1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

Knacken würde ich das nicht nennen

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Knacken würde ich das nicht nennen

    Autor: Chuzam 25.10.13 - 13:42

    Das Verfahren ist doch weiterhin so sicher wie vorher.

  2. Re: Knacken würde ich das nicht nennen

    Autor: ooooDanieloooo 25.10.13 - 13:52

    Golem hat hier nur einen reißerischen Titel gewählt. Das Verfahren ist nicht geknackt worden, sondern einfach eine Reihe von Sicherheitslücken ausgenutzt worden.

    Ich will mal einfach behaupten, dass erstens der Computer der beraubten Personen nicht richtig gesichert war (aktueller Virenscanner,Browser, OS Updates, Firewall).
    Und dann noch die Nachlässigkeit der Mobilfunkanbieter die einfach so an fremde Adressen Ersatz Sims verschicken.

  3. Re: Knacken würde ich das nicht nennen

    Autor: tangonuevo 25.10.13 - 15:03

    ooooDanieloooo schrieb:
    --------------------------------------------------------------------------------

    > Ich will mal einfach behaupten, dass erstens der Computer der beraubten
    > Personen nicht richtig gesichert war (aktueller Virenscanner,Browser, OS
    > Updates, Firewall).
    > Und dann noch die Nachlässigkeit der Mobilfunkanbieter die einfach so an
    > fremde Adressen Ersatz Sims verschicken.

    Na und? Die ganzen Verfahren existieren doch nur deshalb um den ahnungslosen Anwender vor sich selbst zu beschützen. Das Verfahren mit den TANs auf Papier wurde *kryptographisch* auch nicht geknackt und die separaten Listen auf Papier waren ja auch extra deshalb nicht auf dem Computer, damit ein übernommener PC nicht zum Bruch führt. Aber das gesamte Verfahren wurde dadurch ausgehebelt, daß die Betrüger zum Beispiel eine man-in-the-middle Attacke durchgeführt haben, gegen die das Verfahren keinen Schutz bietet.

    Damit war das Gesamtverfahren geknackt, es gibt kein anderes Wort dafür.

  4. Re: Knacken würde ich das nicht nennen

    Autor: Freiheit statt Apple 25.10.13 - 15:15

    Kommt drauf an, was man alles unter dem "Verfahren" fassen will.

    Klar ist, dass die Schwachstelle bei der unfähigen Telekom liegt. Aber im Endeffekt ist halt auch die Telekom am "Verfahren" beteiligt und muss daher berücksichtigt werden.

    Ich persönlich habe, als ich erstmals von solchen Vorkommnissen gehört habe, bei meinem Telefonanbieter verlangt, er solle in meinem Kundenkonto vermerken, dass neue oder zusätzliche SIM-Karften für meine Nummer mir nur persönlich und gegen Vorzeigen eines Ausweises ausgehändigt werden dürfen. Mein Anbieter meinte damals, dass man dies selbstverständlich schon immer so gehandhabt habe. (Was ich allerdings nicht ganz glaube, da auf der Website angegeben war, dass man zusätzliche Simkarten vorzugsweise telefonisch bestellen solle.)

  5. Re: Knacken würde ich das nicht nennen

    Autor: bazoom 25.10.13 - 15:18

    Aber bei mobilen TAN's wird diese für eine bestimmte Transkation erzeugt und ist eben auch nur für diese gültig.
    Und das ist auch weiterhin so.
    Wenn der Mobilfunkbetreiber nicht einfach so SIM-Karten durch die Welt schickt, ist das ganze schon sicher.
    Also "geknackt" wurde hier gar nichts...Genau so wenig wie Apples Fingerprint-Sensor geknackt wurde, aber man kann ihn mit etwas aufwand überlisten.

