Bank-Konten von Android-Nutzern leergeräumt

Die Berliner Polizei hat heute vor einer Welle von betrügerischen Geldabbuchungen gewarnt, von denen Online-Banking-Nutzer betroffen sind, die das weit verbreitete SMS-TAN- beziehungsweise mTAN-Verfahren verwenden. mehr... Internet, Hacker, Laptop, Illegal Bildquelle: wellnews.ru Internet, Hacker, Laptop, Illegal Internet, Hacker, Laptop, Illegal wellnews.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Für den, der auf so einen Trojanermist reinfällt, ist auch kein normales Onlinebanking sicher...
 
@cyberathlete: ich kenne persönlich ein Mädl, das an sich ziemlich clever ist, aber einmal 100 TANs in ein Formular eingegeben hat. Dagegen wirkt diese Fall ja echt noch recht seriös. Ich denk, dass viele Leute einfach sehr gutgläubig sind und leichte Opfer darstellen.
 
@elbosso: 100 TANs? eine ganze Liste? 1 TAN hat man doch schon für die Aktivierung verbraucht?!
 
@elbosso: geil, wie lange hat die den für die Überweisung gebraucht xD
 
@elbosso: ...es ist ein Mythos, daß überhaupt ein Mensch in jedem Moment und Bereich seines Lebens clever ist. Genau diese Annahme bei sich selbst führt dazu, daß man sich für unüberlistbar hält und aufhört, zu denken. Aber überhaupt: Nur in einer global chancengleichen Gesellschaft gäbe es keine Kriminalität - und davon ist sogar Deutschland weit entfernt.
 
@peenemund: eine global chancengleiche Gesellschaft ist ein Widerspruch in sich und ist schlicht unmöglich. Aber selbst wenn diese möglich wäre, woher nimmst du die Gewissheit dass es keine Kriminalität gäbe? Kriminell ist per Definition, wer gegen geltendes Recht verstößt = was kriminell ist, bestimmt immer der aktuelle Stand der Gesetze. Diese werden schon alleine millionenfach durch den Spaß am Regelbruch und durch Unkenntnis gebrochen. Der Millionär, der im Laden klaut, ist da imho ein gutes Beispiel. Kriminalität wird es immer geben.
 
die werden ja immer raffinierter^^ Abgesehen davon, dass ich auf den Trick eh nicht reingefallen wäre, hätte mich das eh nicht tangiert, da 1. PC gut geschützt 2. kein Android und 3. kein dämliches SMS-Tan-Verfahren^^
 
@bLu3t0oth: So .. an was sind deine tans denn gekoppelt? ein nerviges geraet was man zusaetzlich rumschleppen muss? android wurde glaub ich auch nur genannt weil die mehrzahl der user android haben und nicht weil hier die schwachstelle ist.
 
@-adrian-: Mit rumschleppen? Ich mache meine Überweisungen zuhause. Wenn ich im Urlaub bin, bleibt eine Rechnung eben auch mal 2 Wochen unbezahlt. War doch früher nicht anders. Mir müsste ein Ei fehlen, von irgendwo anders als von meinem nach meinem Wissen und Gutdünken sicheren PC mit meiner Karte und meinem TAN-Generator Überweisungen zu machen.
 
@Knarzi: Hmm. Also ich mach meine Bankgeschaefte wo ich gerade bin und sie brauche. Aber ist okay. Manche leute wollen auch nen Tablet um im wohnzimmer zu hocken dann versteh ich auch wenn man online banking nur von zuhause macht
 
@-adrian-: der grundlegende Gedanke von Online Banking ist Banking zuhause zu betreiben. Mobiles Banking ist halt die neue Modeerscheinung weil man ja noch schneller sein muss (für was ? die welt hat wohl keine Zeit mehr) und da sieht man die Rechnung die man dafür bekommt jeder Modeerscheinung hinterher zu jagen.
 
@Nobodyisthebest: Noe mobiles banking kommt daher dass die rechner nicht mehr im buero sthen sondern du sie ueberall mit hast... Ist schoen wenn du dein schreibtisch hast und dort alles lagern willst - ich wills nicht
 
@-adrian-: Und wenn ich nen Laptop hab kann ich den Tan generator auch in dessen Tasche stopfen wenn ich en Smartphone hab passt das Teil in die Hose. Oder bist noch nicht Freund der Herrenhandtasche ;) Wenn ich mich auf so ne Technik verlasse muss man sich eben nicht wundern wenn man ab und an mal verlassen wird.
 
@Nobodyisthebest: cool. dann soll ich so nen rotz in der tasche mitfuehren? nimmste es dann immer mit oder nur wenn du weisst du brauchst es vllt... und ich dep schau immer dass ich so wenig wie moeglich in meiner hosentasche habe.. sogar beim geldbeutel wird auf muenzgeld verzichtet
 
@-adrian-: Versuche doch einfach mal auf einem iOS-Device (ohne Jailbreak) irgendwas zu installieren, was nicht von Apple kommt. Android steht nicht grundlos in der News. EDIT: beim Rest gehe ich mit Knarzi konform.
 
@CoF-666: Bei Android geht das per Default auch nicht. Da musst du schon die Installation aus "unsicheren" Quellen zulassen.
 
@heidenf: Und wie stehts da mit dem Aufwand und der praktischen Durchführung a) beim iPhone-Jailbreak und b) beim Zulassen von unsicheren Installationsquellen? Man hat ja schnell mal auf "Zulassen" geklickt oder einen Schalter in den Einstellungen umgelegt, aber einen Jailbreak machen ist nicht so easy.
 
@DennisMoore: Wenn der Benutzer wie ein Lemming alles macht, was in irgendeiner Email steht oder was ihm irgendein Trojaner befiehlt, dann gibt es KEIN System, was sicher ist.
 
@heidenf: Schöne Einsicht. Würde mir wünschen dass das noch viel mehr Leute so sehen würden.
 
@-adrian-: naja wenn bei dir überweisungen von überall aus wichtiger sind als sicherheit... außerdem kosten die sms auch laufend geld. der tan-generator (10€) rentiert sich dagegen schon nach kurzer zeit und ist nicht größer als ein kleiner taschenrechner.
 
@Lindheimer: SMS für TANs kosten Geld? Aha. Deshalb zahle ich immer 0,00€ pro Überweisung an die Sparkasse. Hab mich schon gewundert. @CoF-666: Versuche mal bei Android ohne Änderung der Sicherheitseinstellungen etwas zu installieren, was nicht aus dem PlayStore kommt.
 
@DPX: komisch aber bei meiner sparkasse kostet jede sms/tan geld.
 
@Lindheimer: Ah ok. Sehs grade: http://goo.gl/RXsRp
Erste drei Treffer: Hannover-> kostenlos, Berlin->kostenlos, Gelsenkirchen->"4 SMS pro Monat sind kostenlos, ab der 5. SMS im Monat berechnen wir 0,10 Euro je SMS". Ist also tatsächlich von Sparkasse zu Sparkasse unterschiedlich.
 
@DPX: spk oberhessen: jede versendetete sms kostet 0,12 euro
 
@Lindheimer: Bei meiner Bank (nicht Sparkasse) ist die mTAN per SMS auch kostenlos.
 
@bLu3t0oth: Das sagen alle und dennoch erwischt es immer wieder mal welche die hereinfallen auf Tricks. Und wer behauptet sowas kann ihm nie passieren, leidet vielleicht unter Selbstüberschätzung! Ich verwende zur Sicherheit Karte mit Chip und Kartenleser und einer reinen Bankensoftware. Vielleicht sollte man auch überlegen, für das Handy eine Schutzsoftware zu installieren, die Anti-Virus, Anti-Theft (Diebstahlschutz) und Firewall Programme für Handys enthalten.
 
Hat das Problem jetzt primär mit Android zu tun oder doch eher primär mit dem Unsicheren TAN-Übermittlungsverfahren per SMS? Die Überschrift sagt eines, der Text lässt anderes vermuten. EDIT: Ah, jetzt hab ich es kapiert. Die Schadsoftware installiert sich auf dem Smartphone und nicht auf dem PC.
 
@DennisMoore: Nein, der PC muss auch verseucht sein. Und nebenbei installiert sich die Schadsoftware nicht auf dem Smartphone, sondern wird vom fahrlässigen User installiert.
 
@ouzo: Es ist fast immer das Ziel von Angriffen den User dazu zu bringen eine Software zu installieren die vermeintlich sicher und notwendig, aber in wirklichkeit eine Schadkomponente ist. Wenns wirklich gut gemacht ist, kann man dem User kaum einen Vorwurf machen.
 
@DennisMoore: Ich hab nur deine Aussage richtiggestellt.
 
@ouzo: Und ich deine, dass der User zwangsweise fahrlässig gehandelt hat. Bei gut gemachten Angriffen kann man irgendwann nicht mehr von Fahrlässigkeit sprechen. Windowsuser wissen das schon lange und sind größtenteils dafür sensibilisiert. Wird bei Androidusern durch sowas sicherlich auch einsetzen.
 
@DennisMoore: Aber er HAT ZWANGSWEISE FAHRLÄSSIG gehandelt, indem er explizit zugestimmt hat unsichere Quellen für die Installation von Software zuzulassen. Und somit trägt er die Verantwortung für diese Schäden. Das hat auch nichts mit einem anderen Smartphone-System zu tun wie du es mit iOS meinst.
 
@ouzo: Du scheinst nicht besonders viel Ahnung von diesen Social-Engineering Tricks und der Situation des einfachen Users zu haben. Es ist sehr einfach in die Meldung zu dem vermeintlichen Sicherheitsupdate eine plausible Erklärung dafür einzubauen weswegen man die Installation aus einer unsicheren Quelle erlauben soll. Man müsste die Routine mal zu Gesicht bekommen um den Grad der Fahrlässigkeit zu ermitteln.
 
@DennisMoore: Wenn er von was auch immer wie auch immer überredet wurde das durchzuführen, dann kann er auch überredet werden sein iPhone zu jailbreaken. Ist ja genauso plausibel zu erklären.
 
@ouzo: Jjja... Sicherlich ^^ "Um Ihre Bankgeschäfte weiterhin mobil erledigen zu können, manipulieren Sie bitte die Firmware ihres Smartphones" ;)
 
@DennisMoore: "Um Ihre Bankgeschäfte weiterhin mobil erledigen zu können aktivieren Sie bitte die Installation von Software aus unsicheren Quellen und übernehmen Sie damit die Verantwortung bei Schäden an Ihrem Telefon oder persönlichen Daten."
 
@ouzo: Ist das ne offizielle Nachfrage oder selbst ausgedacht? Falls sich das auf den iPhone User beziehen soll, würde ich mich erstmal fragen wie ich überhaupt die Installation aus unsicheren Quellen aktivieren soll. Wenn ich es nicht in Erfahrung bringen kann würde ich wohl bei meiner Bank anrufen und um eine Erläuterung bitten. Bei Windows Phone müsste man wohl folgendes schreiben: "Um Ihre Bankgeschäfte weiterhin mobil erledigen zu können installieren Sie bitte das Entwicklerzetifikat von Microsoft. Dann kaufen Sie bitte Chevron Unlock und führen Sie es aus. Dann installieren Sie bitte WP7RootTools und machen Sie einen Full Unlock. Anschließend laden Sie bitte die Banking-App (http://www...de/Banking.xap herunter und installieren Sie sie über das Application Deployment, welches Sie im Windows Phone SDK finden. Anschließend gewähren Sie der Bankinganwendung bitte vollen Systemzugriff. Danke für Ihr Versändnis" ... Auch nicht wirklich praktikabel, und ich habe so die Befürchtung dass ich bei der Anleitung noch einen Schritt vergessen habe. Ach ja, das Runterladen und Installieren des SDKs. Ist aber nur 1 GB oder so.
 
@DennisMoore: Das ist eine ausgedachte Nachfrage wie deine, nur dass meine sogar noch Formulierungen enthält, die der User bei Android bestätigen muss. Es bezieht sich auf die Android-User, weil du mit deinem Text versucht hast es für iOS schönzureden.
 
@ouzo: Wenn die Abfrage 1:1 so in Android auftauchen würde, wäre es in der Tat Fahrlässigkeit.
 
@DennisMoore: Ich hab dir den Text schon beim letzten Mal abgeschrieben als du mit OttoNormalUser darüber gesprochen hast.
 
@ouzo: Hä?
 
@ouzo: Hab da gar nicht mehr reingeguckt und den Post auch nicht gelesen. Die Frage ist für mich jetzt nur noch ob das eine generelle Option ist wo man nur einmal drauf hingewiesen wird oder ob die Frage immer dann kommt wenn man eine Software aus einer fremden Quelle installieren möchte. Würde für mich auch nochmal einen Unterschied machen.
 
@DennisMoore: Das ist eine Systemeinstellung, die einmal gesetzt wird (aber bei jeder Änderung der Einstellung wird die Meldung angezeigt). Das jedes Mal bei einer Installation aktivieren zu müssen wäre genauso kontraproduktiv wie die UAC-Meldungen wie bei Windows.
 
@DennisMoore: Schau mal in den Nutzungsbedingungen und Anleitungen für SMSTAN verfahren. Dort wird Explizit drauf hingewiesen keine Daten wie Handynummer oder ähnliches weiterzugeben. Es wird ebenfalls angegeben das das Kreditinstitut NIE nach dieses Daten per Mail oder per HTTP aufruft. Ja ich finde das Grob Fahrlässig von den Betroffenen. Wenn Sie Glück haben reagiert die Bank auf Kulanz, anrecht hätten sie aber nicht darauf.
 
@ouzo: Kontraproduktiv? Sag doch direkt unerträglich nervig ^^ Es hätte aber immerhin den Vorteil dass dem User die potentielle Gefahr der er sich durch das Installieren einer solchen Anwendung aussetzt nochmal in Erinnerung gerufen wird. "Set it and forget it" ist immer noch weit verbreitet.
 
@DennisMoore: Ja, kontraproduktiv WEIL nervig. Der User liest eben nicht mehr genau was in der Meldung steht, sondern tut alles damit sie ihn möglichst wenig nervt. Also klickt er sie stumpf weg und denkt nicht über den Inhalt oder die Folgen nach.
 
@ouzo: Genau wie beim einmaligen Setzen einer Erlaubnis zur Ausführung von Fremdquellensoftware. Darum meine ich auch dass sehr viele User mit einem eingeschränkteren Smartphonesystem besser bedient wären.
 
@DennisMoore: In Android 4.2 sieht es nun so aus: http://stadt-bremerhaven.de/wp-content/uploads/2012/11/SNP_2812855_en_v0-480x800.png
 
@DennisMoore: Hab ich mich auch gerade gefragt. Das SMS-Verfahren halte ich per se nicht für unsicher. Und meine Bank frägt bestimmt nicht nach der Handynummer (die hat sie ja ohnehin), dem Handymodel (was geht die das an?) und Sicherheitsupdates, nun die hat man oder eben nîcht ^^
 
@DennisMoore: Falsch - der Nutzer hat es geschafft, sich SELBST einen Virus auf dem PC und dann noch dazu einen Virus auf dem Handy zu installieren (wo er vorher explizit "unsichere Quellen" zulassen muss)
Also wer darauf reinfällt, hätte sicher auch bei einem Telefonanruf die TANs hergegeben!
 
@pbaumi: Darum sollte ein Normaluser auch besser ein Smartphone-System benutzen wo man unischere Quellen von vornherein gar nicht zulassen kann oder nur mit großen Verrenkungen die sich ein Normaluser selbst nicht zutraut.
 
@DennisMoore: also unter ios kannst du dir keine Schadsoftware installieren außer mit JB
 
@fraaay: Unter Android auch nicht, wenn du das nicht explizit ausschaltest und dem Tragen der Verantwortung für Schäden zustimmst.
 
Der Nutzer hat also ein verseuchtes Windows, handelt fahrlässig und schaltet aktiv Sicherheitsmechanismen auf dem Telefon aus, installiert fremde Software auf dem Telefon und am Ende macht ihr daraus eine Überschrift in der Android als Problem dargestellt wird? Respekt.
 
@ouzo: Dachte ich auch erst, aber die Schadsoftware befällt das Smartphone.
 
@DennisMoore: Ohne die Kontoverbindung vom verseuchten Windows wäre das nichtmal ein Problem.
 
@ouzo: Ohne kompromittiertes Hostsystem würde der Angriff einfach abgewandelt. Ich glaube nicht dass dieser Angriff genau so und keinesfalls irgendwie anders funktionieren würde.
 
@DennisMoore: Dann brauchst du immernoch die Bankdaten.
 
@ouzo: Wer sich so eine clevere Angriffsstrategie über 2 Systeme ausdenkt, der wird es sicherlich auch schaffen dass der User seine Bankdaken nochmal eingibt. Alles eine Frage der Strategie. Siehe [10][re:6]. Würde eine andere Angriffsstrategie mehr Sinn machen, würde man die auch verfolgen. Da hab ich keinen Zweifel.
 
Haben da nicht vor einigen Tagen verdammt viele behauptet, dass würde eh nicht funktionieren?
 
@Knarzi: Ja, alles Leute mit IT-Studium und löffelweise gefutterter Weisheit ;)
 
@DennisMoore: Ja, einer von denen hat mir letztens auch im Heise-Forum erzählt, dass der gemeine User selbst schuld hat, wenn er die USSD-Lücke nicht dicht macht. Ist doch so einfach. So langsam rüttelt es am Android-Kartenhaus.
 
@Knarzi: Naja, muss am Ende halt jeder selbst wissen was er tut. Ich selbst traue weder Google wegen des Geschäftsmodells noch Android wegen der Systemarchitektur. Wichtige Dinge wie Bankgeschäfte wickel ich nur über wirklich vertrauenswürdige und geprüfte Software ab. Wer meint dass seine Bankgeschäfte und Kontodaten auf Smartphones gut aufgehoben sind, der muss sich im Zweifel halt eines besseren belehren lassen. Dabei haben meiner Meinung nach aber auch der Smartphone- und Apphersteller jeweils einen großen Teil der Schuld zu tragen. Sie ermutigen den User ja mit Worten wie "sicher" und "problemlos" und "einfach" dazu sowas zu verwenden.
 
@DennisMoore: Vertrauenswürdige und geprüfte Software im Bankenbereich? Wo soll es das geben? Die Unsicherheit fängt doch schon in den Banken an, die lassen da doch die Seuche auf ihren Kisten laufen. Machen wir uns nichts vor, das bargeldlose zahlen erzeugt den Anschein der Bequemlichkeit, ist aber unsicher. Dabei lassen sich Überweisungen noch einfach per Papier erledigen, dauert ein paar Tage länger, aber so eilig ist es nicht. Anders hingegen das bargeldlose zahlen in Geschäften, kaum noch vermeidbar, sind die Kunden dort ausgeliefert. Den Vogel schießen die Geräte bei Ikea und Bauhaus ab, die Unterschriften abgreifen und ins Netz einspeisen. Hier rechts im Bild zu sehen: http://is.gd/MQOdRt Bin gespannt, wann mit solch kopierten Unterschriften Schindluder getrieben wird.
 
@DennisMoore: "Wer meint dass seine Bankgeschäfte und Kontodaten auf Smartphones gut aufgehoben sind, der muss sich im Zweifel halt eines besseren belehren lassen. " Nochmal, du sollst kein MobileBanking vom Phone aus machen, dafür ist das System auch nie gedacht gewesen und jedes Kreditinstitut warnt dich explizit dies zu tun.
 
@Feuerpferd: Es gibt Software die von Banken selbst kommt und es gibt welche von externen Entwicklern die von Banken zugelassen sind. Man kann sich bei Problemen und Streitigkeiten auch darauf berufen dass man ja freigegebene Software einsetzt. Hab ich sogar schonmal gemacht und der Bankberater war ganz schnell ganz ruhig ;) Das blödeste was man machen kann ist wohl den Webbrowser für Onlinebanking zu verwenden. Und da ist es egal welchen. Ich versuche mit meiner Strategie das Risiko so weit wie möglich zu minimieren, denn mir ist der Komfort und die Bequemlichkeit ehrlich gesagt zu angenehm geworden um darauf zu verzichten.
 
@ThreeM: So? Meine Bank empfiehlt mir die hauseigene App dafür auf dem Mobiltelefon zu nutzen. StarMoney Mobile ist aber auch gut, sagen sie. Damit soll mobiles Onlinebanking sehr sicher sein. Im Schadensfall müsste man allerdings genau prüfen warum und wieso etwas schiefgegangen ist. Man kann nicht generell sagen das ich abgesichert wäre ;)
 
@DennisMoore: Deine Bank wird dir aber kein StarMoney + sms2tan empfehlen. Und wenn ja, ist das grob Fahrlässig. Aber Moment... sind StarMoney und die Hauseigene App nicht die von "dir geprüften und für sicher befundene Backingsoftware" ;) StarMoney in Verbindung mit ChipTan oder mit nem Token ist was anderes. Aber ich kenne KEINE Bank die Mobiles Onlinebanking per App mit SMStan empfiehlt. Meine hat mich jedenfalls explizit vor gewarnt und auch in den Begleitheftchen stand dies dick geschrieben.
 
@ThreeM: Mich schuettelt es schon wenn ich SMStan lese :-D
 
@ThreeM: Man kann die hauseigene Software wie auch StarMoney Mobile so oder so verwenden. Empfohlen werden von der Bank TAN-Generatoren aber SMSTAN ist auch kein Problem. Und ich finde wenn die Bank schon zig mal vor SMSTAN warnt, geht sie ja schon davon aus dass es unsicher ist und dürfte es folglich gar nicht mehr anbieten. Vielleicht wäre das ja eine Möglichkeit die Bank trotz Haftungsausschluss irgendwie dranzukriegen :)
 
@DennisMoore: Ich halte das verhalten deiner Bank durchaus für Fragwürdig. TANSMS wurde als 2 Wege System Konzipiert und schließt die verwendung auf ein und dem selben Gerät aus. Das ist sehr sehr unglücklich das deine Bank dich da im dunkeln lässt. Unverantwortlich und meiner Meinung nach rechtlich Angreifbar. Die Bank hat das System nicht vestanden und Fehlerhaft in ihren Workflow integriert. Das ändert aber nichts an der Tatsache das TanSMS TECHNISCH gesehen sicher ist. Es muss nur Richtig benutzt werden. Ein Hammer ist auch nicht zum sägen da
 
@ThreeM: Mir eh wurscht was meine Bank meint. Ich hab nen optischen TAN-Generator genommen. Und einen ohne Optik hab ich auch noch rumliegen. Wie ich schon geschrieben habe, hab ich meine eigene Strategie fürs Onlinebanking und die schließt die Mobilfunknetze schonmal direkt aus. Besonders das GSM-Netz.
 
@DennisMoore: Wie sieht das eigentlich im UMTS/LTE aus? Werden da Daten zwischen Provider und Kunde anständig verschlüsselt? Das SSL von den Banken stellt ja mitunter keine große Hürde mehr da, von daher kann ich die Sicherheitsbedenken schon nachvollziehen. Direkt am Smartphone Überweisungen zu machen (mal unabhängig von tansms) vermeide ich in der Regel ebenfalls, da mit die Mobilsysteme einfach generell nicht so Vertrauenswürdig erscheinen (ios/Android) zumal keins der beiden ein für mich akzeptables Sicherheitskonzept vorweist. Aber vor Tan-Diebstahl grauelt es mich nicht ein bisschen.
 
@ThreeM: Ich glaube UMTS und LTE sind momentan per Design schon nicht angreifbar, zumindest nicht so einfach wie GSM. Ob es da ne standardmäßig eingeschaltete Verschlüsselung gibt weiß ich nicht. Aber selbst wenn: Die gibts bei GSM auch und sie ist standardmäßig deaktiviert.
 
@DennisMoore: Leider ist die Verschlüsselung im GSM Netz ein schlechter Scherz. Symmetrisch und 64Bit... Allerdings sind laut Wiki in Deutschland die Funktionen aktiv.
 
@ThreeM: Hab das letzte Mal vor 1,5 Jahren mit einem alten Nokia nachgeschaut und da war sie im Telekomnetz nicht aktiv. Kann aber gut sein dass die erst im Rahmen des Gesprächsaufbaus aktiviert wird. So genau kenn ich mich da nicht aus.
 
@DennisMoore: Afaik werden nur die Nutzdaten verschlüsselt. Also denke ich mal Bei SMS/aktiven Gespräch. Aber ich stocher hier eher im dunkeln.
 
@Knarzi: Der dritte Absatz beschreibt den genauen Vorgang. Das funktioniert nur bei fahrlässige Nutzer mit 0 Durchblick und ist somit auf jeder Plattform anwendbar.
 
@Knarzi: Ja, und ich behaupte dies immernoch. Das hier ist nix weiter als eine Phishingattacke die unter JEDEM System (egal ob diigital oder am Telefon) so funktioniert. Das hat überhaupt nix mit der Sicherheit von TANSMS zu tun.
 
Moment mal. Die TAN wird doch nur für eine eindeutige Überweisung generiert und ist auch nur für diese gültig. Der Angreifer kann sie doch nicht für seine eigenen Überweisungen "unleiten". Da bräuchte er doch zumindest auch noch Zugriff auf das eBanking-Konto der Opfer.
 
@Matti-Koopa: Den hat er durch den Trojaner auf dem Host
 
@Matti-Koopa: So wie es verstanden habe, fängt der Smartphone-Trojaner zukünftige TAN-SMS ab und somit kann er sich selbst unendlich viele TANs zusenden.
 
@Bitfreezer: Die Ihm aber erst was bringen wenn er ein Login +Kontodaten vom Opfer kennt. Die Tan alleine ist nutzlos.
 
@ThreeM: Steht ja im Artikel: Diese Daten holt sich der Trojaner extra vom Windows-PC des Opfers.
 
@Bitfreezer: Nein. Die Daten gibt der User selbst in den Trojaner ein! Das ist ein Unterschied! Alleine mit den Bankdaten wird er wenig anfangen können. Wie gesagt du musst innerhalb eines Zeitfensters von 5 Min: Handy, PC UND Homebanking Seite "hacken". Sind die 5 Min rum, war es das. Dir bleibt nur Social Engineering um die benötigten Daten zu erhalten. Und das tut dieser Angriff ja offensichtlich recht effektiv.
 
Ich bin immer wieder schockiert was für Daten Menschen preis geben nur weil sie dazu aufgefordert werden. Letztes hat mein Schwiegervater Geld an eine Scareware überwiesen weil da stand: Überweisen Sie jetzt! OMG
 
@GreCCoikarus: Wie geht den Geld AN eine Scareware überweisen? Vor allem was will sich die Scareware davon kaufen?
 
@Crunk-Junk: Er meint sicherlich dieses UKash-Ding. Es sperrt den Useraccount (killt explorer.exe) und behauptet das System wieder freizugeben wenn man so und so viel Euro an einen Zahlungsdienstleister übermittelt. Ist technisch sehr einfach aufgebaut und leicht zu entfernen.
 
@DennisMoore: Ich weiß, mir hat nur die Formulierung gefallen ;-)
 
Gibts diesen Artikel auch noch in einer etwas technischeren Form?
Normalerweise (Zumindest bei meiner Bank) wird meine Handynummer hinterlegt, die Nummer kann man nicht so einfach ändern, wenn ich jetzt eine Überweisung machen dann bekomm ich eine SMS mit Inhalt: Kontonummer des Empfängers, Betrag und Tan.
Somit hätte der Täter den PC und das Handy mit einem Trojaner ausstatten müssen, die PC Eingabe auf der Bank Homepage abfangen und ändern und dann noch die SMS abfangen und ändern. Nadann Hut ab. Er hats verdient....
 
@starchildx: Völlig richtig. Das ist nichts anderes als ein DAU-Scam. Verstehe nicht was da an der News so neu und gefährlich sein soll.
 
@Matti-Koopa: Wenn man Android/Apple/IrgendeinOS-User schreibt klingt es dramatischer als "Bank-Konto von DAU durch standart Scam leergeräumt."
 
@starchildx: Vor allen Dingen trifft es viel besser zu wenn man Android/Apple/IrgendeinOS-User schreibt.
 
Also irgendwie hab ich bislang gedacht, dass A) die SMS und die damit generierte TAN immer nur für die eine aktuelle Überweisung gültig ist und B) muss man hier ja doch als Nutzer aktiv werden (Handymodel, Telefonnummer etc. ) und Daten die Bank ohnehin haben sollte noch mal angeben. Ich finde es zwar richtig, dass gewarnt wird, aber so ganz bin ich aus der Meldung nicht schlau geworden. Kann mich wer aufklären welcher Umstand nun genau das Problem ist? Android, Android mit Schadsoftware, PC mit Schadsoftware, Android und PC mit Schadsoftware, Nutzer Fehlverhalten... was denn nun oder alles auf einmal? Wird die Schadsoftware von Scannern entdeckt, was kann ich tun um sicher (relativ gesehen) zu sein?
 
@pandamir: PC mit Schadsoftware gepaart mit unglaublicher Dämlichkeit.
 
"Bank-Konten von Windows-Nutzern leergeräumt" trifft es wohl eher, da die ursprüngliche Verseuchung ja auf dem PC stattgefunden hat. Aber damit würde man natürlich nicht annähernd so viele Klicks generieren, weil wir ja schon daran gewöhnt sind, das Windows notorische Sicherheitsprobleme hat ;-)
 
@nicknicknick: Nee, von Android-Nutzern stimmt schon. Denn dort installiert sich ja auch ne Schadsoftware. Nicht nur auf dem PC.
 
@DennisMoore: Ja aber dann ist es eher die Kombination von Windows-User/Android-User/Vollpfosten
 
@DennisMoore: Nee, "Die Täter spähen dabei mittels eines Trojaners auf dem PC des Anwenders die Kontoverbindung aus". Die Bedrohung geht also ganz klar von der Benutzung von Windows fürs Online-Banking aus, mir als Linux und Android-Nutzer kann besagtes Szenario nicht passieren.
 
@nicknicknick: Und was haben sie von der Kontoverbindung ohne eine gültige TAN vom Android-Gerät? Gar nichts. Und mir kann als Windows und Windows Phone User besagtes Szenario auch nicht passieren. Und nu?
 
@DennisMoore: Wie gesagt, die ursprüngliche Infektion geschieht auf einem Windows-System, ohne diese kommt gar kein Trojaner aufs Handy. Bei so unachtsamen Nutzern braucht es den eigentlich auch gar nicht, man könnte ja auch einfach die Eingabe abfangen und eine andere Kontonummer/Betrag zur TAN-Generierung einsetzen.
 
@nicknicknick: Is ja auch irgendwie logisch. Erst wird das meistgenutzte Desktopsystem infiziert und darüber wird dann das meistgenutzte Mobilsystem aufs Korn genommen. Ich glaube es gibt keinen praktikableren Weg eine große Menge Leute zu erreichen. Und das eben besonders auch deswegen weil man bei Android nicht zwangsweise einen JB oder Rootzugriff braucht um Software aus dubiosen Quellen ausführen zu können.
 
@nicknicknick: Der Tan wird für gewöhnlich aus dem Betrag und der Kontonummer berechnet bzw bekommt man als SMS die Kontonummer Betrag und Tan zugeschickt, wenn ich Tante Frida 10Euro überweise möchte und als SMS kommt Konto XYZ und Betrag 1000Euro dann gebe ich nicht einfach direkt den Tan ein....
 
@starchildx: Ja du vielleicht nicht, aber die Leute die sich ein "Sicherheitsupdate" per SMS installieren lassen und dabei unübersehbare Warnungen wegklicken während sie gerade am Onlinebanking sitzen schon ;-)
 
Geil. Da wirste doch echt nach dem Handytyp und Rufnummer gefragt. Was ist, wenn man da was falsch auswählt? Armseliger Trojaner, echt schade, dass sowas trotzdem funktioniert. Da muss man echt viel falsch machen und holt sich den nicht "aus Versehen". SAUEREI!
 
und das hauptproblem hierbei ist natürlich android, wobei der user echt doof gehandelt hat. -.-
 
Lasst mich raten? Der Täter hat vorher auch Brot gegessen? Ihr hättet die News: Brot essender täter räumt Konto leer. Nennen sollen
 
Anhand der Überschrift dachte ich zuerst böse Android Nutzer räumen mit ihren Smartphones Bank-Konten leer.
 
Ich habe mein Konto bei der Sparkasse so eingerichtet, das ich mit einer PinTan SMS nur 400€ überweisen kann.
So bleibe ich etwas auf der sicheren Seite.
Muß dann halt mal 2 bis 3 Überweisungen machen.Oder ich gehe direkt zu meiner Bank.
 
Gab es da nicht mal ein Urteil wo das jeweilige Opfer nicht schuld war, wenn auf dem Trojanerversäuchten PC ein Virenscanner installiert war ? Ich meine jeder kann sich einen Trojaner mal einfangen auch wenn er sich schützt, da finde ich es schon bedenklich wenn die Versicherung oder Bank da nicht für den Schaden aufkommt. Wie die Sache mit dem 2. Trojaner auf dem Android-Handy aussieht kann ich nicht beurteilen..
 
@stargate2k: Das ist ja gerade das Schöne für die Bank beim Onlinebanking. Sie hat keinen Aufwand mit deinen Überweisungen weil das alles direkt übers Rechenzentrum läuft, und sie kann das gesamte Risiko bequem dir in die Schuhe schieben.
 
@DennisMoore: Ja aber ich dachte, dass die Bank mir eben nicht die Schuld so einfach in die Schuhe schieben kann. Wie gesagt habe ich noch dunkel in Erinnerung, dass es mal ein Urteil gab wo eine Person auch einen Trojaner auf dem Rechner hatte.. Aber diese dann nicht für den Schaden selbst haften musste, weil auf dem besagten Rechner ein Virenscanner installiert war. Die Bank musste den Schaden dann begleichen.
 
@stargate2k: Ich meine auch sowas mal gelesen zu haben, aber das war nur ein einziger Fall wo das so entschieden wurde. Nichts generelles und kein Präzedenzfall. Leider.
 
Das habe ich bei der Sparkasse schon vor 2 Jahren bemängelt das mTAN nicht sicher ist.. genauso wie ChipTAN... aber nönö dummer Kunde hat keine Ahnung.... Ich habs früher schon gesagt.. und sags wieder die TAN Liste ist sicher! Der anbieter nennt die zu eingebene nummer die per Zufall geschieht... Sparkasse und anderre Banken haben mir am Schalter hoch und heilig versichert mTAN ist sicher aber eine Schadenshaftung wollten die auch nie machen.

Die Post Packstation ist ja inzwischen nicht anderster mTAN ich warte nur darauf bis die ersten Betrugsfälle kommen.. SMS und TAN ist NICHT Sicher! PIN in Combo Karte ist bei weitem Sicherrer!!!!
 
Aus dem Grund mTAN auf einer Nummer, die keiner sonst hat und einem alten Nokia 6300
 
also erstmal muss es um onlinebanking gehen. dann weiss doch jeder dass man für eine webanwendung updates auf dem handy installieren muss. zweitens is ja voll klar dass dieses update auf dem handy notwendig ist um eine stinknormale sms zu empfangen.

die schadsoftware manipuliert im Übrigen die Anzeige der SMS so wie die schadsoftware am PC die eingabe des Anwenders übermittelt. Eigentlich clever - aber es sind soviele manuelle Eingaben und installationen des Anwenders notwendig, das einem das Spanisch vorkommen muss.

Ich nutze mTAN im übrigen auch zu Hause

"Einem Angreifer ist es durchaus möglich, sich zwischen Nutzer und Mobilfunkbetreiber zu setzen und die Nachrichten abzufangen." ja genau die wechseln sich immer ab beim überwachen.

im Übrigen - klickt man sich durch die australischen Warnmeldungen mal durch, dann erfährt man wie genau eigentlich die "vielen" schon gemeldeten Betrugsversuche von statten gingen:

"With only a few phone calls to a victim’s workplace or home address, a fraudster can gain enough information (date of birth and mobile phone number) to port a victim’s mobile phone number to a new SIM device and intercept one-time passwords sent via SMS for online banking sessions."

http://www.itnews.com.au/News/322059,home-buyer-funds-targeted-in-phone-porting-scam.aspx

Sicher der t@n generator ist per se das sicherste Medium aber mit gesundem Menschenverstand ist auch die mTAN immer noch sicher genug.
 
Banking auf Mobilen Geräten habe ich noch nie vertraut. Offensichtlich zurecht.
 
Da haben wir wieder das Problem: Android und (Un-)Sicherheit.
 
Das wirklich lustige an der ganzen Sache ist ja, daß im Gegensatz zu normalen Scams jetzt beliebig viele mTANs generiert werden können. Auch wenn es erst einmal per Definition etwas sicherer ist, der mögliche Schaden ist im Ernstfall deutlich größer.
 
@Johnny Cache: na ja generiert wird erstmal nix - das macht die bank. nur wofür die tan generiert wurde wird verschleiert. wird zum beispiel auf einem anderen pc das onlinebanking durchgeführt, bin ich der meinung dass dann das Ganze nicht mehr funktioniert. die abgefangene mTAN ist dann eh nutzlos, da der betrag usw unbekannt sind. keine ahnung was dann für ein sms text angezeigt wird.
 
@noyse: Natürlich funktioniert das dann von jedem beliebigen Rechner aus. Die Angreifer sind ja schon im Besitz aller Kundendaten, das einzige was ihnen für eine Transaktion fehlt ist die nTAN, welche sie ja dann über den Trojaner auf dem Telefon auslesen können.
 
gibs doch gar nicht - dass eine tan via sms auf ein mobiles endgerät gesendet wird, heisst doch noch lange nicht dass man auf mobilen endgeräten online banking betreibt. Im gegenteil - wenn man das tun würde, könnte man den trojaner der zur eingabe der mobilfunknummer aufruft gar nicht installieren.

und ich weiss auch nicht wie man auf die idee kommt dass eine app die man nicht aus dem google play store installiert und für deren Ausführung man scheinbar sogar systemeinstellungen ändern muss per se für die unsicherheit von android sprechen soll.
 
Sobald man Malware in seinem System hat, ist man immer anfällig für Attacken. Da ist es auch egal ob es ein Linux, OSX, Android, Windows oder sonstiges System sich handelt. Einzig die Hürden für die möglichen Attacken fallen je nach System anders aus. Ich frage mich zu dem, warum man nicht solchen Mist von vornherein in einer App sperrt bzw. unmöglich macht.
 
Chip-TAN FTW ... naja.. oder Hirn FTW. Suchts euch aus.
 
@Aerith: Gegen einen Man-in-the-middle-Angriff hilft aber auch das kein bisschen. So gesehen ist Onlinebanking also per Definition unsicher.
 
@Johnny Cache: Es ist auch nicht sicher, dass wenn du an einem haus vorbeigehst dir kein Dachziegel aufn Kopp fällt. Und komm mir jetzt nicht mit Reetdach Häusern :<
 
Was ist eine "aktive SMS" ??
 
Ich kann jedem nur raten fürs Online-Banking vom SMS-TAN-Verfahren abzusehen und sich entweder a: wieder klassisch zu seiner Bank zu begeben und seine Geschäfte dort zu erledigen oder b: sich für seine Onlinegeschäfte einen sogenannten Tan-Generator zu beschaffen. Die meisten Banken bieten solche Verfahren mittlerweile an und die Geräte dafür kosten auch nicht die Welt (Für einen KOBIL Optimus Comfort habe ich 15 Euro bezahlt). Die Geräte funktionieren in der Regel mit der bereits vorhandenen Giro-Karte und sind in der Handhabung recht einfach. Man hat dadurch zwar ein weiteres Gerät aber diese sind eben auch unempfindlich gegen Hackerangriffe und auch die generierten Codes sind zum Beispiel beim Chip-TAN-Verfahren an die jeweilige Überweisung gebunden und können nicht für andere Zwecke missbraucht werden (Achtung, letzteres gilt nicht für das Sm@rt-Tan-Verfahren!). Weitere Infos gibts in Wikipedia unter "Transaktionsnummer" und dem Unterpunkt "Tan-Generator".
 
Wer Online-Banking macht ist nur zu faul zum Laufen !!
 
@AirWulf: Oder steht gerade Sonntagsabends vor der geschlossenen Bankfilliale. Überweisungsautomaten gibts längst nicht in jeder Bank. Und auf dem Land kann man auch schnell mal 5 km bis zur nächsten Bank laufen.
 
@pvenohr: ...für sowas empfiehlt sich dann die Benutzung eines KFZ, oder, alteherkömmlich, Freitag oder Samstag genügend Geld abheben, bzw. den Briefkasten der Bank im Automatenraum nutzen......oder Montags zur Bank gehen. Die Mitarbeiter sind wirklich nett !! ;-)
 
@AirWulf: Ich seh schon das wir so auf keinen grünen Zweig kommen. Der eine machts so und der andere so. Warum mühsam zur Bank gehen wenn man die Möglichkeit hat es von Daheim zu machen? Ich laufe während der Arbeit schon genug durch die Gegend (und zwar nicht nur vom Schreibtisch zur Kaffeemaschine). Also werde ich mir wohl wenigstens bei meinen Bankgeschäften ein wenig Bequemlichkeit erlauben dürfen wenns genehm ist.
 
@AirWulf: Online-Banking ist das Beste, was Internet in den letzten Jahren gebracht hat.
 
Ich sehe es so, wer aus Bequemlichkeit meint sich der Gefahr der Onlinekriminalität aussetzen zu müssen, dabei viellleicht noch zu dämlich für InternetKommunikation ist, der oder die haben es nach meiner Meinung auch selbst zu verantworten.
Ich persönlich verzichte auf diese Aktivitäten!
 
Ich überlege mir gerade ,was passiert wäre,wenn der Beitrag "Bank-Konten von iOS-Nutzern leergeräumt" ? gelautet hätte ? Speziell hier in diesem Forum wird doch fast jede Apple-Meldung so kritisch (manchmal schon lächerlich )bewertet.Staune nur,wie ruhig und sachlich über Android diskutiert wird.
Ich besitze ein iPhone 5 ,ein iPad 2 und meine Frau hat ein iPhone 3 Gs.
Wir sind übrigens sehr zufrieden damit!
Wer Bankgeschäfte übers Netz macht, muß jedesmal mit diesen Gefahren rechnen!Ich fahre 3-4 mal im Monat zu meiner Bank und erledige in der Filiale meine Bankgeschäfte .
 
@KODIAK13: Da kann ich Dir nur Recht geben!!! Aber Bequemlichkeit zieht bei manchen eben mehr als 1000 Pferde! Und dann is irgendwann das Geheule groß.
 
Selber schuld ist auch einer, der z. B. im öffentlichen WLAN irgendwelche Bankgeschäfte tätigt und da für die Anmeldung PIN und Online-Anmeldung angeben muss. Diese Leute kann ich wirklich nur belächeln.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles