mTAN in Australien ausgehebelt

Quelle: Heise

 
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8178
Dabei seit: 08 / 2002
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 13:30 Uhr  ·  #21
es ist auch etwas naiv zu glauben, es gäbe in der offiziellen Software keine Sicherheitslücken.
Fellini
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 13:52 Uhr  ·  #22
@Cap: DU weisst vielleicht, was du tust, mindestens 98% der Piratenwähler, die nur wegen der Freiheit jailbreaken wissen aber garantiert nicht. Könnte es eigentlich sonst noch einen Grund geben, warum man sowas tun könnte?
Abi
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 13
Dabei seit: 11 / 2008
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 15:11 Uhr  ·  #23
Hallo Holger,

klar ist die Umleitung in der Praxis mit viel Aufwand für nur einzelne Ziel-Personen nicht lohnenswert. Aber technisch wäre es machbar, vorausgesetzt, die Login Daten stehen dem Täter zur Verfügung...

Ich selber habe mich für das mobile TAN freigeschaltet und nutze diese Variante, weil ich es für das Sicherste halte.
Der Plantetopia Beitrag am Sonntag war richtig klasse. So wie Du damals geschrieben hast, läuft der ganze Angriff automatisiert ab.

Habe zwar einen Viren bzw. trojanerfreien PC, weil ich im Vorfeld schaue, welche Ports "lauschen" aber ich sorge lieber noch weiter vor. :-)
OS von einer 2. Partition nur füs Banking verwenden, wäre auch eine Alternative.

Gruß
Abi
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 16:32 Uhr  ·  #24
Zitat geschrieben von Abi

Ich selber habe mich für das mobile TAN freigeschaltet und nutze diese Variante, weil ich es für das Sicherste halte.


Die Varianten chipTAN (comfort) und smsTAN unterscheiden sich gar nicht in der Sicherheit. Beide sind unabhängige Kanäle, auf denen wesentliche Transaktionsdaten übermittelt werden können.

Bei der smsTAN gehen nur nebenbei noch Daten durch fremde Hände, nämlich die Mobilfunknetzbetreiber. Dafür ist es im Vergleich zur chipTAN bequemer, da ich kein weiteres Stück Hardware mitnehmen brauche, sofern ich denn auch mal unterwegs zugreifen muss.

Der Planetopia Beitrag war etwas reisserisch und auch unvollständig (siehe smsTAN). Die Wunde Sammeltransaktion ist aber der breiten Masse so transparent geworden. Das Problem ist aber nicht neu und solange es nur ein theoretisches Szenario bleibt ist alles in Butter.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 17:20 Uhr  ·  #25
Hi Captain.
Zitat geschrieben von Captain FRAG

Die Varianten chipTAN (comfort) und smsTAN unterscheiden sich gar nicht in der Sicherheit. Beide sind unabhängige Kanäle, auf denen wesentliche Transaktionsdaten übermittelt werden können.

Das würde ich pauschal nicht so unterschreiben........
Der wesehntliche Unterschied zwischen beiden Varianten ist, dass der TAN Leser nicht manipuliert werden kann, das Mobiltelefon (wenn es ein modernes ist) durchaus. Alles -derzeit- nur eine theoretische Gefahr, aber das sollte man nicht vergessen.

Ansonsten was das Grundprinzip angeh, Daten zur Kontrolle des Auftrags werden über einen zweiten Kanal zur Verfügung gestellt, hast Du natürlich Recht. Hier vieleicht sogar ein Vorteil bei der mobilen TAN, da ich hier flexibler und mehr Informationen zur Kontrolle übertragen kann.

Gruß

Holger
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 17:25 Uhr  ·  #26
Ja gut, sicher. Das Mobilfunktelefon/Smartphone whatever sollte auch sauber sein. Das sowohl PC als auch SMS Empfangsgerät infiziert sind und das gleiche betrügersiche wollen ist schon etwas kompliziert hinzubekommen. Düster ist es natürlich, wenn regelwiedrig sowohl Empfang als auch Banking auf dem Maobiltelefon abgewickelt werden. Dann wird aus dem unabhängigen Kanal mal schnell ne Nullnummer.

Oder aber der SMS Empfang wird irgendwie manipuliert. Sei es durch Fehler / Unzulänglichkeiten beim Mobilfunkanbieter, im Stammdatenänderungsprozess der Bank oder ein bestimmtes Teil Hardware/Firmware im der Empangseinheit lässt sich betrügerisch verändern. Angeblich gab es da ja man ein ganz altes Nokia aus Bochum.

Ich überlege nochmal, ok, die chipTAN ist -theoretisch- sicherer. Mag aber sein, das man eben was neues kaufen muss, wenn die Spezifikation geändert und das elementar wichtig sein sollte. Die SMS kann man mit mehr Infos anreichern, sofern die 160 Zeichen ausreichend sein sollten.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8178
Dabei seit: 08 / 2002
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 19:06 Uhr  ·  #27
Hm, womöglich sollten die Banken/Sparkassen statt der ChipTAN-Geräte lieber einfachstHandys anbieten. Die Preise sind ja so weit nicht mehr auseinander und von der Größe passts ja auch, wie man hier bei Pearl sehen kann: http://www.pearl.de/a-PX3285-4071.shtml ;)
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 25.11.2009 - 20:54 Uhr  ·  #28
Mein Lieblings-Kneipier hat genau das Teil für noch weniger Geld neben den Longdrink Gläsern im Schrank zum Verkauf stehen. Ausser dem üblen SAR Wert geht das Teil sogar.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8178
Dabei seit: 08 / 2002
Betreff:

Re: mTAN in Australien ausgehebelt

 ·  Gepostet: 26.11.2009 - 21:48 Uhr  ·  #29
in der Kneipe? Klasse, was hat er denn noch daneben stehen? Es gab doch irgendwo auch diese Winz-Wegwerfhandys mit Einmalkarte...
Gewählte Zitate für Mehrfachzitierung:   0