1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Keridalspidialose 25.10.13 - 13:51

    Mal wieder Rätselhaftes von golem.de

    ___________________________________________________________

  2. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Citrixx 25.10.13 - 13:57

    Keridalspidialose schrieb:
    --------------------------------------------------------------------------------
    > Mal wieder Rätselhaftes von golem.de

    Der Schwachpunkt war hier das Handy bzw. die SIM-Karte. Die Angreifer haben per Trojaner die Online-Banking Zugangsdaten sowie die Handy-Nummer ausgespäht und sich dann unter falschem Namen eine Zweit-SIM besorgt. Damit hatten sie Handynummer und Zugangsdaten unter Kontrolle und konnten damit das Konto leer räumen. Steht doch alles im Artikel.

  3. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: idus.martius 25.10.13 - 14:20

    Das was du dort beschreibst ist sicherlich der von den Betrügern verwendete Workaround, aber letztendlich ist dadurch nicht das mTAN-Verfahren "geknackt" worden. Darauf will der VP wohl hinaus...

    Um mal einen dieser blöden Autovergleiche zu bringen: wenn ich im Namen deines Autohauses einen Ersatzschlüssel beim Hersteller bestelle und danach mit deinem Auto davon fahre - hat dann wirklich die elektronische Wegfahrsperre versagt?



    1 mal bearbeitet, zuletzt am 25.10.13 14:21 durch idus.martius.

  4. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Citrixx 25.10.13 - 14:30

    idus.martius schrieb:
    --------------------------------------------------------------------------------
    > Um mal einen dieser blöden Autovergleiche zu bringen: wenn ich im Namen
    > deines Autohauses einen Ersatzschlüssel beim Hersteller bestelle und danach
    > mit deinem Auto davon fahre - hat dann wirklich die elektronische
    > Wegfahrsperre versagt?

    Das Problem ist aber, dass die Mobilfunkanbieter Handys nie als sichere Signatureinheiten fürs Online-Banking beworben haben (das war schon immer das Grundproblem von mTAN, es ist eben ein kostengünstiger Work-Around anstelle eines dedizierten TAN-Generators), sich deshalb auch nicht in der Haftung und sehen und sich an der Problematik daher nichts ändern wird.

    Beim Auto-Hersteller würde ich hingegen schon erwarten, dass hier in Zukunft was an den Sicherheitsanforderungen geändert wird.

  5. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Kalasinben 25.10.13 - 14:50

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > idus.martius schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Um mal einen dieser blöden Autovergleiche zu bringen: wenn ich im Namen
    > > deines Autohauses einen Ersatzschlüssel beim Hersteller bestelle und
    > danach
    > > mit deinem Auto davon fahre - hat dann wirklich die elektronische
    > > Wegfahrsperre versagt?
    >
    > Das Problem ist aber, dass die Mobilfunkanbieter Handys nie als sichere
    > Signatureinheiten fürs Online-Banking beworben haben (das war schon immer
    > das Grundproblem von mTAN, es ist eben ein kostengünstiger Work-Around
    > anstelle eines dedizierten TAN-Generators)[...]

    Dezidiert heisst das Wort das du suchtest. Davon abgesehen ist das Quatsch was du schreibst, selbstverständlich wird das mTan-Verfahren von -zumindest den Sparkassen weiss ich es- hart beworben und ausdrücklich als "sicher" bezeichnet. Solange es im Zwei-Authentifizierungs-Verfahren genutzt wird, der Grund warum die Sparkassen auf Empfehlung des BSI Transaktionen via mTan auf dem gleichen Smartphone unterbunden haben. Für PC-Banking gilt das Verfahren tatsächlich als sicher.

    Vom Taxifahrer beschissen? Ab jetz nich mehr http://bit.ly/19jEWHb

  6. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: bazoom 25.10.13 - 15:11

    Doch, an Problematik wird sich etwas ändern:
    Die Telekom ändert den Bestellprozess von Zusatz-SIM-Karten.

    Steht doch alles im Artikel... ;)

  7. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: humpfor 25.10.13 - 15:25

    Die SMS müssen ja IMMER dann an beide Sim-Karten gegangen sein oder?

    Also wenn ich aufeinmal eine SMS mit einem mTan bekomme, obwohl ich nichts mit der Bank mache, dann sollte das einem schon mal komisch vorkommen.
    Des weiteren steht bei mir in der SMS um den Betrag um was es geht und er ist nur 5mins gültig..

    Dh, die Täter müssen ja immer dann zugeschlagen haben, wenn das andere Handy aus war oder? Und da ist die Frage, ob dann beide Handys die SMS bekommen..

  8. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: idus.martius 25.10.13 - 15:29

    humpfor schrieb:
    --------------------------------------------------------------------------------
    > Die SMS müssen ja IMMER dann an beide Sim-Karten gegangen sein oder?

    nein... bei Multi-SIMs musst du per Code (ich glaube *221# oder so) die Karte aktvieren die SMS empfangen soll. An zwei verschiedene funktioniert das nicht...

    > Dh, die Täter müssen ja immer dann zugeschlagen haben, wenn das andere
    > Handy aus war oder? Und da ist die Frage, ob dann beide Handys die SMS
    > bekommen..

    oder der Täter hat wie im Artikel beschrieben einen Trojaner auf deinem Rechner platziert und kennt daher deine PIN. Dann kann er dich in Verbindung mit der zweiten SIM-Karte bequem von seiner Couch aus berauben ;-)

  9. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: grege 25.10.13 - 15:32

    humpfor schrieb:
    --------------------------------------------------------------------------------
    > Die SMS müssen ja IMMER dann an beide Sim-Karten gegangen sein oder?

    Die SMS gehen immer nur an EINE SIM-Karte. Und die Täter werden ihre schon so eingerichtet haben, dass sie die SMS bekommen und nicht der betrogene Kunde.

  10. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: tangonuevo 25.10.13 - 16:09

    Kalasinben schrieb:
    --------------------------------------------------------------------------------
    > Dezidiert heisst das Wort das du suchtest. Davon abgesehen ist das Quatsch

    Ich glaube Citrixx hatte schon das richtige Wort.
    Nach Wiktionary ist dediziert "zugeordnet", während dezidiert "auf eindeutige Weise" meint. Bei http://www.helpster.de/dediziert-und-dezidiert-so-erklaeren-sie-den-unterschied_129847 wird es noch deutlicher, siehe die Erklärung von der technischen Verwendung von "dediziert".

    > was du schreibst, selbstverständlich wird das mTan-Verfahren von -zumindest
    > den Sparkassen weiss ich es- hart beworben und ausdrücklich als "sicher"
    > bezeichnet. Solange es im Zwei-Authentifizierungs-Verfahren genutzt wird,
    > der Grund warum die Sparkassen auf Empfehlung des BSI Transaktionen via
    > mTan auf dem gleichen Smartphone unterbunden haben. Für PC-Banking gilt das
    > Verfahren tatsächlich als sicher.

    Von den Sparkassen hat Citrixx auch überhaupt nicht geredet. Die *Handy*anbieter und Telekoms dagegen sind weder beteiligt noch haben sie irgendwelche Garantien gegeben, daß die Handies für sichere Kommunikation irgendwie geeignet sind.

    Fakt ist, daß die Banken ein Verfahren, das sie nutzen, schon deshalb als sicher bezeichnen, weil sonst Kunden legale Ansprüche gegen sie hätten. Inzwischen dürften die Banken aber hinter verschlossenen Türen keineswegs mehr so zuversichtlich sein.

    Allerdings heisst das nicht, daß das mTAN-Verfahren bald abgelöst wird. Solange der Betrug unterhalb einer bestimmten Grenze bleibt, wird das einfach als Schwund betrachtet und halt akzeptiert. Könnte aber durchaus passieren, daß Banken möglicherweise das ChipTAN Verfahren irgendwann stärker bewerben oder vordringlich empfehlen.

  11. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Citrixx 25.10.13 - 17:48

    Kalasinben schrieb:
    --------------------------------------------------------------------------------
    > Citrixx schrieb:
    > ---------------------------------------------------------------------------
    > > Das Problem ist aber, dass die Mobilfunkanbieter Handys nie als sichere
    > > Signatureinheiten fürs Online-Banking beworben haben (das war schon immer
    > > das Grundproblem von mTAN, es ist eben ein kostengünstiger Work-Around
    > > anstelle eines dedizierten TAN-Generators)[...]
    >
    > Dezidiert heisst das Wort das du suchtest.

