HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 113.953
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Ja, sowas sind und bleiben in aller Regel Einzelfälle, aber doof wenn es einem passiert ist es halt schon...Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.
Ja, sowas sind und bleiben in aller Regel Einzelfälle, aber doof wenn es einem passiert ist es halt schon...
Da wir schon dabei sind, was ist eigentlich das sicherste verfahren, oder ist SMS TAN noch immer das sicherste?
Da Mobiltelefone zunehmend mit Internetzugang ausgestattet sind, hat das mTAN-Verfahren grundsätzliche Schwächen, etwa wenn die mTAN auf dasselbe Gerät gesendet wird, das auch für das Online-Banking genutzt wird. Bei einem Verlust des Mobiltelefons besteht zudem der einzige Schutz vor missbräuchlichen Transaktionen in den Zugangsdaten zum Banking. TAN-Generatoren bieten in dieser Hinsicht wesentlich mehr Sicherheit, da die Geräte nicht vernetzt sind.
Entsprechend kann auf einem Smartphone ein Trojaner, der die Kontrolle über das System übernimmt, zuerst Benutzernamen und Passwort des Online-Bankings abhören und anschließend vollautomatisch Überweisungen durchführen, indem er sich erst ins Online-Banking einloggt, dann eine Überweisung ausfüllt, anschließend die SMS der mTAN abfängt und damit die Überweisung legitimiert. Es reicht also für einen Trojaner ein einmaliges Einloggen beim Online-Banking über das Smartphone, damit diese Sicherheitslücke ausgenutzt werden kann. Das Ganze funktioniert auch, wenn der Angreifer Benutzernamen und Passwort des Online-Bankings auf einem anderen Wege in Erfahrung gebracht hat, z. B. durch einen weiteren Trojaner auf dem PC.
Im September 2010 wurde erstmals in der Presse über neue Varianten des Banking-Trojaners ZeuS berichtet, der mit einer mobilen Variante entsprechende Parallel-Infektionen durchführt.[8] Im Dezember 2012 wurde berichtet, dass durch diesen Trojaner bereits über 36 Millionen Euro erbeutet worden sind.[9]
Eine weitere Schwachstelle ist die mit der Rufnummer verknüpfte SIM-Karte des Mobiltelefons. Diesbezüglich wurden Angriffe bekannt, bei denen mithilfe etwa per Trojaner erbeuteter Nutzerdaten die Rufnummer des Opfers auf eine neue SIM-Karte portiert[10] oder von den Angreifern eine Zweit-SIM angefordert wurde[11], mit der sie anschließend das mTAN-Verfahren aushebeln konnten.
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.
2010 wurden mit einem entsprechenden iTAN-Trojaner 1,65 Millionen Euro erbeutet. Der Trojaner manipulierte dabei im Hintergrund sowohl die Überweisungsdaten als auch die Kontoübersichtsseite, sodass die tatsächlich getätigten Überweisungen verborgen blieben.
Eher Chiptan ist das Sicherste, denn dafür braucht der Angreifer 3 Dinge:Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.
Nö.
Das Verfahren kann durch Schadsoftware ausgehebelt werden.
SMS-TAN ist auch ohne die SS7-Protokolllücke nicht so sicher wie ChipTAN.
Es gab in der Vergangenheit auch schon andere Fälle, wo das System ausgehebelt wurde.
Zitat Wikipedia:
Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer
Da die Handynummer meist irgendwo im Onlinekonto hinterlegt ist, reicht es aus, wenn eine Hackergruppe, die SMS abfangen kann, deine Zugangsdaten erbeutet. Das ist ist für mich EINE Voraussetzung!Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.
Wie kommt man nur auf so eine Idee, dass iTAN das sicherste Verfahren sei? Nur weil du das selbst nutzt?Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.
viel spass das unter linux oder mac zum laufen zu bekommen.chipTAN ist und war schon immer das sicherste Verfahren.
das scheitert oft an den entscheidungsträger. Wie oft denkst du habe ich bei ärzten gesagt das sie ihre hardware verschlüsseln müssen? nein zu teuer...Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.
ich glaube du weißt nicht, was das ist. Das funktioniert sogar mit meinem Android Phone...viel spass das unter linux oder mac zum laufen zu bekommen.