SMS-TAN-Verfahren im Telefónica-Netz unsicher und bereits gehackt

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.953
telefonica_logo.png
2014 kam unter anderem durch den Chaos Computer Club ans Licht,dass die aktuell im Betrieb befindlichen UMTS-Netze eine gefährlicheSicherheitslücke im SS7-Protokoll aufweisen. Dieses ist dafür zuständig, die Log-Insim Mobilfunknetz zu verwalten und zu erlauben. Durch diese Sicherheitslücke ist esAngreifern möglich, sich mit einer erbeuteten Mobilfunknummer einzuloggen unddie Kommunikation in Form von SMS und Anrufen abzufangen.Nach Bekanntwerden der Lücke gelobten die drei deutschenMobilfunkanbieter Deutsche Telekom, Vodafone und Telefónica schnelleBehebung. Nun scheint die Sicherheitslücke im Telefónica-Netz allerdings aktivausgenutzt worden zu sein. Die für den Angriff...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Da wir schon dabei sind, was ist eigentlich das sicherste verfahren, oder ist SMS TAN noch immer das sicherste?
 
Ich schätze ChipTAN dürfte das sicherste sein, da die TAN lokal ohne Internetverbindung über den EMV-Chip deiner Karte generiert wird.
 
Das SMS-Verfahren ist wohl seit Jahren das unsicherste, welches es gibt.
Nachdem mir vor 3 Jahren wegen Verfahrensfehler von O2/Telefonica das komplette Konto ausgeräumt wurde (einschl. Dispo), setze ich auf BestSign-Verfahren.

Ich habe zwar damals mein Geld von der Bank zurück bekommen, aber den Stress brauche ich nicht nochmal.
Und den Mobilfunkanbietern, wie O2/Telefonica ist in Sachen Sicherheit nicht weiter zu trauen, als von der Wand bis zur Tapete...
 
Zuletzt bearbeitet:
Das aktuell sicherste Verfahren ist chipTAN comfort/smartTAN optic und HBCI.
Photo-TAN/QR-TAN sind nur sicher, wenn Banking-App und Entschlüsselungs-App auf getrennten Geräten laufen.
Das dürfte i.d.R. aber kaum der Fall sein.
 
Zuletzt bearbeitet:
Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.
 
Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.
Ja, sowas sind und bleiben in aller Regel Einzelfälle, aber doof wenn es einem passiert ist es halt schon...

Chiptan ist wohl sicherer, aber in meinem Fall kann ich dadurch nie onlinebanking bei besuchen machen denn das Teil passt ja nicht ins Geldbeutel. Ist ein gewisser Komfortnachteil - wie eigentlich fast immer wenn man Sicherheit will...
 
Du tust ja geradeso als ob der ChipTAN Gerät nen eigenen Rollkoffer braucht. -_-
 
Es braucht keinen Rollkoffer, aber es ist gerade eben so groß, dass man es nicht immer bei sich haben will.

Ja, sowas sind und bleiben in aller Regel Einzelfälle, aber doof wenn es einem passiert ist es halt schon...

Im Einzelfall hat es auch die Leute geärgert, deren EC-Karten mit diesen Aufsätzen kopiert wurden. Egal wie sicher etwas ist, Kopf eingeschaltet lassen sollte man schon.


ChipTAN hab ich damals boykottiert, weil die Sparkasse 10€ dafür haben wollte, damit ich mein Online-Banking weiter nutzen konnte.

Beim SMS-TAN find ich auch praktisch, dass ich im Notfall an jedem Rechner was überweisen kann.
 
Zuletzt bearbeitet:
@timo
Hä?
Wo ist denn der kausale Zusammenhang zwischen einem "Bug" und automatisch nicht mehr das Sicherste?

Den gibt es nur, wenn es entweder.vorher schon nicht das sicherste war oder wenn der "Bug" dafuer sorgt, dass es unsicherer wird als ein anderes verfahren.

Oder anders:
100>50
100-10>50 (immernoch)
Du: 100-10<50... ;)
 
SMS-TAN ist auch ohne die SS7-Protokolllücke nicht so sicher wie ChipTAN.
Es gab in der Vergangenheit auch schon andere Fälle, wo das System ausgehebelt wurde.
Zitat Wikipedia:
Da Mobiltelefone zunehmend mit Internetzugang ausgestattet sind, hat das mTAN-Verfahren grundsätzliche Schwächen, etwa wenn die mTAN auf dasselbe Gerät gesendet wird, das auch für das Online-Banking genutzt wird. Bei einem Verlust des Mobiltelefons besteht zudem der einzige Schutz vor missbräuchlichen Transaktionen in den Zugangsdaten zum Banking. TAN-Generatoren bieten in dieser Hinsicht wesentlich mehr Sicherheit, da die Geräte nicht vernetzt sind.