  6. Re: Knacken würde ich das nicht nennen

    Autor: ooooDanieloooo 25.10.13 - 16:19

    tangonuevo schrieb:
    --------------------------------------------------------------------------------
    > Na und? Die ganzen Verfahren existieren doch nur deshalb um den
    > ahnungslosen Anwender vor sich selbst zu beschützen. Das Verfahren mit den
    > TANs auf Papier wurde *kryptographisch* auch nicht geknackt und die
    > separaten Listen auf Papier waren ja auch extra deshalb nicht auf dem
    > Computer, damit ein übernommener PC nicht zum Bruch führt. Aber das gesamte
    > Verfahren wurde dadurch ausgehebelt, daß die Betrüger zum Beispiel eine
    > man-in-the-middle Attacke durchgeführt haben, gegen die das Verfahren
    > keinen Schutz bietet.
    >
    > Damit war das Gesamtverfahren geknackt, es gibt kein anderes Wort dafür.

    Na von mir aus, nenne es "knacken" was auch immer das bedeuten soll. Das heißt aber nicht dass das Verfahren damit grundsätzlich unsicher ist (anders als Papierlisten bei denen ein MITM-Angriff via Trojaner reicht).

    Wenn man das so sieht, dann gibt es aber überhaupt keine sicheren Verfahren. Auch bei chipTANs könntest du die EC Karte kopieren (z.B. mit einem manipulierten Geldautomaten) und dann mit mit dem gehackten Passwort Überweisungen tätigen. Mit genügend Aufwand gibt es immer einen Weg.

    Was jetzt nachzubessern wäre um die Methode wieder sicher zu machen, ist dass die Mobilfunkanbieter nicht jeder beliebigen Person eine Kopie meiner Sim Karte in die Hand drücken.

  7. Re: Knacken würde ich das nicht nennen

    Autor: tangonuevo 25.10.13 - 16:25

    bazoom schrieb:
    --------------------------------------------------------------------------------
    > Aber bei mobilen TAN's wird diese für eine bestimmte Transkation erzeugt
    > und ist eben auch nur für diese gültig.
    > Und das ist auch weiterhin so.

    Und? Sobald der Angreifer selbst Transaktionen anstossen kann (also praktisch sofort nachdem eine legale Überweisung auf dem übernommenen PC belauscht wurde) ist es ihm völlig egal, dass eine TAN nur für eine Transaktion gilt.

    > Wenn der Mobilfunkbetreiber nicht einfach so SIM-Karten durch die Welt
    > schickt, ist das ganze schon sicher.

    Du scheinst zu vergessen, daß der Mobilfunkbetreiber kein ureigenes Interesse daran hat, das SIM-Senden deutlich sicherer zu machen. Für ihn sind das höhere Kosten, der Imageschaden durch Identitätsklau wird durch Imageschaden durch umständliche Ersatzbeschaffungsprozeduren fast wieder wettgemacht. Aber er verdient nichts dran. Er ist fast ein unbeteiligter Dritter.

    Identitätsklau durch SIM-Nachsenden ist bereits vor Jahren praktiziert wurden, keinem Mobilfunkunternehmen ist das neu. Offensichtlich haben sie trotzdem immer noch löchrige Nachsende-Prozeduren.

    Ausserdem ist da noch der zweite Weg über den mTAN bereits gebrochen wurde. Der funktioniert, indem das Handy dann übernommen wird, wenn es an den bereits verseuchten PC angesteckt wird. Wie einfach das ist, weiss ich nicht, scheint aber durchaus schon gelungen zu sein.

  8. Re: Knacken würde ich das nicht nennen

    Autor: tangonuevo 25.10.13 - 16:53

    ooooDanieloooo schrieb:
    --------------------------------------------------------------------------------
    > Na von mir aus, nenne es "knacken" was auch immer das bedeuten soll. Das
    > heißt aber nicht dass das Verfahren damit grundsätzlich unsicher ist
    > (anders als Papierlisten bei denen ein MITM-Angriff via Trojaner reicht).

    Klar. Absolut "sicher" gibt es nicht, es gibt nur mehr oder weniger sichere Verfahren. Dabei ist momentan ChipTAN > mTAN >> iTAN(Listen).

    Aber selbst iTAN ist nicht "grundsätzlich" unsicher, die kryptographische Basis ist nach wie vor intakt meines Wissens. Nur die Sicherheit des PC reicht nicht aus. Aber wenn man da genug Aufwand treiben würde, könnte man auch iTAN relativ sicher betreiben. Dazu müsste man nur z.B. jedesmal ein Live-Linux von DVD booten und bei der Kontaktaufnahme zur Bank das SSL-Zertifikat prüfen (ob es noch das gleiche Zertifikat wie beim vorherigen Mal ist).

    > Wenn man das so sieht, dann gibt es aber überhaupt keine sicheren
    > Verfahren. Auch bei chipTANs könntest du die EC Karte kopieren (z.B. mit
    > einem manipulierten Geldautomaten) und dann mit mit dem gehackten Passwort
    > Überweisungen tätigen. Mit genügend Aufwand gibt es immer einen Weg.

    Ja. Das könnte durchaus mal passieren. Da ist es aber vermutlich einfacher, gleich an Geldautomaten das Geld abzuheben. Denn bei ChipTAN fehlt dir da immer noch die Pin. Die Sicherheit ist hier dadurch gegeben, daß der Angreifer physischen Zugriff für die EC-Karte braucht als auch deinen PC (für die Pin) kompromittieren muss. Das lässt sich in Einzelfällen mal arrangieren, für eine Betrugsserie ist das nicht effizient genug.

    > Was jetzt nachzubessern wäre um die Methode wieder sicher zu machen, ist
    > dass die Mobilfunkanbieter nicht jeder beliebigen Person eine Kopie meiner
    > Sim Karte in die Hand drücken.

    Unbestritten. Wer soll bzw. kann sie dazu verpflichten?



    1 mal bearbeitet, zuletzt am 25.10.13 16:53 durch tangonuevo.

  9. Re: Knacken würde ich das nicht nennen

    Autor: ooooDanieloooo 25.10.13 - 18:21

    tangonuevo schrieb:
    --------------------------------------------------------------------------------
    > Ja. Das könnte durchaus mal passieren. Da ist es aber vermutlich
    > einfacher, gleich an Geldautomaten das Geld abzuheben.
    Naja das lohnt sich nicht wirklich im Vergleich wenn man mal die Summen aus dem Artikel anschaut. Am Geldautomat ist ab 1000-2000 Euro am Tag Schluss.

    > Denn bei ChipTAN fehlt dir da immer noch die Pin. Die Sicherheit ist hier dadurch gegeben,
    > daß der Angreifer physischen Zugriff für die EC-Karte braucht als auch
    > deinen PC (für die Pin) kompromittieren muss. Das lässt sich in
    > Einzelfällen mal arrangieren, für eine Betrugsserie ist das nicht effizient
    > genug.
    Wieso, das ist doch genau so wie bei der mTAN. Dafür braucht der Dieb auch deine PIN.

    > > Was jetzt nachzubessern wäre um die Methode wieder sicher zu machen, ist
    > > dass die Mobilfunkanbieter nicht jeder beliebigen Person eine Kopie
    > meiner
    > > Sim Karte in die Hand drücken.
    >
    > Unbestritten. Wer soll bzw. kann sie dazu verpflichten?
    Weiß ich nicht. Es müsste nur mal ein Gericht vom Mobilfunkanbieter Schadenersatz für seine Versäumnisse zahlen lassen, dann würde sie es sich vielleicht überlegen ob sie es sicherer machen.

  10. Re: Knacken würde ich das nicht nennen

    Autor: tangonuevo 25.10.13 - 19:08

    ooooDanieloooo schrieb:
    --------------------------------------------------------------------------------
    > tangonuevo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja. Das könnte durchaus mal passieren. Da ist es aber vermutlich
    > > einfacher, gleich an Geldautomaten das Geld abzuheben.
    > Naja das lohnt sich nicht wirklich im Vergleich wenn man mal die Summen aus
    > dem Artikel anschaut. Am Geldautomat ist ab 1000-2000 Euro am Tag Schluss.

    Ja, das ist seltsam. Normalerweise gibt es auch beim Onlinebanking die gleiche Begrenzung wie beim Geldautomaten. Das waren möglicherweise Geschäftskonten.

    > > Denn bei ChipTAN fehlt dir da immer noch die Pin. Die Sicherheit ist hier
    > dadurch gegeben,
    > > daß der Angreifer physischen Zugriff für die EC-Karte braucht als auch
    > > deinen PC (für die Pin) kompromittieren muss. Das lässt sich in
    > > Einzelfällen mal arrangieren, für eine Betrugsserie ist das nicht
    > effizient
    > > genug.
    > Wieso, das ist doch genau so wie bei der mTAN. Dafür braucht der Dieb auch
    > deine PIN.

    Bei mTAN übernimmt der Angreifer deinen PC, liest Pin bei einer Transaktion aus und erhält deine Daten aus Emails, Dateien etc. auf dem PC. Dann übernimmt er dein Handy, wenn du es an den Computer ansteckst oder kontaktiert die Telephongesellschaft per Internet oder Telephon, ihm eine Ersatz-SIM zu schicken. Alles remote, ohne jemals in deiner Nähe gewesen zu sein, ohne Zuordnungsprobleme (ausser er findet deine Handynummer nirgends auf dem PC)

    Bei ChipTAN muss der Angreifer zu dir kommen und in deiner Nähe einen Bankautomaten übernehmen, oder er hat deine EC-Karte in deinem Urlaub kopiert. Dann hat er deinen Namen und deine EC-Karte, aber in deinem PC ist er noch nicht drin. Ausser er bricht in deine Wohnung ein, was ein erhöhtes Risiko mit sich bringt und ihm nur unentdeckt was nützt, hat er noch nicht mal einen Ansatz, da ran zu kommen. Selbst wenn er eine tolle Zero-Day-Lücke hätte, müsste er hunderttausende PCs in deinem Land auf gut Glück übernehmen, um irgendwann mal deinen zu finden. Wo nimmt er also die Pin her?

    Umgekehrt, der Angreifer, der in deinen Rechner einbricht, hat dann zwar deine Pin, müsste dann aber erstmal zu dir reisen, einige Bankautomaten in deiner Nähe übernehmen oder dich selbst überfallen, um an die EC-Karte zu kommen (wieder hohes Risiko).

    Das ist das Problem des Angreifers bei Chip-TAN, er muss physikalisch zu dir in Kontakt treten UND er muss deinen PC möglichst remote übernehmen ohne daß für ihn ersichtlich wäre, welchen PC er zu welcher Karte hacken muss und umgekehrt.

    > > Unbestritten. Wer soll bzw. kann sie dazu verpflichten?
    > Weiß ich nicht. Es müsste nur mal ein Gericht vom Mobilfunkanbieter
    > Schadenersatz für seine Versäumnisse zahlen lassen, dann würde sie es sich
    > vielleicht überlegen ob sie es sicherer machen.

    Nun, da der Mobilfunkanbieter nie die Handies für Sicherheitsanwendungen empfohlen oder beworben haben, können sie jederzeit mit dem Finger auf die bösen Banken zeigen und werden wahrscheinlich kaum was zahlen müssen. Desweiteren würden sie vermutlich in ihren Verträgen dann ausdrücklich den Kunden unterschreiben lassen, daß das Gerät nicht für sicherheitskritische Anwendungen wie mTAN geeignet ist und der Kunde selbst schuld ist, wenn er das Handy dermassen zweckentfremdet.

    Aber ja, eventuell kommt es sie wirklich billiger, ihre Sicherheitsmassnahmen zu verbessern bzw. ein Richter findet Identitätsklau schlimm genug, dann könnte sich das ändern.

  11. Re: Knacken würde ich das nicht nennen

    Autor: Anonymer Nutzer 26.10.13 - 00:15

    ooooDanieloooo schrieb:
    --------------------------------------------------------------------------------
    > Golem hat hier nur einen reißerischen Titel gewählt. Das Verfahren ist
    > nicht geknackt worden, sondern einfach eine Reihe von Sicherheitslücken
    > ausgenutzt worden.

    Aber auf Seiten des Providers :-)

    > Ich will mal einfach behaupten, dass erstens der Computer der beraubten
    > Personen nicht richtig gesichert war (aktueller Virenscanner,Browser, OS
    > Updates, Firewall).

    Selbst ohne so eine Behauptung (die nicht bewiesen ist) ist kein System 100% sicher. Und zwar völlig egal was du da drauf installierst.

    > Und dann noch die Nachlässigkeit der Mobilfunkanbieter die einfach so an
    > fremde Adressen Ersatz Sims verschicken.

    Ohne den Inhaber der Erst-SIM zu informieren auch noch! :-)

  12. Re: Knacken würde ich das nicht nennen

    Autor: ooooDanieloooo 26.10.13 - 09:44

    tangonuevo schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ist seltsam. Normalerweise gibt es auch beim Onlinebanking die
    > gleiche Begrenzung wie beim Geldautomaten. Das waren möglicherweise
    > Geschäftskonten.
    Das denke ich nicht, das Limit an Geldautomaten ist von der Bank festgesetzt und nie höher als die 1000-2000 (zumindest bei keiner Bank die ich kenne).
    Das Limit bei Online Überweisungen kann ich selbst festsetzen, in Echtzeit bestätigt mit einer TAN :) z.B. bei der Comdirect
    Ich kann problemlos 50.000 Euro online mit einer Transaktion auf ein anderes Konto überweisen, da wird auch scheinbar nichts speziell geprüft das habe ich selbst schon ausprobiert.
    Bei höheren Summen weiß ich nicht ob es da eine manuelle Prüfung gibt, aber du kannst dein Limit zumindest auch auf 500.000 Euro setzen wenn du möchtest.

    > Bei mTAN übernimmt der Angreifer deinen PC, liest Pin bei einer Transaktion
    > aus und erhält deine Daten aus Emails, Dateien etc. auf dem PC. Dann
    > übernimmt er dein Handy, wenn du es an den Computer ansteckst oder
    > kontaktiert die Telephongesellschaft per Internet oder Telephon, ihm eine
    > Ersatz-SIM zu schicken. Alles remote, ohne jemals in deiner Nähe gewesen zu
    > sein, ohne Zuordnungsprobleme (ausser er findet deine Handynummer nirgends
    > auf dem PC)
    Ich habe gerade einmal nachgeschaut, die Telefonnummer ist bei Comdirect einfach bei den Einstellungen einzusehen, ohne Sternchen oder sonstwas.

    Wäre also theoretisch wirklich ganz einfach sobald man einen potenten Trojaner installieren kann und der Mobilfunkanbieter Zweit SIM Karten an fremde Adressen schickt.

  13. Re: Knacken würde ich das nicht nennen

    Autor: tangonuevo 26.10.13 - 13:51

    ooooDanieloooo schrieb:
    --------------------------------------------------------------------------------
    > tangonuevo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja, das ist seltsam. Normalerweise gibt es auch beim Onlinebanking die
    > > gleiche Begrenzung wie beim Geldautomaten. Das waren möglicherweise
    > > Geschäftskonten.
    > Das denke ich nicht, das Limit an Geldautomaten ist von der Bank
    > festgesetzt und nie höher als die 1000-2000 (zumindest bei keiner Bank die
    > ich kenne).
    > Das Limit bei Online Überweisungen kann ich selbst festsetzen, in Echtzeit
    > bestätigt mit einer TAN :) z.B. bei der Comdirect

    Jau, das ist klasse. Eine Bank, die ihr eigenes Sicherheitskonzept ad absurdum führt. Denn solange das TAN-Verfahren sicher ist, brauchst du kein Limit, höchstens als Schutz gegen Eingabefehler. Wenn es aber als weiterer unabhängiger Schutzwall gedacht ist (was ich jetzt mal so als sinnvoll vermutet hätte), dann ist dieses "Feature" einfach nur absurd. Da versteht die Bank ihr eigenes Sicherheitskonzept nicht.

    Zumindest bei den Sparkassen scheint das Ändern des Limits online nicht möglich.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Prodatic-EDV-Konzepte GmbH, Wermelskirchen
  2. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  3. STEMMER IMAGING AG, Puchheim
  4. über InterSearch Personalberatung GmbH & Co. KG, Großraum Berlin / Brandenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme