Eurograbber: Botnetz fischt 36 Millionen Euro via mTAN ab

Fürs Onlinebanking hab ich eine kleine virtuelle Maschine. Damit betreibe ich AUSSCHLIESSLICH das Onlinebanking.

und was soll dir das bringen? ausser der befriedigung deines egos?

Notwendig ist das nicht. Es reicht auch, den ganzen Blödsinn zu unterlassen, der im Artikel beschrieben ist.

hoffentlich OpenBSD

Wenn eine Downloadaufforderung von der Bank kommt ist sie ziehmlich sicher falsch.

Oder auch nicht. Bürgerkartensoftware...blabla.

...das den User erstmal dazu bringen muss, sowohl auf dem PC als auch am Android-Smartphone aktiv Malware zu installieren - unglaublich, dass soviele darauf reingefallen sind.

@Bushdoctor

> Ziemlich komplexes System...
> ...das den User erstmal dazu bringen muss, ...
> ... unglaublich, dass soviele darauf reingefallen
> sind.

Nicht wirklich unglaublich, nachdem auch die uralten und eigentlich längst jedem bekannten Schmähs mit dem "Gaskassier, der die Rechnung kassieren muß" und (unbestellten und unangekündigten) "Handwerkern", welche "Leitungen, Steckdosen, Abflüsse etc. überprüfen" wollen, dem "Polizisten", welche plötzlich auf der Straße oder in der Wohnung das vorhandene "Bargeld auf Falschgeld" oder die "Sicherheit der EC-Karte mit PIN überprüfen" wollen, der Betrug mit "Autobahngold", den "Lotteriegewinnen", ohne daß man je aktiv mitgespielt hätte etc. nach wie vor bestens funktionieren.

was hat das mit online-banking zu tun.

Wenn z.B. der Anwender den Betrag an X an Y überweisen möchte und bei der Generierung der TAN X und Y einfliessen, dann kann ein Dritter ruhig die TAN abfangen, aber er kann damit keine Überweisung unterschreiben bei der X bzw. Y andere Werte haben, als die vom User gewünschten.

Ok, wenn man mehrere Überweisungen mit einer TAN unterschreiben möchte wird es etwas komplexer, aber das Grundprinzip bleibt das gleiche.

Aber ich kenne eh den Grundgedanken der Banken: Wieviel kostet eine Securitymaßnahme und wieviel Geld (grob geschätzt) könnte man max. ohne diese Maßnahme verlieren.

Blöd ist halt nur, dass man sich bei derartigen Schätzungen tendenziell massiv verschätzt.

Aber das Image einer Bank ist heutzutage offenbar eh wertlos ;-)

das Problem sind eher die Kunden, die alles möglichst einfach haben möchten und nichts dafür bezahlen wollen.
Der Bank wäre es wohl lieber alles sicherer zu machen, weil jeder Schadensfall ziemlichen Aufwand bedeutet.

sind IMMER die Kunden

^^

das kommt drauf an, wie hoch deine schulden bei der bank sind.

hast du 10.000 euro schulden bei der bank, wird sie dich lynchen, wenn du nicht zahlst.

hast du 100 millionen schulden, zahlt sie deinen urlaub und einen eigenen leibarzt.

Ich sehe das eher umgekehrt...

Durch den Trojaner sendet der Browser schon einen anderen Empfänger an die Bank (wo sollte die sonst die andere Kontonummer her haben) und diese generiert einen TAN für die (gefälschte) Überweisung.

bei meinem "Konzept" sendet die Bank bei der Übermittlung (der SMS) an den Kunden nicht nur die TAN sondern auch die Daten (Betrag, Empfänger) der zu unterschreibenden Überweisung.

D.h. die TAN hat einerseits einen mathematischen Bezug zu Betrag und Empfänger und andererseits kann der Kunde überprüfen, ob die Angaben bei der TAN-SMS auch mit seiner tatsächlich gewünschten Überweisung übereinstimmen.

Ein bisserl muss der Kunde halt schon mitmachen, auch wenn es dann nicht die perfekte Usability hat.

Aber das System bei der die 3 Komponenten Usabiilty, Security und Kosten "perfekt" sind gibt es nicht.

Die Kombination aus unwissenden User der auch noch alles billig haben möchte, führt eben zu Abstrichen bei der Security.

Der Browser verschickt manipulierte Daten an die Bank, zeigt Ihnen aber die richtigen an. Der Trojaner am Android hat vollen Zugriff auf Ihre SMS und kann diese ebenfalls manipulieren.

Somit ist ihr "Konzept" ausgehebelt

logischerweise hat man keine Sicherheit in einem kompromitierten System, d.h. zumindest ein Teil des ganzen Überweisungsvorgang muss in einem "sicheren" (gemeint ist ein nicht-gehacktes) System stattfinden.

Weshalb es eben Sinn macht, z.B
Browser am PC (=System 1)
Handy (=System 2)
prinzipiell zwei "Systeme" zu verwenden.

Man könnte sich die TAN auch via Email schicken lassen, dann sollte man diese Email aber ebenfalls nicht auf demselben System empfangen/lesen, wie das System bei dem man die Überweisung aufgibt.

Die Sicherheit der digitalen Signatur beruht ja auch darauf, dass das was der User angezeigt bekommt auch tatsächlich das ist, was er unterschreibt (und die angezeigten Daten eben KEINE manipulierten Daten sind).

@digitale Signaturen:
Nicht wenn die Manipulation vor bzw. nach der Verschlüsselung passiert

Insgesamt übersehen Sie, dass viele Leute ihr Handy mit dem PC verbinden um Daten zu synchrinisieren oder sich zu Hause im selben WLAN befinden. Da ist es dann ein Leichtes von einem kompromitierten System das andere ebenfalls zu kompromitieren. Man muss dem User also nicht zwei Trojaner unterjubeln, einer reicht.

Am Handy browsen und mTAN benutzen ist auch ziemlich grober Unfug.

die abgeschöpften DAUs haben doch 3x gefailt:

1. Phishing Mails
2. Handy Nummer nochmals eingeben
3. App runterladen (!?)

Wer hier nicht mal stutzig wird und bei seiner Bank nachfrägt: sskm

In modifizierter Form würde das ganze ja auch mit herkömmlichen TANs funktionieren, warum soll dies also die (Un)sicherheit von mTANs hinweisen?

Nur gibt es halt viele Leute die totale Laien sind was Computer angeht und genau auf solche hat man es abgezielt.

Klar, jeder der um die 20-30 ist und mit Computer und Internet aufgewachsen ist, gebe ich ihnen Recht SSKM, aber bei älteren Generationen kann man durch die Technick schon leicht verwirrt werden.

Als soll der/die Alte doch zur Bank gehen wenn sie online nicht zurechtkommen.

Übrigens: ich bin 63 und hab kein Problem mit Onlinebanking

Aber Mtan ist ja sooooo sicher. Deswegen versuchen ja auch jetzt fast alle Banken ihre Kunden zwangsweise auf Mtan umzustellen, weil es so sicher ist. (Und nicht weil sie sich den Verwaltungsaufwand mit dem Zusenden der Papiertans ersparen wollen.)

Die CA hat zum Bsp. geschrieben, dass es schon "mehrere" Fälle mit gefälschten Papiertans gab aber noch keine mit Mtans.

Ach so 30.000 aktuelle Fälle sind keine Fälle. Spätestens wenn die Mtans bei meiner Bank zwangsweise kommen, hat mich die Bank zum Kunden, wo ich noch meine guten alten Papiertans bekommen kann. Hackt mir mal einen Zettel, den ich irgendwo in der Wohnung versteckt habe.

Wennst deinen Zettel mit TAN vor deiner Haustür verlierst bist auch du schuld und kannst net sagen "TAN sind ja so unsicher!"