Neue Bertrugsmasche bei SMS Tan verfahren?

[joe.i.m]

Scheinbar gab es in den letzten Wochen ein Problem mit der Kombination SMS Tan Verfahren und Telekom Handy Vertrag. Wer also diese Kombi nutzt sollte wohl mal sein Konto im Auge behalten.
Quelle: SZ.de

Gruß joe

[caine2011]

vielen dank für die info

dann wissen wir ja gleich, wie das bei mcbrandy abgelaufen ist

ein glück, dass ich chipTAN nutze und damit hoffentlich auf der sicheren seite bin

[palefin]

hab ich eben auch im Radio gehört und sofort dran gedacht.
Ich war auch bisher immer skeptisch mit dem neumodischen Zeugs wie SMS TAN, weiß allerdings auch nicht, ob mein Tan Generator sicherer ist....

[joe.i.m]

Ich denke es gibt keine totale Sicherheit. Da hilft wohl nur, die Augen offen zu halten. Ich hab mir ne Bank mit HBCI gesucht und hoffe halt auch auf der sicheren Seite zu sein.

Gruß joe

[root2]

Wenn ich den Bericht richtig verstanden habe, geht die ganze Masche aber nur dann auf, wenn die "Gauner" Zugriff auf den PC bzw. die Logindaten zum eBanking haben und zusätzlich die Handynummer des Opfers.

Wenn das natürlich der Telekom schon reicht, um sich (als fingierter Mobilfunk-Shop) legitimieren zu können, dann hat man schlechte Karten... Zumindest diese Schwachstelle scheint die Telekom ja geschlossen zu haben. Bleibt zu hoffen, dass andere Mobilfunkanbieter nicht so laxe Legitimationsverfahren haben...

Ich verwende schon seit Jahren Flicker-TAN. Wenn man dabei stets die Originalrechnung bzw. Originaldaten mit denen im Display vergleicht, ehe man die Transaktion abschließt, ist das eine recht sichere Angelegenheit.

[Weyoun]

Mich würden mal die technischen Hintergründe interessieren. Damit solch ein Angriff klappt muss entweder
1) sowohl der PC (von dem Onlinebanking betrieben wird) als auch das Smartphone von Schadsoftware betroffen sein oder
2) der PC ist betroffen und die verwendete Handy-Nummer ist bekannt, sodass die Betrüger ohne Wissen des Kunden bei der Bank eine andere Handy-Nummer für SMS-TAN zuweisen konnten.

Anders kann ich mir das technisch nicht vorstellen.

[root2]

Mich würden mal die technischen Hintergründe interessieren. Damit solch ein Angriff klappt muss entweder
1) sowohl der PC (von dem Onlinebanking betrieben wird) als auch das Smartphone von Schadsoftware betroffen sein oder
2) der PC ist betroffen und die verwendete Handy-Nummer ist bekannt, sodass die Betrüger ohne Wissen des Kunden bei der Bank eine andere Handy-Nummer für SMS-TAN zuweisen konnten.

Anders kann ich mir das technisch nicht vorstellen.

Im Artikel steht zumindest dass der PC von Schadsoftware betroffen war und (wohl über die Logins zum eBanking) die Handynummer herausgefunden wurde.

Dann haben die Täter beim Mobilfunkanbieter unter Angabe der erbeuteten Daten und einer Verlustmeldung der bisherigen SIM-Karte eine Ersatz-SIM Karte aktiviert über die die Bankgeschäfte dann gelaufen sind.

Aber um ein infizieren des Geräts, das die Zugangsdaten für das eBanking hat, kommt man wohl bei dieser Art Betrug nicht herum.

[Feryl]

Kennt jemand die technische Funktionsweise bei der neuen PushTan Methode? Das würde mich mal interessieren, ich kann mir nicht vorstellen, dass das tatsächlich sicher ist wenn alles auf einem Gerät passiert.

[root2]

Kennt jemand die technische Funktionsweise bei der neuen PushTan Methode? Das würde mich mal interessieren, ich kann mir nicht vorstellen, dass das tatsächlich sicher ist wenn alles auf einem Gerät passiert.

PushTAN verwendet eine App, über die (wie bei einem Messenger) die Transaktionsdaten verschlüsselt von Bank zu Handy übertragen werden und ist somit zumindest sicherer gegen die Betrugsmasche via SIM-Karte.

Allerdings besteht immernoch das Risiko, dass ein Trojaner auf dem Gerät die Logindaten abgreifen oder Man-in-the-Middle Angriffe fahren könnte.

Wenn lediglich ein zweites Passwort (z. B. für die App) verwendet wird ist das keine "echte" Zwei-Faktor-Authentifizierung. Denn dazu gehört immer z. B. etwas "was ich besitze" (Flicker-TAN Gerät mit Bankkarte) und unabhängig davon etwas "was ich weiß" (z. B. ein Passwort, TAN, ...).

PushTAN wäre denn eher so etwas wie eine "Mittelbare 2FA", da ich das Handy ("was ich besitze") und ein Passwort ("was ich weiß") verwende - nur nicht physisch getrennt, sondern in einem Gerät.

[Weyoun]

Im Artikel steht zumindest dass der PC von Schadsoftware betroffen war und (wohl über die Logins zum eBanking) die Handynummer herausgefunden wurde.

Dann haben die Täter beim Mobilfunkanbieter unter Angabe der erbeuteten Daten und einer Verlustmeldung der bisherigen SIM-Karte eine Ersatz-SIM Karte aktiviert über die die Bankgeschäfte dann gelaufen sind.

Das würde ja aber heißen, die bisherige SIM-Karte wird dann vom Provider gesperrt, denn es können ja nicht zwei SIM-Karten mit der gleichen Rufnummer gleichzeitig aktiv sein. Und genau da muss man doch merken, wenn das Handy nicht mehr Zugang zum Mobilfunknetz hat!

Bisher kannte ich die Masche eher so, dass bei der Bank eine neue Handy-Nummer für SMS-TAN hinterlegt wurde und der Kunde das so eine ganze Weile lang nicht mitbekommen hat, wenn er nicht stetig seine Stammdaten überprüft.