Hallo Wissende,
heute war in der Presse (Spiegel usw) zu lesen, dass mittels Handy-Trojaner SMS-Tans umgeleitet und Konten leer geräumt wurden.
Dazu meine Frage:
Ich war der Meinung, dass die TANs beim SMS-TAN-Verfahren und von den TAN-Generatoren u.a. aus Empfängerbank-BLZ, Empfänger-Kontonummer, Betrag und Uhrzeit errechnet werden.
Wenn das so ist/wäre, dann ist doch diese TAN für keine andere Überweisung (anderer Empfänger, Betrag) zu gebrauchen???
Oder wurde der Verschlüsselungs-Algorithmus von Hackern schon rausgefunden?
Auf Antwort wartend grüßt
michael
Hallo,
die TAN wird „auf dem Weg zur Bank“ abgefangen.
Hier noch einmal der „Spiegel-Artikel“:
http://www.spiegel.de/netzwelt/web/trojaner-angriff-…
Und hier:
http://www.spiegel.de/netzwelt/web/netzwelt-ticker-t…
http://www.heise.de/security/meldung/Angriffe-auf-de…
Die TAN wird also verschickt, der Inhalt der Transaktion verändert und die geänderte und durch eine gültige TAN legitimierte Transaktion seitens des Angreifers an die Bank gesendet.
„Neuere TAN-Verfahren mit einem TAN-Generator (z. B. chipTAN comfort/SmartTAN optic) verknüpfen die TAN mit den Auftragsdaten. Die damit erzeugten TANs können nicht für abweichende (betrügerische) Überweisungen genutzt werden. Sofern Überweisungsdaten durch Schadsoftware verändert werden, sind diese veränderten Werte auf dem Display des TAN-Generators sichtbar. Der Bankkunde kann die Transaktion in diesem Fall abbrechen. Da der TAN-Generator nicht an den PC angeschlossen wird, ist eine Manipulation der Displayanzeige ausgeschlossen. Alle bisherigen, technischen Angriffsarten können damit wirkungsvoll verhindert werden. Einzige Gefahrenquelle bleibt der sorglose Umgang mit den angezeigten Auftragsdaten im Display des TAN-Generators“
Quelle: http://de.wikipedia.org/wiki/Transaktionsnummer
Grüße
godam
P.S.: Der Algorithmus ist m.e. noch nicht „geknackt“
Danke godam.
Du meinst also, dass die Bank die der TAN-Berechnung zugrunde liegenden Daten nicht nochmal überprüft???
Wenn das so ist, kann jeder Programmier-Anfänger nur noch den Kopf schütteln.
Gruß michael
Nein, gegenüber der Bank wird nur der nette Weißrusse sichtbar, der die Maximalsumme an Oleg Popov überweist. Die dafür gültige TAN wird der Bank auch bestätigt. (Im Standardfall durch das Opfer selbst.)
Nur der abgezockte Kunde sieht etwas anderes, nämlich genau das, was der Weißrusse will. Beispielsweise die Überweisung an den Tennisclub, die das Opfer tätigen wollte.
Die Varianten sind unterschiedlich. Mit gekaperten Handy-Nummern/SMSen oder gekaperten Handys ist die Mitwirkung des Opfers gar nicht notwendig.
Ciao, Allesquatsch
Hallo Allesquatsch.
Danke, nun hab ich es verstanden. Das SMS-TAN-Verfahren ist ja dann genauso unsicher wie die alten iTANs.
Die SMS-Variante sollte dann schnellstens abgeschaltet werden. Werde mir gleich morgen einen TAN-Generator holen. Mal sehen, wie lange das noch sicher ist.
Gruß michael
Verstanden?
Das SMS-TAN-Verfahren ist ja
dann genauso unsicher wie die alten iTANs.
Dann ist es doch nicht verstanden. Denn es ist definitiv deutlich sicherer , weil viel aufwändiger zu überwinden.
Das laienhafte Verständnis geht davon aus, dass es „sichere“ Verfahren gäbe. Aber das ist weder möglich noch notwendig.
Es ist nicht möglich, weil man mit genügend Hirnschmalz und Aufwand doch Angriffe finden wird.
Nicht notwendig, weil man nur den Grad an Sicherheit erreichen muss, wo der Schaden geringer ist als der Aufwand zu dessen Vermeidung.
Die SMS-Variante sollte dann schnellstens abgeschaltet werden.
Solltest Du eine bessere Idee haben: Nur her damit.
Werde mir gleich morgen einen TAN-Generator holen. Mal sehen,
wie lange das noch sicher ist.
Es ist noch schwieriger zu überwinden, aber halt für den Kunden viel unkomfortabler und deshalb auf dem Markt weniger verbreitet.
Außerdem solltest Du bedenken, dass der wesentliche Schaden bei der Bank liegt. Wenn Du nicht gerade fahrlässig handelst, muss die Bank den Schaden erstatten.
Für mich gibt es deshalb nur die Zahlung mit der Kreditkarte. Eines der unsichersten Verfahren überhaupt, aber mit dem geringsten Risiko für mich persönlich.
Wenn mal was mit dem TAN-Generator passiert, dürfte es viel schwerer sein, die Bank haften zu lassen. (Siehe Historie EC-Karte)
Ciao, Allesquatsch
Das mit dem ökonomischen Prinzip gilt auch für die Bösen. Irgendwann ist es billiger, Dich mit dem Messer zu kitzeln, damit Du TAN-Generator und EC-Karte herausrückst.
Moin,
Das SMS-TAN-Verfahren ist ja dann genauso unsicher
wie die alten iTANs.
Wie kommst Du darauf???
Damit das abgefangen werden kann, muss erstmal ein Trojaner auf Deinem PC installiert werden und dann auch noch auf Deinem *Smart*phone.
Wie immer gilt aber: Wer auf seinen Geräten Tür und Tor offen stehen lässt, der hat selbst Schuld. Gut gesichert kann nichts passieren.
Werde mir gleich morgen einen TAN-Generator holen. Mal sehen,
wie lange das noch sicher ist.
Schaff Dir statt Deines Smartphones lieber ein altes Handy an. Wo nichts installiert werden kann, kann auch keine Software TANs abfangen.
Grüße,
-Efchen
1 Like
Hallo,
heute war in der Presse (Spiegel usw) zu lesen, dass mittels
Handy-Trojaner SMS-Tans umgeleitet und Konten leer geräumt
wurden.
Nun, der Trojaner ist ja auf dem Computer des Opfers, siehe
"Die Attacke beginnt auf dem Computer der Opfer. Mit einem dort eingeschmuggelten Trojaner spähen die Angreifer zunächst die Kontodaten des Betroffenen aus. Dann wird ihm durch einen gefälschten Hinweis im Browser vorgegaukelt, er müsse sein Smartphone mit einem Sicherheits-Update schützen. Dazu wird der Bankkunde aufgefordert, seine Telefonnummer und sein Handymodell anzugeben. An das Handy wird dann eine SMS mit einem Link zu dem vermeintlichen Sicherheits-Update verschickt. Statt zusätzlicher Sicherheit bringt das Installieren der Software akute Gefahr: „Ab sofort werden alle SMS, die eine mTAN enthalten, vom Bankkunden an ein anderes Handy (Täterhandy) umgeleitet“, berichtet die Polizei. "
Sprich, man muss seinen Computer (also nicht den im Smartphone) auch vor Viren und Trojanern schützen und das Hirn einschalten. Wer seine Kontodaten auf dem Computer speichert … naja!
DENN: Gerade bei Android wird einem das natürlich nicht per Mail oder SMS oder Fax oder Briefpost zugeschickt, das man da irgendein update machen müsse. Das macht das Gerät selbst. Und WENN man aufgefordert WÜRDE dies zu tun kann man immer noch einzwei Tage warten und im google Playstore schauen ob ie App da drin ist und was die Bewertungen so sagen. Wer skeptisch ist sollte ein update halt auch mal sein lassen und ggf. auf das nächste warten oder eben bei der Bank anrufen ob das stimmt.
Gruß
h.