mTAN-Betrug: Täter lassen sich einfach neue SIM ausstellen

Betrüger haben es erneut geschafft, Konten zu plündern, indem sie erfolgreich das mTAN-Verfahren angegriffen haben. Schuld daran waren offenbar Nachlässigkeiten von Mitarbeitern in einem O2-Shop, die sich nicht ausreichend um eine Identifikation ... mehr... Dual-SIM, Dual SIM, Triple-SIM, 3G Triple-SIM, Triple SIM Bildquelle: eju.tv Dual-SIM, Dual SIM, Triple-SIM, 3G Triple-SIM, Triple SIM Dual-SIM, Dual SIM, Triple-SIM, 3G Triple-SIM, Triple SIM eju.tv

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Da schlampen die Mobilfunker, aber mTAN ist unsicher .... ja klar. Hier scheinen aber noch so einige Leute gewschlampt zu haben. Die Mobilfunknummer haben die Leute woher? Die Kontonummer? Das Passwort?
 
@iPeople: man könnte sich darauf einigen, dass mTAN doch ziemlich unsicher ist, komplett unabhängig von dieser Story hier. ;)
 
@sibbl: Blödsinn. Das mTAN-Verfahren ansich ist relativ sicher, wenn man (genau wie woanders auch) gewisse Vorsicht walten lässt.
 
@iPeople: Theoretisch ist es sehr sicher, praktisch nicht. Und da die Theorie den geprellten Kunden mit abgeräumten Konto herzlich wenig interessieren dürfte kann man es jetzt sehr wohl als unsicher bezeichnen.
 
@nicknicknick: Unsachgemäßer Umgang mit den Zugangsdaten zum Banking ist schuld des Systems?
 
@iPeople: Ja gut, wenn du die Benutzung eines Windows-Systems, welches man eigentlich immer als potentiell kompromittiert ansehen muss, für Onlinebanking als unsachgemäßen Umgang wertest hast du natürlich recht. Aber die meisten Leute haben halt keine Live-CD, Chromebooks oder wenigstens ein relativ sicheres Linux zur Hand.
 
@nicknicknick: Kann keiner was dafür, wenn Du Dein Windows nicht absichern kannst.
 
@iPeople: Wer redet von mir? Ich nutze Windows schon lange nur noch als Gameloader weil es einfach nicht meinen Vorstellungen entspricht.
 
@nicknicknick: Was nützt dir Linux wenn der Mitarbeiter beim Provider schlampt?
 
@crmsnrzl: Ganz einfach: Mit der mTAN alleine kommt niemand in mein Onlinebanking. Dazu braucht es noch die Zugangsdaten, die irgendwie von mir abgegriffen werden müssen.
 
@nicknicknick: Ist mir bewusst, aber Linux schützt weder vor Phishing noch vor präparierten Websites. Und Linux ist auch nicht vor Trojanern sicher. Das Linux-Desktop-Rechner mangels Verbreitung nicht attraktiv genug sind, für derartige ähm "kriminelle Elemente", ist kein wirkliches Argument. Eher im Gegenteil, denn jeder der sich von dem Argument überzeugen lässt, trägt dazu bei, dieses zu negieren.
 
@crmsnrzl: Es gibt in der Realität aber keine Linux-Trojaner und vor allem keine Drive-by-Infektion, gegen die man sich unter Windows eigentlich nicht schützen kann. Ganz egal aus welchem Grund. Und das seit mehr als 15 Jahren. Deswegen muss ich mir keine realen Sorgen wegen so einem Zeug machen, vor Phishing schützt mich mein gesunder Menschenverstand.
 
@sibbl: Nein, das könnte man nicht. Das Einzige, was 100% sicher ist, ist der Tod.
 
@ott598487: Bis jetzt... :D
 
@Digisven: Naja. schaunmer mal... ich persönlich würde gerne ohne den Tod leben...
 
@ott598487: Der Tod ist doch nur eine Funktion um den Austritt und wieder Eintritt möglichst angenehm zu gestalten :D Löscht alle Erinnerungen, die neu erlernten Fähigkeiten bleiben erhalten und müssen wieder aktiviert werden im neuen Leben :D Demzufolge gibts eigentlich nur das Leben ;)
 
@ott598487: Brüller... :D ohne den Tod leben... ja mit lebt man ja auch nicht... dann ist man tot :D
 
@Digisven: war ein schönes Wortspiel, gelle ;-)
 
@iPeople: Ich sehe nach wie vor kein großes Problem beim mTAN Verfahren. Aber eine Legitimation abzufragen im Geschäft... das ist nun nicht zu viel verlangt!
 
@Blackspeed: Eben drum. Und seine Zugangsdaten zum Banking sollte man auch nicht preisgeben ... aber genau das scheint hier auch irgendwie der Fall gewesen zu sein.
 
@iPeople: Man nehme einen Zettel und drucke darauf:

HalliHalloHallöchen!

Wir, ihr <:Liebster Einkaufsmarkt um die Ecke:>, veranstalten ein tolles Gewinnspiel. Hauptpreis ein SuperDuperHasteNichGesehenWeekend IrgendwoWosSchönIst und 1000€ in Bar. Beantworten Sie nur die folgenden drei Fragen: a) Wie heißt unser(e) FilialleiterIn b) Wo finden Sie uns? c) Was kostet diese Woche 1Kg Gurken?

Geldgewinne überweisen wir Ihnen sofort.

Senden Sie Ihr Antwort unter Angabe ihrer Bankverbindung und einer Mobilfunknummer zur persönlichen Gewinnbenachrichtigung an <:DesHackersWaldpostkasten:>.

Als kleines Dankeschön, anbei ein 2GB USB-Stick für unsere ganz besonders treuen Kunden.

Viel Glück
Ihr Herr XYZ
Filialleiter des Lieblingsmarktes

Das fleißig verteilt und die Rückläuferquote wird so fantastisch hoch, dass der Hacker nach einer Woche selbst IrgendwoWosSchönIst Urlaub macht. Den USB-Stick idealerweise von einem beliebigen Anbieter mit dem Logo des Marktes versehen lassen und alles wird gut... oder eben auch nicht.
 
@Mitsch79: Und?
 
@iPeople: Ganz einfach, es zeigt, dass du in jeder Lebenslage Opfer von Betrügern werden kannst. mTan ist unsicher, war es von Anfang an, weil es zuviele Unwägbarkeitselemente besitzt. Das ist bei iTan nicht der Fall.
 
@Mitsch79: iTan? , das System ist doch noch unsicherer.
 
@crmsnrzl: Das ist Unsinn. Die TAN-Liste hast nur du und niemand sonst, auf einem Zettel in einem Umschlag in einer Schublade in deiner Wohnung. Da kommt niemand ausser dir oder vielleicht einem Einbrecher ran.

Was kann passieren? Du loggst dich auf der Seite deiner Bank ein, gibst die geforderte TAN ein und hast Pech, weil jemand die Seite gefaked hat. Dagegen hilft dir mTan aber auch nicht. Wenn die Seite gefaked wurde, bedeutet das aber auch, dass der Server der Bank kompromittiert wurde und damit haftet die Bank.

Alternativ, du hast es versäumt dein System gegen Viren, Trojaner und Co. abzusichern und deine TAN wird darüber abgefangen. Deine Dummheit, aber kein Sicherheitsproblem der iTAN.

D.h. wir haben hier zwei Ansatzpunkte für einen Angriff. Bei mTAN oben sind es genauso diese zwei plus der Angriff über die SIM-Karten.
 
@Mitsch79: Eben nicht. Bei iTAN reicht ein Trojaner auf dem System bereits aus um das gesamte System auszuhebeln. Bei mTAN reicht das hingegen nicht, hier ist mindestens noch ein weiteres mal menschliches Versagen nötig.

Und 'nen Trojaner auf den Rechner des Anwenders zu bekommen, ist bei sämtlichen TAN-Verfahren der bei weitem einfachste Teil.

"Alternativ, du hast es versäumt dein System gegen Viren, Trojaner und Co. abzusichern und deine TAN wird darüber abgefangen. Deine Dummheit, aber kein Sicherheitsproblem der iTAN."
Die wahre Dummheit ist, zu glauben man könnte sein System vollständig absichern, geschweige denn, man könne dies von Laien erwarten.
 
Ein weiterer Beweis für die unfähigkeit von den Mitarbeitern bei (fast) allen Mobilfunk-Shops. Die können einem nicht mal eine anständige Handy beratung geben, wieso sollte ich denen jemals etwas über mich oder meinen Vertrag anvertrauen? Nur die Hotlines bieten hier richtige abhilfe(meistens).
 
@Lloyyd: Ja, das liegt daran, dass es meist freie Shops sind, ohne direkte Bindung zum Provider. Die arbeiten meist auf Provisionsbasis und unterliegen selten einer Qualitätskontrolle.
 
@iPeople: Ja ich vergleiche das ganz gerne mit meiner Schwester und ihrem Freund. Beide haben vor einiger Zeit neben dem Studium in einem Diesel laden gearbeitet, beide kennen sich sehr gut aus im Bereich Mode und konnten den Kunden immer kompetente Beratung liefern(auch mir selber). Ich würde dort z.B. gar nicht reinpassen, bin eher der Typ der sich anziehen lässt als sich anzuziehen, meine Freundin kriegt das ganz gut hin. Ergo würde ich mich aber auch niemals dort bewerben. Manche haben vielleicht nichts anderes gefunden, dennoch würde ich mir an der Stelle etwas mehr Mühe geben.
 
@Lloyyd: Ich rede hier nicht nur von Mitarbeitern, sondern von denen, die solche Shops eröffnen, also die Inhaber.
 
@Lloyyd: Letztendlich muss man sich doch fragen was für eine Klientel dort arbeitet. Wer einen anständigen Beruf hat brauch sich doch nicht als Verkäufer in einen Mobilfunkshop zu stellen.
 
Daß Mobiltelefone niemals sichere Geräte waren hat die Banken blöderweise nicht davon abgehalten sie als soche zu behandeln und für ihre Drecks mTANs zu mißbrauchen. Ich war sogar mal bei einer Bank die mir allen ernstes verklickert hat daß man zukünftig ausschließlich per mTANs überweisen könne und falls man kein Telefon habe solle man sich gefälligst eines besorgen. Eine super Idee.
Spannend finde ich aber daß die Postbank zukünftig bei verdächtigen Transaktionen nachfragen möchte. Aber doch hoffentlich nicht per Telefon, oder?
 
@Johnny Cache: mTAN ist das Sicherste, was es gibt. Das Problem sitzt wie immer VOR dem Rechner. Man sollte schon ein gewisses Maß an Vorsicht walten lassen.
 
@iPeople: Sicherer als clientseitig generierte OTPs? Sorry, aber wenn ein System durch Dummheit überlistet werden kann ist es nicht sicher.
 
@Johnny Cache: Du kannst auch aus Dummheit ein völlig schrottigen Gebrauchtwagen kaufen ... ist deswegen Gebrauchtwagenmarkt blöd?
 
@Johnny Cache: Man kann alle Systeme überlisten in dem man die Dummheit/Gutgläubigkeit/Fahrlässigkeit der Anwender ausnutzt.
 
@iPeople: Wenn es die Bank anbietet wäre HBCI sicherer als mTan.
 
@HK-47: Und dazu brauchste keine extra HArdware? Und dabei musste auch noch aufpassen, welche Hardware. Dazu kommt, dass sich das dann alles auf einem rechner abspielt ... blöd, wenn der kompromittiert ist. Ich habe für mTAN ein extra Handy, ein einfach 0815-Handy ... mit einer Prepaidkarte drin ... die Nummer hat kein Mensch, ist nicht im Umlauf. Das heißt, der Angreifer müsste meinen (Nicht-Windows)_Rechner angreifen, meine Handynummer herausbekommen, sich davon eine zweite Karte besorgen (die es in keinen Shop gibt, sondern nur online) ..... und und und
 
@iPeople: Auf das wie und was man alles braucht bin ich hier nicht näher eingegangen, vom technischen Standart her wurde das aber schon recht sicher entwickelt. Aber wie gesagt so viele Banken bieten das ihren Kunden gar nicht an.
So wie du das Handhabst hört es aber auch sicher an - nur so werden es die wenigsten handhaben.
 
@HK-47: Es gibt auch Leute, die ohne Helm Motorrad fahren. Ist deswegen der Helm unsicher? Und ja, Du solltest schon die Hardware betrachten, wenn Du schon behauptest, HBCI wäre sicherer.
 
@iPeople: Ich störe mich nur an deiner Aussage: "mTAN ist das Sicherste, was es gibt." Das ist falsch.
 
@HK-47: Im Vergleich schon. Du musst nämlich 2 völlig unabhängige Systeme anzapfen, um erfolgreich eine Überweisung tätigen zu können. Bei HBCI reicht ein trojaner auf dem Rechner.
 
@iPeople: Die chipTAN ist im Vergleich zur mTAN auch sicherer - du brauchst nämlich die Girokarte und auf dem Generator kann sich auch keine Malware einnisten oder irgendjemand zwischenhängen.
 
@iPeople: Das hast du recht simpel aber clever gelöst bei dir.
Aber genau da ist das Problem!

DU hast es so gelöst, und der Rest der mTan Kunden machen sich entweder keine Waffel darüber oder können teilweise nicht mal ein Eimer Wasser umkippen.

Von daher ist das Verfahren mTan quasi erst mal unsicher.
Und die Sau wird bestimmt von den Medien wieder ordentlich durchs Dorf getrieben.
 
@iPeople: Das sicherste sicher nicht. Meine Bank hat schon vor Jahren alternativ TAN-Generatoren mit Flackercodes angeboten. Das Verfahren wird sicherlich auch irgendwann Schwachstellen zeigen, aber dass es sicherer ist als mTAN ist unzweifelhaft.
 
@nicknicknick: Ja klar ist es das sicherste.....weil diese Schei**dinger nie richtig funktionieren!
Ich brauchte neulich 45 Minuten für eine Tan! Kein Witz!
Und ja ich habe verschiedene Geräte.
 
@Holotier: Dann stell halt die Geschwindigkeit runter oder gib die Daten halt manuell ein. Ich hab jedenfalls keine Probleme, selbst auf dem Handy klappt das
 
@Johnny Cache: Du hast recht. ABER. Ich knacke dir schneller ein Bankomaten als irgendwelche mTAN's abzufangen ;) Hab ich noch nie gemacht! Alles was du brauchst gibts im Baumarkt und kostet dich vielleicht 20Euronen... Von daher... Bequemlichkeit lässt grosse Sicherheitslücken zu.
 
Wer kommt eigentlich in so einem Fall fuer en Schaden auf? O2 wegen grober Fahrlaessigkeit?
 
@JanKrohn: Die werden sich dagegen mit Händen und Füßen wehren, schließlich ist die mTAN ja nur ein Teil der für die Transaktionen erforderlich ist. Immerhin haben es die betroffenen User ja auch geschafft ihren Login zu versaubeuteln.
 
@Johnny Cache: Bankraub bei der Bundesbank. Die Raeuber haben durch eine undichte Stelle im Wachtdienst den Generalschluessel erhalten. Der Wachtdienst weist jede Verantwortung von sich, weil der Hersteller der Zugangsschranke nicht wirkungsvoill unterbunden hat, dass die Raeuber da unten drunter durchgeklettert sind und sich Zugang zum Gelaende verschafft haben.
 
@JanKrohn: Genau. Wenn man mit dem Finger auf jemanden zeigt, zeigen immer drei Finger auf einen selbst. ;)
 
Ich würde es wirklich nicht alleine den Banken anlasten. Habe SIM-Karten bei BASE und Unitymedia. Auf Anfrage beim Kundenservice wurde mir mitgeteilt dass es durchaus üblich ist diese auch an eine abweichende Lieferanschrift schicken zu lassen. Erst wenn man als Kunde dies ausdrücklich Untersagt werden SIM-Karten nur noch an die Hausanschrift geschickt. Finde das Verhalten der Mobilfunker hier relativ Fahrlässig.
Dass jemand schlampig mit seinen Zugangsdaten umgeht ist wieder ein anderes Thema, wobei allgemein bekannt sein dürfte, dass Banken niemals per Mail nach den Zugangsdaten des Onlinebankings fragen.
 
@UreshiiTora: Und selbst die Hausanschrift ist nicht 100% sicher, bei mir kommt der Briefträger üblicherweise zwischen 9 und 10Uhr vorbei, ich bin aber erst ab 18:30Uhr zu hause. Wenn ich nicht einen Rentner gegenüber hätte der den ganzen Tag zum Fenster rausschaut wäre da jede Menge Zeit das Briefchen aus dem Briefkasten zu angeln.
 
@wunidso: Mir ist klar dass auch das nicht absolut sicher ist, wäre im Zweifel nur bei einem Einschreiben Eigenhändig gegeben. Ändert aber dennoch nichts dran dass eine Abweichende Lieferanschrift für SIM-Karten auch nicht generell vorgesehen sein sollte.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles