Diskussionsforum
Menü

Kurzfassung


24.06.2019 21:04 - Gestartet von Oetker
Bösewichte können SMS im Mobilfunknetz abfangen. mTAN ist damit wertlos. Die Volksbanken wissen das und verwenden es trotzdem weiter. Die Schuld an dem dadurch entstanden Schaden haben aber auf jeden Fall irgendwie diese neuen Challenger-Banken. Glauben zumindest die Volksbanken. ;-)
Menü
[1] machtdochnichts antwortet auf Oetker
25.06.2019 11:34

einmal geändert am 25.06.2019 11:39
Das ist aber nur die Kurzfassung des mangelhaften Artikels!

Benutzer Oetker schrieb:
Bösewichte können SMS im Mobilfunknetz abfangen.

Ja. Das ist allerdings kein wirkliches Problem!

mTAN ist damit wertlos.

Das ist natürlich Quatsch.
Ich schenke dir mal eine meiner mTANs: 463895
Was kannst du damit anfangen?


Die Volksbanken wissen das .....

Was wissen die Volksbanken?
Sie wissen, daß das System mTAN sicher ist, und:
Sie wissen, dass manche ihrer Kunden einfach unfähig sind, Onlinebanking zu betreiben, es aber trotzdem machen!

und verwenden es trotzdem weiter.
Natürlich, warum auch nicht? Das System ist sicher aber die Kunden sind es nicht!

Die einzige Alternative ist nur unfähige Kunden vom Onlinebanking auszuschließen!

Wer seine Konto**zugangs**daten anderen übermittelt und Onlinebaknig auf unsicheren Geräten macht, muß ausgeschlossen werden!
Anders geht es nicht.

Die Schuld an dem dadurch entstanden Schaden haben aber auf jeden Fall irgendwie diese neuen Challenger-Banken. Glauben zumindest die Volksbanken. ;-)

Das glauben sie nicht - das sagen sie!
Sollen sie sagen: Manche Kunden sind einfach nicht in der Lage, Onlinegeschäfte durchzuführen. Für die wäre es besser, wenn sie weiterhin bar zahlen!?

MTAN ist absolut sicher, wenn man die mTAN an einem unabhängigen Gerät empfängt und das eigentliche Banking an einem anderen Gerät macht ***und***

die Bankzugangsdaten niemandem mitteilt!

_________
Nachtrag: Beim Abschluß eines Onlinekontos wird man zigmal belehrt, dass die Zugangsdaten geheimzuhalten sind.

Das unterschreibt jeder Kunde mehrfach!

Nur mit der mTAN alleine kann man *nichts* anfangen!

Die Betrüger müssen also auch die Zugangsdaten vom Bankkunden bekommen haben. DAS ist das Problem! Das alleine!

Wenn die mTAN "abgefangen" wird, hat man trotzdem keinen Zugriff auf die Zugangsdaten. Das sind zwei verschiedene Dinge!

Man muß eben beim Onlinebanking seinen Kopf einschalten und auch dazu in der Lage sein! Dann ist es sicher, auch mit mTAN!
Menü
[1.1] Oetker antwortet auf machtdochnichts
25.06.2019 11:39
Benutzer machtdochnichts schrieb:
Das ist aber nur die Kurzfassung des mangelhaften Artikels!

Benutzer Oetker schrieb:
Bösewichte können SMS im Mobilfunknetz abfangen.

Ja. Das ist allerdings kein wirkliches Problem!

mTAN ist damit wertlos.

Das ist natürlich Quatsch

Sehe ich nicht so. Die TAN dient ja als zusätzliche Sicherheit, falls jemand unbefugtes im Besitz der Zugangsdaten ist. Diese Funktion kann mTAN nicht mehr erfüllen. Wenn die Bankzugangsdaten an sich schon so sicher wären, bräuchte man ja überhaupt keine TANs mehr.
Menü
[1.1.1] machtdochnichts antwortet auf Oetker
25.06.2019 12:01
Benutzer Oetker schrieb:
Sehe ich nicht so.
Das ist dein/Ihr gutes Recht!

Die TAN dient ja als zusätzliche Sicherheit,falls jemand unbefugtes im Besitz der Zugangsdaten ist.

Hier ist leider der Fehler!
Eine TAN ist ein "zusätzlicher" Schutz ja.

Aber gegen Dummheit (entschuldige bitte, aber jetzt muß ich es mal so deutlich schreiben) schützt auch ein zusätzlicher Schutz nichts!

Was nützt ein Feuerlöscher, wenn ich im Wohnzimmer ein offenes Feuer entfache?

Beliebt sind ja auch Autovergleiche:
Wenn ich mit selbst zerstörten Bremsen (Zugangsdaten) fahre, nützt auch ein Sicherheitsgurt (TAN) nichts!

Diese Funktion kann mTAN nicht mehr erfüllen.

Natürlich kann sie das.
Onlinebanking wird auf einem Gerät gemacht. Die Zugangsdaten kennt nur der Kunde und die Bank. Niemand anderes.

Die TAN (hier mTAN) kommt auf einem völlig anderen Gerät an! Das ist nur eine Ziffernkombination, mit der man absolut nichts anfangen kann.
Die mTAN ist beispielsweise 458123.

Was will man damit machen, man kennt weder die Kontonummer, noch die Zugangsdaten zur Bank.

Wenn die Bankzugangsdaten an sich schon so sicher wären, bräuchte man ja überhaupt keine TANs mehr.

Man bräuchte auch keine Feuerlöscher oder Sicherheitsgurte, wenn der Mensch genügend natürliche Intelligenz hätte.

Aber leider wird heute suggeriert, dass jeder Onlinebanking machen kann, unabhängig von seinem Kenntnisstand. Es ist ja sooooo kinderleicht. Einfach Wisch und Klick......



PS:
Achtung: Ich halte mich nicht für intelligenter als andere Menschen!!!!
Aber ich mache nur Dinge, von denen ich etwas verstehe.
Am Stromnetz oder an der Gasleitung würde ich auch nicht "rumbasteln", weil ich davon keine Ahnung habe. Auch an die Sicherheitssysteme meines Autos lasse ich nur Fachleute und fummle nicht selber dran rum.

Und auch für Onlinebanking braucht man ein gewisses Grundwissen und Verantwortungsgefühl. Beides fehlt leider oft, sonst hätten es Betrüger nicht so leicht.
Menü
[1.1.1.1] Oetker antwortet auf machtdochnichts
25.06.2019 12:18
Sicher gibt es auch einige Nutzer, die leichtfertig mit ihren Zugangsdaten umgehen. Da fehlt mir dann ehrlich gesagt auch das Mitleid, wenn diese zum Opfer werden. Der Großteil der Zugangsdaten wird aber durch sehr gut gemachte Software erbeutet, die in der Regel Windows PCs oder Smartphones befällt. Ein 100%iger Schutz davor ist nicht möglich, wenn man Windows benutzt. Man kann das Risiko lediglich gering halten. So ziemlich jeder kann da also zum Opfer werden. Die Software meldet erbeutete Zugangsdaten an an die Bösewichte weiter. Wenn jetzt beispielsweise ein DKB Kunde darunter ist, könnten die Betrüger zwar den Kontostand einsehen, aber keine Überweisungen ausführen. Die DKB verwendet nämlich ausschließlich ChipTAN oder PushTAN. Beides sehr sichere Verfahren. Damit sind die erbeuteten Daten für die Betrüger erst mal uninteressant. Wenn nun die Zugangsdaten eines Volksbank Kunden übermittelt werden, wird es für die Betrüger interessant. Denn die Volksbank verwendet mTAN, und mTANs kann man im Mobilfunknetz abfangen und damit Überweisungen tätigen. Und genau das passiert dann auch. Man muss also jederzeit damit rechnen, dass trotz aller eigenen Bemühungen die eigenen Zugangsdaten erbeutet werden. Und dann zählt nur noch, ab man ein sicheres TAN Verfahren verwendet. Und mTAN gehört eben nicht dazu.
Menü
[1.1.1.1.1] machtdochnichts antwortet auf Oetker
25.06.2019 12:53

einmal geändert am 25.06.2019 12:54
Benutzer Oetker schrieb:
Ein 100%iger Schutz davor ist nicht möglich, wenn man Windows benutzt.

;-) Ich benutze kein Windows. :-))))))))

Man kann das Risiko lediglich gering halten.

Aber auch bei einem Windowsystem, kann man einigermaßen beeinflussen, WAS man sich installiert und WOHER das installierte kommt.

Und man muß auch nicht jedes Programm ausführen, dass man per eMail bekommt. Allerdings sind wir hier wieder beim Thema "Grundkenntnisse" der Computerei.
Ein wenig sollte man schon wissen, was man macht.

Wenn jetzt beispielsweise ein DKB Kunde darunter ist, könnten die Betrüger zwar den Kontostand einsehen, aber keine Überweisungen ausführen.

So wie bei mir auch.

Die DKB verwendet nämlich ausschließlich ChipTAN oder PushTAN.

Und eine meiner Banken versendet noch mTAN.

Beides sehr sichere Verfahren.

Ähnlich sicher wie mTAN.

Damit sind die erbeuteten Daten für die Betrüger erst mal uninteressant.

So bei mir auch. Man könnte den Kontostand und die Umsätze sehen, aber nichts überweisen.
Zusätzlich sehe ich in meinem Bankingprogramm die letzten Zugriffe. Wenn ich das nicht war, ändere ich sofort mein Zugangskennwort. Das ist aber noch nie vorgekommen.

Wenn nun die Zugangsdaten eines Volksbank Kunden übermittelt werden, wird es für die Betrüger interessant. Denn die Volksbank verwendet mTAN, und mTANs kann man im Mobilfunknetz abfangen und damit Überweisungen tätigen.

Wie das?
In der abgefangenen mTAN steht doch nur 879158.
Dem Mobilfunknetz ist weder die Überweisung selber, noch Kontonummer noch Zugangsdaten bekannt.
Die "abgefangene" mTAN ist nur: 879158. Nichts weiter.

Und genau das passiert dann auch.

Dann müssen doch aber die TAN auf dem Smartphone und die Kontozugangsdaten auf dem PC (Laptop/Tablet/anders Smartphone) irgendwie zusammengeführt werden.

Wie soll das gehen. Es sind zwei voneinander unabhängige Geräte.
Selbst wenn der Windows-PC bereits angegriffen ist, weiß er nicht, was auf dem Telefon passiert. Die sind doch nicht miteinander verbunden.

Man muss also jederzeit damit rechnen, dass trotz aller eigenen Bemühungen die eigenen Zugangsdaten erbeutet werden.

Trotz aller eigenen Bemühungen?
DAS stimmt nicht. Man muß halt zwei Geräte verwenden.

Und dann zählt nur noch, ab man ein sicheres TAN Verfahren verwendet. Und mTAN gehört eben nicht dazu.

Es gibt ***kein*** sicheres TAN-Verfahren.
***ALLE*** TAN-Verfahren sind unsicher, wenn sie auf dem selben Gerät genutzt werden, dass auch die Zugangsdaten zum Konto bekommt. Alle!

Natürlich gibt es sicherere und unsicherere Verfahren. ;-)
Aber sichere gibt es nicht.

Nur 2 Faktoren (Geräte!) sind sicher!


Wer so leichtsinnig, oder von mir aus auch mutig, ist, alles auf dem Smartphone machen zu wollen....bitte!
Der muß aber auch mit dem Risiko leben.
Menü
[1.1.1.1.1.1] Oetker antwortet auf machtdochnichts
25.06.2019 13:26
Benutzer machtdochnichts schrieb:
Benutzer Oetker schrieb:
>
Und eine meiner Banken versendet noch mTAN.

Das ist schlecht.

Beides sehr sichere Verfahren.

Ähnlich sicher wie mTAN.

Nein, da mTAN keine Sicherheit mehr bietet.


Wenn nun die Zugangsdaten eines Volksbank Kunden übermittelt werden,
wird es für die Betrüger interessant. Denn die Volksbank verwendet mTAN, und mTANs kann man im Mobilfunknetz abfangen und damit Überweisungen tätigen.

Wie das?

Etwas vereinfacht:
Der Betrüger hat bereits die Banking Zugangsdaten erbeutet und startet damit eine Überweisung. Über eine nicht ausreichend gesicherte Verbindung in ein ausländisches Mobilfunknetz meldet der Betrüger an das Netz, dass die SIM Karte des Banking Kunden nun im Ausland sei. Dazu braucht er nur die Telefonnummer. Die Karte ist natürlich nicht wirklich dort, aber das Netz meldet einen Roaming Teilnehmer an das deutsche Netz und SMS und Anrufe werden ab sofort in das ausländische Netz umgeleitet. Das eigentliche Handy des Kunden in Deutschland bekommt nun keine SMS oder Anrufe mehr. Je nach Netz wird die Karte sogar abgemeldet. Der Betrüger bestätigt die Überweisung, die mTAN wird an die hinterlegte Nummer verschickt, landet aber wegen Roaming im Ausland. Der Betrüger ruft die SMS aus dem ausländischen Netz ab und bestätigt mit der mTAN die Überweisung im Onlinebanking. Ist tatsächlich gängige Praxis heute. Teilweise besorgen sich die Betrüger auch Ersatz-SIM Karten und aktivieren sie direkt in Deutschland auf die Nummer des Opfers, aber der direkte Zugriff auf ein Netz ist wahrscheinlich der bequemere Weg und funktioniert von überall.


Dann müssen doch aber die TAN auf dem Smartphone und die Kontozugangsdaten auf dem PC (Laptop/Tablet/anders Smartphone) irgendwie zusammengeführt werden.

Die TAN kommt nie beim Kunden an.

Wie soll das gehen. Es sind zwei voneinander unabhängige Geräte.
Selbst wenn der Windows-PC bereits angegriffen ist, weiß er nicht, was auf dem Telefon passiert. Die sind doch nicht miteinander verbunden.

Wie gesagt, das Telefon des Kunden ist gar nicht involviert. Das ist ja gerade die Schwäche von mTAN. Mit ChipTAN oder pushTAN wäre dieser Angriff nicht möglich.


Man muss also jederzeit damit rechnen, dass trotz aller eigenen Bemühungen die eigenen Zugangsdaten erbeutet werden.

Trotz aller eigenen Bemühungen?
DAS stimmt nicht. Man muß halt zwei Geräte verwenden.

Das nützt dir bei mTAN nichts, da die Betrüger die SMS vorher abfangen.


Wer so leichtsinnig, oder von mir aus auch mutig, ist, alles auf dem Smartphone machen zu wollen....bitte!
Der muß aber auch mit dem Risiko leben.

Das ist noch ein anderes Thema. Ich halte das unter Umständen für durchaus vertretbar. Meistens ist es das aber nicht. Empfehlen würde ich es auch nicht.
Menü
[1.1.1.1.1.1.1] machtdochnichts antwortet auf Oetker
25.06.2019 14:12
Benutzer Oetker schrieb:


AH, jetzt erinnere ich mich.
Du meinst die SS7-Lücke im Mobilfunknetz aus dem Jahr 2017?

https://www.teltarif.de/o2-umts-hacker-...

Ist das noch immer möglich?
Es ist sehr still darum geworden. Ist dieses Problem nicht schon lange repariert? Ich glaube mich schwach erinnern zu können, dass Deutsche Netzbetreiber nicht (mehr) betroffen sind.

Aber okay, hier hast du absolut recht. Das ist eine Lücke.


Der Betrüger hat bereits die Banking Zugangsdaten erbeutet und startet damit eine Überweisung.

