noch sicherer als mtan.

  3. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Koto 26.10.13 - 17:28

    >Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel.

    Ja, da sind wir einer Meinung.

    >Daher ist Chip TAN aktuell noch sicherer als mtan.

    Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder Chip Tan verfahren stecke, ist egal.

    Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was eben auch ChipTan ist.

    Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen oder eben kaum, was zu erbeuten sind zu hoch.

    Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt auf Chip Tan gehen.

    KK beweisen, das der physische Zugriff auf die Karten kein Problem darstellt für Gauner.

    Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der soll das glauben. Ich glaube das nicht.

    Das wäre statistisch erst mal zu beweisen. Indem mal eben die Missbrauchsfälle der Verfahren mal vergleicht.



    1 mal bearbeitet, zuletzt am 26.10.13 17:30 durch Koto.

  5. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: crazypsycho 26.10.13 - 18:16

    > Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
    > zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
    > oder eben kaum, was zu erbeuten sind zu hoch.
    Das läuft ganz einfach. Erstmal werden blind die Trojaner oder Phishing verbreitet. Dann hat man die Login-Daten von sagen wir mal 100 Konten. Diese 100 prüft man jetzt auf den Kontostand. Wenn genug drauf ist (oder Dispo hoch genug), dann wird eine Sim-Karte bestellt und das Konto leergeräumt.
    Wenn es leer ist, dann wird es erstmal ignoriert.

    Daher: Der Erstangriff erfolgt blind, der danach (mit Sim) erfolgt dann gezielt.

  6. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Citrixx 27.10.13 - 02:02

    Koto schrieb:
    --------------------------------------------------------------------------------
    > KK beweisen, das der physische Zugriff auf die Karten kein Problem
    > darstellt für Gauner.

    Es ist aber schon ein Unterschied, ob jemand bei dir einbrechen muss, um dein Geld zu klauen, oder es ausreicht, dass irgendein "Handyladen am Eck" in Buxtehude es mit der Identitätsprüfung nicht so genau nimmt. Zudem kann ChipTAN auch noch mit einer zusätzlichen PIN-Sperre ausgestattet werden, falls die Bank das vorsieht.

  7. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: RipClaw 27.10.13 - 16:27

    Koto schrieb:
    --------------------------------------------------------------------------------
    > >Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig
    > aber profitabel.
    >
    > Ja, da sind wir einer Meinung.
    >
    > >Daher ist Chip TAN aktuell noch sicherer als mtan.

    > Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder
    > Chip Tan verfahren stecke, ist egal.

    > Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als
    > ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo
    > man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was
    > eben auch ChipTan ist.

    > Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
    > zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
    > oder eben kaum, was zu erbeuten sind zu hoch.

    Brauchen sie nicht. Die Opfer waren anscheinend alle wohlhabend.
    Ausserdem haben sie im Vorfeld die Computer der Opfer ausgespäht. Da haben sie alle Informationen bekommen die sie gebraucht haben.

    > Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt
    > auf Chip Tan gehen.
    >
    > KK beweisen, das der physische Zugriff auf die Karten kein Problem
    > darstellt für Gauner.

    Vergleichen wir mal die Risiken:

    ChipTAN: Ich spähe erstmal den Computer meines Opfers aus um die Zugangsdaten zum Online Banking zu bekommen. Dann muß ich Opfer entweder berauben oder beim Opfer einbrechen um an die Karte zu kommen.
    Nachdem ich die Karte habe muß ich schnell genug handeln bevor das Opfer die Karte sperren lässt.

    mTAN: Ich hocke gemütlich mit einer Tasse Kaffe in meiner Wohnung, die hunderte von Kilometern von meinem Opfer entfernt liegt, und spähe den Computer meines Opfers aus. Dann ordere ich mit den Daten eine zweite SIM Karte die ich mir z.B. an ein Postfach liefern lasse das ich mir unter falschem Namen besorgt habe. Letztendlich leite ich alle SMS auf meine neue SIM um und nehme die Überweisung vor.

    Ich würde sagen das das Risiko bei einem "Angriff" auf mTAN erwischt zu werden wesentlich geringer ist.

    Und was meintest du mit KK ? Kreditkarten ?
    Die sind auch nicht sicher. Bei jedem Onlineeinkauf tippst du die Nummer, das Ablaufdatum und die Sicherheitsnummer ein. Mit anderen Worten, alles was man braucht um mit deiner Kreditkarte shoppen zu gehen.

    > Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der
    > soll das glauben. Ich glaube das nicht.
    >
    > Das wäre statistisch erst mal zu beweisen. Indem mal eben die
    > Missbrauchsfälle der Verfahren mal vergleicht.

    Tja dann besorg mal die entsprechenden Zahlen und vergleiche.

    Meines Wissen nach war der einzige erfolgreiche "Angriff" auf das ChipTAN Verfahren ein Implementierungsschwäche bei der Sparkasse bei Sammelüberweisungen.

    Dort wurde dann immer nur der erste Posten angezeigt und so wäre möglich gewesen eine Man in the Middle Attacke durchführen und aus einer Einzelüberweisung eine Sammelüberweisung zu machen und eine Position einzuschmuggeln.

    http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

  9. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Citrixx 27.10.13 - 16:58

    Das Problem mit den Sammelüberweisungen besteht immer noch. Man hat an dieser Stelle leider die Sicherheit (PC-unabhängige Anzeige der Überweisungsdaten) dem Komfort geopfert, weshalb man Sammelüberweisungen bei ChipTAN auch nicht verwenden sollte.

  2. Thema

Neues Thema Ansicht wechseln

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login
Stellenmarkt
  1. Medienzentrum Pforzheim-Enzkreis, Pforzheim
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Würth Industrie Service GmbH & Co. KG, Bad Mergentheim
  4. Universitätsklinikum Augsburg, Augsburg
Golem pur
  • Golem.de ohne Werbung nutzen
Anzeige
Spiele-Angebote
  1. 20,49€
  2. (-66%) 16,99€
  3. 52,99€
  4. (-70%) 5,99€
Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

IMHO
Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming
Diskriminierung
Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser
Mitsubishi Electric
Mitsubishi: Satelliten setzen das Auto in die Spur
Mitsubishi
Satelliten setzen das Auto in die Spur

Mitsubishi Electric arbeitet am autonomen Fahren. Dafür betreibt der japanische Mischkonzern einigen Aufwand: Er baut einen eigenen Kartendienst sowie eine eigene Satellitenkonstellation auf.
Ein Bericht von Dirk Kunde

    Aktuelle Artikel »
    1. Internetdienste: Ermittler sollen leichter an Passwörter kommen
      Internetdienste
      Ermittler sollen leichter an Passwörter kommen

      Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".

    2. Netflix und Youtube: EU-Kommissarin warnt vor hohem Energiebedarf des Internets
      Netflix und Youtube
      EU-Kommissarin warnt vor hohem Energiebedarf des Internets

      Youtube, Netflix und Prime Video sind die Dienste, die besonders viel Internetverkehr generieren und damit auch einen besonders hohen Energiebedarf nach sich ziehen. Das sieht die Vizepräsidentin der EU-Kommission kritisch.

    3. Galaxy Fold: Samsung dementiert eigene Verkaufszahlen
      Galaxy Fold
      Samsung dementiert eigene Verkaufszahlen

      Samsung widerspricht sich selbst. Das Unternehmen bestreitet die Angabe eines ranghohen Samsung-Managers, der verkündet hatte, weltweit seien bereits eine Million Galaxy Fold verkauft worden. Vieles bleibt ungeklärt.

    Ticker »
    1. Internetdienste Ermittler sollen leichter an Passwörter kommen

      12:25

    2. Netflix und Youtube EU-Kommissarin warnt vor hohem Energiebedarf des Internets

      12:10

    3. Galaxy Fold Samsung dementiert eigene Verkaufszahlen

      11:43

    4. Onlinehandel Eigene Logistik liefert die Hälfte der Amazon-Pakete aus

      11:15

    5. Windows 7 Erweiterter Support für mehr Unternehmen verfügbar

      10:45

    6. Datendiebstahl Facebook warnt eigene Mitarbeiter erst nach zwei Wochen

      14:08

    7. Ultimate Rivals Apple Arcade eröffnet Sportspielreihe mit Hockey

      13:22

    8. T-Mobile John Legere warnt US-Richter vor Scheitern von Fusion

      12:39