    Ich glaube eher, dass du umgekehrt das hier suchst:

    http://www.helpster.de/dediziert-und-dezidiert-so-erklaeren-sie-den-unterschied_129847

    EDIT: Wie ich sehe hat tangonuevo die Seite auch schon erwähnt. ;) Danke dafür.

    > Davon abgesehen ist das Quatsch
    > was du schreibst, selbstverständlich wird das mTan-Verfahren von -zumindest
    > den Sparkassen weiss ich es- hart beworben und ausdrücklich als "sicher"
    > bezeichnet.

    Natürlich bewerben die alles was sie anbieten als "sicher". Selbst Banken, die immer noch auf iTAN setzen, schreiben was von wegen "Sicherheit hat für uns höchste Priorität blabla".

    > Solange es im Zwei-Authentifizierungs-Verfahren genutzt wird,
    > der Grund warum die Sparkassen auf Empfehlung des BSI Transaktionen via
    > mTan auf dem gleichen Smartphone unterbunden haben.

    Thema verfehlt, hier geht es nicht um mTAN-Banking auf demselben Gerät (SmartPhone/Tablet).

    >Für PC-Banking gilt das Verfahren tatsächlich als sicher.

    Wie du siehst ist das aber nicht der Fall.



    1 mal bearbeitet, zuletzt am 25.10.13 17:51 durch Citrixx.

  12. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Lala Satalin Deviluke 25.10.13 - 19:40

    Also wurde nicht das mTAN-Verfahren geknackt sondern der Schweizer Käse GSM dafür hergenommen um an die mTANs zu kommen. Mehr nicht.

    Grüße vom Planeten Deviluke!

  13. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: Anonymer Nutzer 26.10.13 - 00:14

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > Keridalspidialose schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mal wieder Rätselhaftes von golem.de
    >
    > Der Schwachpunkt war hier das Handy bzw. die SIM-Karte. Die Angreifer haben
    > per Trojaner die Online-Banking Zugangsdaten sowie die Handy-Nummer
    > ausgespäht und sich dann unter falschem Namen eine Zweit-SIM besorgt. Damit
    > hatten sie Handynummer und Zugangsdaten unter Kontrolle und konnten damit
    > das Konto leer räumen. Steht doch alles im Artikel.

    Trotzdem wurde nicht das mTAN Verfahren "geknackt" (es ist weiterhin sicher!) sondern einfach nur "umgangen" (aus Schuld seitens des Providers! Dieser hat keinerlei Rücksprache mit dem Kunden unter dessen Erstnummer gehalten und trotzdem direkt an eine UNBEKANNTE Adresse geliefert!)

  14. Re: Und an welcher Stelle wurde das mTAN-Verfahren geknackt?

    Autor: the_spacewürm 26.10.13 - 01:14

    Meines Erachtens ist es völlig Schnuppe, ob Handys als sichers Medium verkauft werden, wenn der Provider meine "ID" für sein Netz einfach ohne Sicherung an jeden heraus gibt, so kann man mein Konto auch einfach über Premium-SMS leer räumen.
    Ich weiß ja nicht, ob das so gedacht ist, dass jeder auf meine Kosten SMSen, Telefonieren und heutzutage ja auch noch in App-Stores Einkaufen kann, ich würde dies jedenfalls, auch wenn dies nicht extra beworben wird, dass dies nicht passiert, nicht erwarten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, Neuhausen
  2. Asseco Solutions AG, Karlsruhe, Erkrath, München, Hannover (Home-Office möglich)
  3. Bechtle AG, Bonn
  4. Kölner Verkehrs-Betriebe AG, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Razer Basilisk Ultimate Wireless Gaming-Maus und Mouse Dock für 129€, Asus ROG Strix G17...
  2. (u. a. Samsung GQ65Q80T 65 Zoll QLED für 1.199€, Corsair HS60 Over-ear-Gaming-Headset Carbon...
  3. für PC, PS4/PS5, Xbox und Nintendo Switch
  4. (u. a. Speedlink Orios RGB Metal Rubberdome Gaming-Tastatur für 25€, Speedlink Reticos RGB...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme