-
auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: Koto 25.10.13 - 16:06
Also ich weiß nicht.
Auch mtan ist knackbar8, wenn man bei jemanden die Karte und die Online Banking Daten abgreift.
Oder Rechner Infezieren Kunden irgendwo auflauern. So wie viele auch Pins von Karten ausspionieren.
Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?
Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht schlampen. -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: RipClaw 26.10.13 - 00:42
Koto schrieb:
--------------------------------------------------------------------------------
> Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der
> Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?
Die beschriebenen Szenarien sind keine Fiktion eines Sicherheitsforschers sondern so passiert.
Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel. Mit wenigen Aktionen wurde viel Geld ergaunert.
> Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht
> schlampen.
Das war noch die einfachste Variante.
Eine Alternative ist es einen Trojaner auf das Smartphone zu schmuggeln.
Wenn die Gauner hoch gerüstet sind dann könnten sie einfach den Mobilfunkverkehr via IMSI Catcher mitschnüffeln und die SMS so lesen.
Chip TAN ist nur angreifbar wenn man physischen Zugriff auf die Bankkarte hat. Bei den mTAN Angriffen ist ein physischer Zugriff nicht nötig.
Daher ist Chip TAN aktuell noch sicherer als mtan. -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: Koto 26.10.13 - 17:28
>Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel.
Ja, da sind wir einer Meinung.
>Daher ist Chip TAN aktuell noch sicherer als mtan.
Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder Chip Tan verfahren stecke, ist egal.
Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was eben auch ChipTan ist.
Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen oder eben kaum, was zu erbeuten sind zu hoch.
Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt auf Chip Tan gehen.
KK beweisen, das der physische Zugriff auf die Karten kein Problem darstellt für Gauner.
Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der soll das glauben. Ich glaube das nicht.
Das wäre statistisch erst mal zu beweisen. Indem mal eben die Missbrauchsfälle der Verfahren mal vergleicht.
1 mal bearbeitet, zuletzt am 26.10.13 17:30 durch Koto. -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: crazypsycho 26.10.13 - 18:16
> Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
> zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
> oder eben kaum, was zu erbeuten sind zu hoch.
Das läuft ganz einfach. Erstmal werden blind die Trojaner oder Phishing verbreitet. Dann hat man die Login-Daten von sagen wir mal 100 Konten. Diese 100 prüft man jetzt auf den Kontostand. Wenn genug drauf ist (oder Dispo hoch genug), dann wird eine Sim-Karte bestellt und das Konto leergeräumt.
Wenn es leer ist, dann wird es erstmal ignoriert.
Daher: Der Erstangriff erfolgt blind, der danach (mit Sim) erfolgt dann gezielt. -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: Citrixx 27.10.13 - 02:02
Koto schrieb:
--------------------------------------------------------------------------------
> KK beweisen, das der physische Zugriff auf die Karten kein Problem
> darstellt für Gauner.
Es ist aber schon ein Unterschied, ob jemand bei dir einbrechen muss, um dein Geld zu klauen, oder es ausreicht, dass irgendein "Handyladen am Eck" in Buxtehude es mit der Identitätsprüfung nicht so genau nimmt. Zudem kann ChipTAN auch noch mit einer zusätzlichen PIN-Sperre ausgestattet werden, falls die Bank das vorsieht. -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: RipClaw 27.10.13 - 16:27
Koto schrieb:
--------------------------------------------------------------------------------
> >Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig
> aber profitabel.
>
> Ja, da sind wir einer Meinung.
>
> >Daher ist Chip TAN aktuell noch sicherer als mtan.
> Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder
> Chip Tan verfahren stecke, ist egal.
> Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als
> ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo
> man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was
> eben auch ChipTan ist.
> Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
> zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
> oder eben kaum, was zu erbeuten sind zu hoch.
Brauchen sie nicht. Die Opfer waren anscheinend alle wohlhabend.
Ausserdem haben sie im Vorfeld die Computer der Opfer ausgespäht. Da haben sie alle Informationen bekommen die sie gebraucht haben.
> Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt
> auf Chip Tan gehen.
>
> KK beweisen, das der physische Zugriff auf die Karten kein Problem
> darstellt für Gauner.
Vergleichen wir mal die Risiken:
ChipTAN: Ich spähe erstmal den Computer meines Opfers aus um die Zugangsdaten zum Online Banking zu bekommen. Dann muß ich Opfer entweder berauben oder beim Opfer einbrechen um an die Karte zu kommen.
Nachdem ich die Karte habe muß ich schnell genug handeln bevor das Opfer die Karte sperren lässt.
mTAN: Ich hocke gemütlich mit einer Tasse Kaffe in meiner Wohnung, die hunderte von Kilometern von meinem Opfer entfernt liegt, und spähe den Computer meines Opfers aus. Dann ordere ich mit den Daten eine zweite SIM Karte die ich mir z.B. an ein Postfach liefern lasse das ich mir unter falschem Namen besorgt habe. Letztendlich leite ich alle SMS auf meine neue SIM um und nehme die Überweisung vor.
Ich würde sagen das das Risiko bei einem "Angriff" auf mTAN erwischt zu werden wesentlich geringer ist.
Und was meintest du mit KK ? Kreditkarten ?
Die sind auch nicht sicher. Bei jedem Onlineeinkauf tippst du die Nummer, das Ablaufdatum und die Sicherheitsnummer ein. Mit anderen Worten, alles was man braucht um mit deiner Kreditkarte shoppen zu gehen.
> Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der
> soll das glauben. Ich glaube das nicht.
>
> Das wäre statistisch erst mal zu beweisen. Indem mal eben die
> Missbrauchsfälle der Verfahren mal vergleicht.
Tja dann besorg mal die entsprechenden Zahlen und vergleiche.
Meines Wissen nach war der einzige erfolgreiche "Angriff" auf das ChipTAN Verfahren ein Implementierungsschwäche bei der Sparkasse bei Sammelüberweisungen.
Dort wurde dann immer nur der erste Posten angezeigt und so wäre möglich gewesen eine Man in the Middle Attacke durchführen und aus einer Einzelüberweisung eine Sammelüberweisung zu machen und eine Position einzuschmuggeln.
http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html -
Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.
Autor: Citrixx 27.10.13 - 16:58
Das Problem mit den Sammelüberweisungen besteht immer noch. Man hat an dieser Stelle leider die Sicherheit (PC-unabhängige Anzeige der Überweisungsdaten) dem Komfort geopfert, weshalb man Sammelüberweisungen bei ChipTAN auch nicht verwenden sollte.