Entsprechend kann auf einem Smartphone ein Trojaner, der die Kontrolle über das System übernimmt, zuerst Benutzernamen und Passwort des Online-Bankings abhören und anschließend vollautomatisch Überweisungen durchführen, indem er sich erst ins Online-Banking einloggt, dann eine Überweisung ausfüllt, anschließend die SMS der mTAN abfängt und damit die Überweisung legitimiert. Es reicht also für einen Trojaner ein einmaliges Einloggen beim Online-Banking über das Smartphone, damit diese Sicherheitslücke ausgenutzt werden kann. Das Ganze funktioniert auch, wenn der Angreifer Benutzernamen und Passwort des Online-Bankings auf einem anderen Wege in Erfahrung gebracht hat, z. B. durch einen weiteren Trojaner auf dem PC.

Im September 2010 wurde erstmals in der Presse über neue Varianten des Banking-Trojaners ZeuS berichtet, der mit einer mobilen Variante entsprechende Parallel-Infektionen durchführt.[8] Im Dezember 2012 wurde berichtet, dass durch diesen Trojaner bereits über 36 Millionen Euro erbeutet worden sind.[9]

Eine weitere Schwachstelle ist die mit der Rufnummer verknüpfte SIM-Karte des Mobiltelefons. Diesbezüglich wurden Angriffe bekannt, bei denen mithilfe etwa per Trojaner erbeuteter Nutzerdaten die Rufnummer des Opfers auf eine neue SIM-Karte portiert[10] oder von den Angreifern eine Zweit-SIM angefordert wurde[11], mit der sie anschließend das mTAN-Verfahren aushebeln konnten.
 
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.
 
Genau deshalb hat meine Bank auch die gute alte Tanliste aufgelassen.
 
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.

Nö.
Das Verfahren kann durch Schadsoftware ausgehebelt werden.
2010 wurden mit einem entsprechenden iTAN-Trojaner 1,65 Millionen Euro erbeutet. Der Trojaner manipulierte dabei im Hintergrund sowohl die Überweisungsdaten als auch die Kontoübersichtsseite, sodass die tatsächlich getätigten Überweisungen verborgen blieben.
 
Bitte Überschrift korrigieren, SMS-TAN-Verfahren sind schon seit Jahren unsicher (egal in welchem Netz).

- - - Updated - - -

Nö.
Das Verfahren kann durch Schadsoftware ausgehebelt werden.

Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer
 
SMS-TAN ist auch ohne die SS7-Protokolllücke nicht so sicher wie ChipTAN.
Es gab in der Vergangenheit auch schon andere Fälle, wo das System ausgehebelt wurde.
Zitat Wikipedia:

Korrekt, es gab bei der Telekom vor nicht langer Zeit Missbrauchfälle, in denen Ersatzkarten aktiviert worden sind, die gar nicht den eigentlichen Kunden erreicht haben. Kriminelle haben auf die Art Blankokarten der Telekom auf vorhandene Nummern aktivieren lassen, weil seitens des Betreibers zu lasch kontrolliert wurde, wer da eigentlich gerade eine Ersatzkarte aktiviert. Blankokarten hat jeder Handyladen, als Firmenkunde wird man damit auch zugeschissen sobald man neue Geräte kauft. Das geht aber mittlerweile nicht mehr einfach so.
 
Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer

Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.
 
Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.
Da die Handynummer meist irgendwo im Onlinekonto hinterlegt ist, reicht es aus, wenn eine Hackergruppe, die SMS abfangen kann, deine Zugangsdaten erbeutet. Das ist ist für mich EINE Voraussetzung!

Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.
Wie kommt man nur auf so eine Idee, dass iTAN das sicherste Verfahren sei? Nur weil du das selbst nutzt?
chipTAN ist und war schon immer das sicherste Verfahren.

Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
 
chipTAN ist und war schon immer das sicherste Verfahren.
viel spass das unter linux oder mac zum laufen zu bekommen.
Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
das scheitert oft an den entscheidungsträger. Wie oft denkst du habe ich bei ärzten gesagt das sie ihre hardware verschlüsseln müssen? nein zu teuer...
 
Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.

Ich bin mir sicher wenn man dem Browser auf den Zahn fuehlt bringt er unterm Strich keinen Mehrwert gegenueber
nem Chrome oder Firefox.
 
Warum brauch man ein Navi, wenn man ein Android Phone hat? Was hat das mit dem Thema zu tun?

Viele der Hacks können nur zu Geld gemacht werden, wenn der Kunde auf eine Phishingseite/mail reinfällt oder Schadsoftware installiert. Deswegen ist eine iTan gar nicht so unsicher, da es dort keine "elektronische Übertragung" gibt.
Aber am sichersten ist nach wie vor Chiptan.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh