Angriffe auf deutsche mTAN-Banking-User

Quelle: Heise

 
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 959
Dabei seit: 12 / 2004
Betreff:

Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 05.04.2011 - 14:28 Uhr  ·  #1
problem7
Benutzer
Avatar
Geschlecht:
Herkunft: links unten
Alter: 41
Homepage: fides.ch
Beiträge: 1170
Dabei seit: 03 / 2008
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 05.04.2011 - 14:55 Uhr  ·  #2
Zitat
Da in diesem Fall die App ja scheinbar sogar von der Bank angekündigt wurde, dürften viele Anwender auf diesen Trick reinfallen, ohne dass man ihnen mangelnde Sorgfalt vorwerfen könnte.

wenn ich das schon wieder lese... :eek2:
wer darauf dann reinfällt hat sich eher in den meisten fällen mächtig angestrengt sämtliche sicherheitshinweise sowohl von der bank, als auch in den medien & co zu ignorieren!
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 959
Dabei seit: 12 / 2004
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 05.04.2011 - 15:35 Uhr  ·  #3
"Mit dem üblichen Tipp, Apps nur aus vertrauenswürdigen Quellen zu installieren, ist es nicht mehr getan. Da in diesem Fall die App ja scheinbar sogar von der Bank angekündigt wurde, dürften viele Anwender auf diesen Trick reinfallen, ohne dass man ihnen mangelnde Sorgfalt vorwerfen könnte."

Dieser App-Hype wird noch viel Spaß verursachen.
Mr. Wissen
Neuling
Avatar
Geschlecht: keine Angabe
Herkunft: Rottenburg
Beiträge: 1
Dabei seit: 04 / 2011
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 06.04.2011 - 14:44 Uhr  ·  #4
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 06.04.2011 - 16:23 Uhr  ·  #5
Hi Mr. Wissen,

nur zur Richtigstellung: Das Verfahren mobile TAN ist genau so wenig unsicher, wie der gute alte TAN Bogen. Unsicher ist der PC des Anwenders, so dass man auf dem PC des Anwenders manipulierte Aufträge mit den alten TAN Verfahren nicht erkennen kann.

Das Verfahren bei dem zitierten Angriff ist auch nicht unsicher, sondern dem Anwneder wird zusätzlich zum infizierten PC auch noch das Mobiltelefon infiziert. Beide Gegebenheiten müssen erstmal zusammen kommen, wofür die Hürden bei der aktuellen Form noch relativ hoch sind.

Aber der Angriff zeigt, dass mit der zunahme der Smartphones und der Verfeinerung der Angriffe auch auf diese Smartphones die Zeit der mobilen TAN vermutlich gezählt sind. Wie schnell das geht, werden wir in den nächsten Monaten sicherlich beobachten können.

Für den, der ein altes Mobiltelefon nutzt, bleibt die mobile TAN auch weiterhin ein sicheres Verfahren!

Viele Grüße

Holger
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4541
Dabei seit: 11 / 2004
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 10:02 Uhr  ·  #6
Eine vielleicht dumme Anmerkung: Ist es nicht so, dass eine Mobile-TAN nur für genau den eben eingereichten Auftrag gilt? Ist es nicht außerdem so, dass in der SMS mit der TAN zumindest die Eckdaten des Auftrags ebenfalls enthalten sind?

Es sollte also nicht reichen einfach nur die TAN abzugreifen, da man mit dieser nichts anfangen kann, als den Auftrag freizugeben, den der Anwender sowieso gerade freigeben wollte.

Gerade wenn man eine Finanzsoftware mit HBCI nutzt müsste eine Manipulation schon *wesentlich* umfassender sein um auch nur irgend etwas damit zu erreichen. Man müsste den Auftrag und jede Anzeige des Auftrags manipulieren. Ich halte das derzeit für sehr unwahrscheinlich. Ein solcher Angriff ist allenfalls beim Online-Banking im Web-Browser noch realisierbar.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 11:22 Uhr  ·  #7
Hi Andreas,
Zitat geschrieben von subsembly
Eine vielleicht dumme Anmerkung: Ist es nicht so, dass eine Mobile-TAN nur für genau den eben eingereichten Auftrag gilt? Ist es nicht außerdem so, dass in der SMS mit der TAN zumindest die Eckdaten des Auftrags ebenfalls enthalten sind?

Ja, wenn denn der Kudne die TAN irgendwo eingeben müsste. Die wird aber an den lokalen Angreifer übertragen.
Das macht das Angriffsszenarion so komplex und für einen Massenangriff nicht unbedingt erfolgreich. Aber es zeigt die Fortschritte bei den Angriffen. Von der Axt geht man jetzt zum Buschmesser über.

Viele Grüße

Holger
muriiii
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Osnabrück
Beiträge: 145
Dabei seit: 03 / 2009
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 11:32 Uhr  ·  #8
Hi Andreas,

das stimmt alles was du da so schreibst, bei dem Szenario das hier angesprochen wird gehts es aber nicht mehr rein um die TAN die der Kunde iwo eingibt sondern um etwas anderes.
Wenn ich das alles so richtig verstanden habe wird die SMS mit der TAN an den Nutzer versand, hier greift dann der Trojaner auf dem infizierten Handy und leitet die SMS direkt an den Angreifer weiter ohne das der Besitzer es mitbekommt. Das alleine wäre ja nicht das Problem aber da der Angreifer die PIN des Nutzers hat und auch seine SMS bekommt kann er einfach eine normale Überweisung starten.

Funktioniert zwar nicht mehr in der Masse aber es wird immernoch genug Schaden anrichten.

Gruß
Michael

Ach verdammt da wird man von nem Kunden angerufen kann seinen Post nicht zuende schreiben und ZACK ist der Holger wieder schenller ;D
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 959
Dabei seit: 12 / 2004
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 12:24 Uhr  ·  #9
Hi,

ich denke es gibt da zwei Wege, entweder manipuliert der Angreifer das Zielkonto/Betrag und ließt die SMS mit und ist einfach scheller bei der Überweisung. Das würde aber der Nutzer ggf merken da die Eigentliche Überweisung dann fehlschlägt. Daher denke ich das der PC den Auftrag manipuliert absendet und das Telefon die SMS manipuliert so das dort auch die Original Kontonummer angezeigt wird. So mit fällt das erst beim Kontoauszug auf...
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 12:35 Uhr  ·  #10
Ein manipulierter PC ist nicht mehr nötig, wenn der Betrüger die PIN hat und das Mobiltelefon so manipuliert hat, dass die SMS rechtzeitig an ihn weitergeschickt wird.

Gruß
Raimund
muriiii
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Osnabrück
Beiträge: 145
Dabei seit: 03 / 2009
Betreff:

Re: Angriffe auf deutsche mTAN-Banking-User

 ·  Gepostet: 07.04.2011 - 13:40 Uhr  ·  #11
Ich gehte auch von dem Ansatz aus den Raimund hat aber da bisher ja nicht genau geklärt war der Trojaner auf dem Kunden Handy anstellt. Ist alles nur Spekulation

Gruß
Michael
Gewählte Zitate für Mehrfachzitierung:   0