Darauf wollte ich von Anfang an hinaus.
Mit ein wenig Grundkenntnissen in der Computerei und etwas gesundem Menschenverstand sollte gerade das leicht zu verhindern sein.

Ohne überheblich klingen zu wollen: Aber genau das passiert mir nicht!
Meine Zugangsdaten "erbeutet" keiner. Definitiv nicht!

Ich nutze ein aktuelles Betriebssystem mit tagaktuellen Sicherheitsupdates, benutze keine dubiosen Softwarequellen, arbeite nicht als Administrator am Rechner, installiere keine Programme die sich zur Installation selber anbieten, mein Mailprogramm führt keine Skripte selbstständig aus..........

Also, meine Zugangsdaten bekommt keiner. Da bin ich mir wirklich sehr sicher.


Das eigentliche Handy des Kunden in Deutschland bekommt nun keine SMS oder Anrufe mehr.

Aber das sollte man eigentlich dann auch merken. Heute glotzt ja fast jeder alle 10 Minuten aufs Handy.......

Aber okay, hier gebe ich mich geschlagen. ;-))))))))

Soll die SS7-Lücke wirklich noch nicht geschlossen sein? Man hört ja überhaupt nichts mehr darüber.

Menü
[1.1.1.1.1.1.1.1] nurmalso antwortet auf machtdochnichts
25.06.2019 15:18

einmal geändert am 25.06.2019 15:19
Letztlich will ich natürlich auch nicht, dass Betrüger auch nur Einblick in mein Konto haben. Daher sollte die PIN oder das Passwort fürs Online-Banking geheim bleiben und ggf. geändert werden.
Was alles auf einem Gerät angeht: Die Postbank verwendet ja jetzt das mTAN verfahren neuerdings nicht mehr. Mit dem BestSign Verfahren wird die TAN per Fingerabdruck abgerufen. Passiert die Überweisung auf dem selben Gerät, muss die TAN nicht mal mehr eingegeben werden. Mit Fingerabdruck sollte es sicher sein, ausser jemand wendet physische Gewalt an.
Menü
[1.1.1.1.1.1.1.2] helmut-wk antwortet auf machtdochnichts
03.07.2019 15:55
Benutzer machtdochnichts schrieb:
Ich nutze ein aktuelles Betriebssystem mit tagaktuellen Sicherheitsupdates, benutze keine dubiosen Softwarequellen, arbeite nicht als Administrator am Rechner, installiere keine Programme die sich zur Installation selber anbieten, mein Mailprogramm führt keine Skripte selbstständig aus..........

Wenn jetzt jemand die Einträge der Adressen, von denen Updates bezogen wurden, ändern kann, hilft das nicht viel.

Und wirklich _n_i_e_ als Admin am Rechner? Also nie die Möglichkeit, mal zu überprüfen, ob _wirklich_ alles in Ordnung ist ...

Also, meine Zugangsdaten bekommt keiner. Da bin ich mir wirklich sehr sicher.

100%-ige Sicherheit gibt es nicht, auch nicht mit dem besten Betriebssystem. Ist ja nicht so lange her, dass mit spectre und meltdown zwei Hardware-basierte Lücken entdeckt wurden, die erst durch Optimierungen in _allen_ Betriebssystemen gefährlich wurden (nutze selber Linux und weiß, das das auch betroffen war). Dass gegenwärtig keine Probleme bekannt sind, heißt nicht, dass es sie nicht gibt.

Ich kann nur deshalb sagen, dass mein online-Banking nicht angreifbar ist, weil ich es nicht nutze. Und solange niemand so viel "Identität" von mir stiehlt, dass er bei meiner Bank online-banking für mein Konto beantragen kann, wird das auch so bleiben.

Außerdem:

Hier in der Diskussion kam eine Frage gar nicht auf: Wie sicher ist mTAN, wenn die an das das Gerät geschickt wird, von der das Online-Banking gestartet wird? Das dürfte eine relativ häufige Quelle für kompromittiertes Online-Banking sein (auch wenn ihr beide so was natürlich nie macht).