1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

auf das sogenannte Chip-TAN-Verfahren auszuweichen.

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Koto 25.10.13 - 16:06

    Also ich weiß nicht.

    Auch mtan ist knackbar8, wenn man bei jemanden die Karte und die Online Banking Daten abgreift.
    Oder Rechner Infezieren Kunden irgendwo auflauern. So wie viele auch Pins von Karten ausspionieren.

    Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?

    Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht schlampen.

  2. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: RipClaw 26.10.13 - 00:42

    Koto schrieb:
    --------------------------------------------------------------------------------

    > Die Frage ist doch hier, wie wahrscheinlich sind diese Szenarien in der
    > Praxis. Gibt es den wirklich mehr mtan betrügerein als chiptan?

    Die beschriebenen Szenarien sind keine Fiktion eines Sicherheitsforschers sondern so passiert.

    Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel. Mit wenigen Aktionen wurde viel Geld ergaunert.

    > Wobei ja diese Lücke leicht zu schließen ist, wenn die Handy Provider nicht
    > schlampen.

    Das war noch die einfachste Variante.

    Eine Alternative ist es einen Trojaner auf das Smartphone zu schmuggeln.
    Wenn die Gauner hoch gerüstet sind dann könnten sie einfach den Mobilfunkverkehr via IMSI Catcher mitschnüffeln und die SMS so lesen.

    Chip TAN ist nur angreifbar wenn man physischen Zugriff auf die Bankkarte hat. Bei den mTAN Angriffen ist ein physischer Zugriff nicht nötig.

    Daher ist Chip TAN aktuell noch sicherer als mtan.

  3. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Koto 26.10.13 - 17:28

    >Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig aber profitabel.

    Ja, da sind wir einer Meinung.

    >Daher ist Chip TAN aktuell noch sicherer als mtan.

    Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder Chip Tan verfahren stecke, ist egal.

    Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was eben auch ChipTan ist.

    Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen oder eben kaum, was zu erbeuten sind zu hoch.

    Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt auf Chip Tan gehen.

    KK beweisen, das der physische Zugriff auf die Karten kein Problem darstellt für Gauner.

    Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der soll das glauben. Ich glaube das nicht.

    Das wäre statistisch erst mal zu beweisen. Indem mal eben die Missbrauchsfälle der Verfahren mal vergleicht.



    1 mal bearbeitet, zuletzt am 26.10.13 17:30 durch Koto.

  4. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: crazypsycho 26.10.13 - 18:16

    > Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
    > zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
    > oder eben kaum, was zu erbeuten sind zu hoch.
    Das läuft ganz einfach. Erstmal werden blind die Trojaner oder Phishing verbreitet. Dann hat man die Login-Daten von sagen wir mal 100 Konten. Diese 100 prüft man jetzt auf den Kontostand. Wenn genug drauf ist (oder Dispo hoch genug), dann wird eine Sim-Karte bestellt und das Konto leergeräumt.
    Wenn es leer ist, dann wird es erstmal ignoriert.

    Daher: Der Erstangriff erfolgt blind, der danach (mit Sim) erfolgt dann gezielt.

  5. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Citrixx 27.10.13 - 02:02

    Koto schrieb:
    --------------------------------------------------------------------------------
    > KK beweisen, das der physische Zugriff auf die Karten kein Problem
    > darstellt für Gauner.

    Es ist aber schon ein Unterschied, ob jemand bei dir einbrechen muss, um dein Geld zu klauen, oder es ausreicht, dass irgendein "Handyladen am Eck" in Buxtehude es mit der Identitätsprüfung nicht so genau nimmt. Zudem kann ChipTAN auch noch mit einer zusätzlichen PIN-Sperre ausgestattet werden, falls die Bank das vorsieht.

  6. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: RipClaw 27.10.13 - 16:27

    Koto schrieb:
    --------------------------------------------------------------------------------
    > >Die hier genannten mtan Betrügereien waren zielgerichtet und aufwendig
    > aber profitabel.
    >
    > Ja, da sind wir einer Meinung.
    >
    > >Daher ist Chip TAN aktuell noch sicherer als mtan.

    > Das sehe ich anders. Ob ich nun die kriminelle Energie in das mtan oder
    > Chip Tan verfahren stecke, ist egal.

    > Du hast leider auch nicht belegt, dass die mTan angriffe höher sind als
    > ChipTan. Das ist nämlich der wichtige Punkt in der Sache. Das einzige wo
    > man sich einig ist, das mtan angreifbar ist unter Gewissen umständen. Was
    > eben auch ChipTan ist.

    > Und ich glaube nicht an einen zufälligen Angriff. Der Aufwand ist einfach
    > zu hoch für einen Blind angriff. Die Chance auf ein leeres Konto zu treffen
    > oder eben kaum, was zu erbeuten sind zu hoch.

    Brauchen sie nicht. Die Opfer waren anscheinend alle wohlhabend.
    Ausserdem haben sie im Vorfeld die Computer der Opfer ausgespäht. Da haben sie alle Informationen bekommen die sie gebraucht haben.

    > Und wenn ich nun von einem gezielten Angriff ausgehe. Kann ich auch gezielt
    > auf Chip Tan gehen.
    >
    > KK beweisen, das der physische Zugriff auf die Karten kein Problem
    > darstellt für Gauner.

    Vergleichen wir mal die Risiken:

    ChipTAN: Ich spähe erstmal den Computer meines Opfers aus um die Zugangsdaten zum Online Banking zu bekommen. Dann muß ich Opfer entweder berauben oder beim Opfer einbrechen um an die Karte zu kommen.
    Nachdem ich die Karte habe muß ich schnell genug handeln bevor das Opfer die Karte sperren lässt.

    mTAN: Ich hocke gemütlich mit einer Tasse Kaffe in meiner Wohnung, die hunderte von Kilometern von meinem Opfer entfernt liegt, und spähe den Computer meines Opfers aus. Dann ordere ich mit den Daten eine zweite SIM Karte die ich mir z.B. an ein Postfach liefern lasse das ich mir unter falschem Namen besorgt habe. Letztendlich leite ich alle SMS auf meine neue SIM um und nehme die Überweisung vor.

    Ich würde sagen das das Risiko bei einem "Angriff" auf mTAN erwischt zu werden wesentlich geringer ist.

    Und was meintest du mit KK ? Kreditkarten ?
    Die sind auch nicht sicher. Bei jedem Onlineeinkauf tippst du die Nummer, das Ablaufdatum und die Sicherheitsnummer ein. Mit anderen Worten, alles was man braucht um mit deiner Kreditkarte shoppen zu gehen.

    > Also wer glaubt mit Chip Tan wäre er Prozentual sicherer als mit mtan. Der
    > soll das glauben. Ich glaube das nicht.
    >
    > Das wäre statistisch erst mal zu beweisen. Indem mal eben die
    > Missbrauchsfälle der Verfahren mal vergleicht.

    Tja dann besorg mal die entsprechenden Zahlen und vergleiche.

    Meines Wissen nach war der einzige erfolgreiche "Angriff" auf das ChipTAN Verfahren ein Implementierungsschwäche bei der Sparkasse bei Sammelüberweisungen.

    Dort wurde dann immer nur der erste Posten angezeigt und so wäre möglich gewesen eine Man in the Middle Attacke durchführen und aus einer Einzelüberweisung eine Sammelüberweisung zu machen und eine Position einzuschmuggeln.

    http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

  7. Re: auf das sogenannte Chip-TAN-Verfahren auszuweichen.

    Autor: Citrixx 27.10.13 - 16:58

    Das Problem mit den Sammelüberweisungen besteht immer noch. Man hat an dieser Stelle leider die Sicherheit (PC-unabhängige Anzeige der Überweisungsdaten) dem Komfort geopfert, weshalb man Sammelüberweisungen bei ChipTAN auch nicht verwenden sollte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ERGO Group AG, Düsseldorf
  2. KfW IPEX-Bank GmbH, Frankfurt am Main
  3. ivv GmbH, Hannover
  4. NOVENTI Health SE, Bietigheim-Bissingen, Mannheim, Oberhausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: Battlefront 2 für 9,99€, Star Wars: Squadrons für 18,99€, Star Wars: TIE...
  2. 21,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme