Zitat von Ch. aus D.

... oder wenn die bösen Buben auf _beiden_ Geräten   einen entsprechenden Trojaner haben.

Sie geben Überweisungsdaten auf ihrem PC ein.

Der Trojaner dort ändert diese ab, bevor sie an die Bank   gesendet werden.

Die Bank sendet die TAN für die manipulierte   Überweisung an ihr ebenfalls trojanisiertes Handy.

Das trojanisierte Handy schickt die TAN an einen Server der   bösen Buben, der sie an den Trojaner auf ihrem PC   weiterleitet.

Der Trojaner auf dem PC autorisiert die manipulierte   Überweisung mit der empfangenen TAN.

 

Und dann haben sie erstmal den schwarzen Peter, und die   bösen Buben haben das Geld.

 Ok - aber dies ist jetzt schon ziemlich konstruiert, oder?

Zitat von Ch. aus D.

  Besser wären natürlich Chip-TAN-Lesegeräte mit USB-Anschluss, denn dort entfiele sowohl der Batteriewechsel als auch der Flickercode. Natürlich muss die Möglichkeit, die Überweisungsdaten auf dem Display des Geräts zu überprüfen (nur dann ist die Überweisung sicher) noch bestehen, und die TAN muss auch von Hand auf dem Computer eingegeben werden.

Wie wäre es mit HBCI-Chipkarte? Sie benötigen dazu eine Onlinebanking Software, eine HBCI-Chipkarte Ihrer Bank und z.B. diesen Kartenleser http://www.reiner-sct.com/content/view/170/138/ .

Zitat von flyaway1

 

Wie wäre es mit HBCI-Chipkarte? Sie benötigen dazu eine Onlinebanking Software, eine HBCI-Chipkarte Ihrer Bank und z.B. diesen Kartenleser http://www.reiner-sct.com/content/view/170/138/ .

Zu kompliziert in der Handhabung. Erstens ist die Beantragung eine Doktorarbeit (INI-Brief verifizieren, diverse Bestätigungen durchführen, mit der Post versenden etc.),  zweitens ist man durch den Leser und die Software örtlich gebunden, drittens nervt die Software ganz gehörig, z. B. wird man alle 1-2 Jahre zum Update gedrängt (Starmoney, Quicken usw.).

Martin

Zitat von hrafnagaldr

  Der Trojaner ist nur gefährlich, wenn die Überweisung vom selben Gerät ausgelöst wird, das auch die SMS empfängt.

Das stimmt so nicht. Wenn man einen Trojaner auf dem Computer hat und einen dazu passenden auf dem Smartphone, dann ergibt sich in der Summe eine ebenso große Gefahr. Wie das möglich ist, steht hier:

http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html

Zudem gibt es auch noch Trojaner, die sich als Token-Generator ausgeben und so an alle nötigen Informationen herankommen:

http://www.heise.de/security/meldung/Android-Trojaner-greift-mTANs-ab-1473431.html

Zitat von hrafnagaldr

  Ansonsten verschickt zumindest auch die Postbank die SMS mit Betrag und Kontonummer des Empfängers. Lesen sollte man das halt noch.

 Das machen aber nicht alle Banken so.

Zitat von hrafnagaldr

  Ansonsten verschickt zumindest auch die Postbank die SMS mit Betrag und Kontonummer des Empfängers. Lesen sollte man das halt noch.

Zitat von rfederle

Das machen aber nicht alle Banken so.

Ja, jetzt raus mit der Sprache. Welche Bank macht das nicht so?

Zitat von Hunsrücker

 

Mann, ist das kompliziert! Warum machen die Bösen Buben denn die ganze Ünerweisung nicht gleich ganz selber?

Das Einzige, was man dazu braucht, ist das _ungemein starke Password_ zum Einloggen beim Onlinebanking.

 Richtig, stimmt auch wieder. Wenn die bösen Buben das Passwort für das Onlinebanking schon haben, muss der Benutzer gar nichts tun, damit sein Konto geleert werden kann.

Der Trojaner auf dem PC loggt sich beim Onlinebanking ein und stösst eine Überweisung an.

Der Trojaner auf dem Handy fängt die SMS mit der TAN ab und leitet sie an den PC weiter.

Der Trojaner auf dem PC bestätigt damit die Überweisung.

Zitat von Dr.Hollywood

 

 Ok - aber dies ist jetzt schon ziemlich konstruiert, oder?

 Die Angriffsart ist möglich, und die bösen Buben müssen sie eigentlich nur noch automatisieren. Die größte Hürde wird vermutlich sein, festzustellen, dass man sowohl PC als auch Handy eines SMS-Tan-Nutzers erfolgreich untergraben hat. Aber das geht vermutlich mit ein bisschen Datensammlung und Statistik und ist ebenfalls leicht automatisierbar.

Zitat von flyaway1

 

 

Wie wäre es mit HBCI-Chipkarte? Sie benötigen dazu eine Onlinebanking Software, eine HBCI-Chipkarte Ihrer Bank und z.B. diesen Kartenleser http://www.reiner-sct.com/content/view/170/138/ .

Zitat von Martin

 

 

Zu kompliziert in der Handhabung. Erstens ist die Beantragung eine Doktorarbeit (INI-Brief verifizieren, diverse Bestätigungen durchführen, mit der Post versenden etc.),  zweitens ist man durch den Leser und die Software örtlich gebunden, drittens nervt die Software ganz gehörig, z. B. wird man alle 1-2 Jahre zum Update gedrängt (Starmoney, Quicken usw.).

Martin

Ich verwende eine HBCI-Chipkarte. Natürlich musste man das beantragen, war Dank Bankangestelltem aber kein Problem, Software (VR-NetWorld) habe ich von der Raiba kostenlos bekommen. Leider muss man alle paar Jahre für eine neue HBCI-Karte 10 bis 20 Euro zahlen. Und leider soll das derzeitige HBCI-Verfahren nur noch bis 2015 unterstützt werden.

Zitat von tango

  Und leider soll das derzeitige HBCI-Verfahren nur noch bis 2015 unterstützt werden.

Danach gibts eine neues HBCI-Verfahren, zumindest bei den Sparkassen

Zitat von Ch. aus D.

 

 Die Angriffsart ist möglich, und die bösen Buben müssen sie eigentlich nur noch automatisieren. Die größte Hürde wird vermutlich sein, festzustellen, dass man sowohl PC als auch Handy eines SMS-Tan-Nutzers erfolgreich untergraben hat. Aber das geht vermutlich mit ein bisschen Datensammlung und Statistik und ist ebenfalls leicht automatisierbar.

 Möglich? Naja! Klar - aber genaus möglich ist es, dass ich am Samstag im Lotto gewinne!

Zitat von Ch. aus D.

 

Ähm, ok, dann müssen das aber auch nur noch zwei Trojaner aus der gleichen Schmiede sein, die sich am besten noch synchronisieren.

Hmm ja, wenn sowas tatsächlich zutreffen sollte, dann hat das der betreffende Benutzer einfach verdient.

Zitat von hrafnagaldr

 

 

Ähm, ok, dann müssen das aber auch nur noch zwei Trojaner aus der gleichen Schmiede sein, die sich am besten noch synchronisieren.

 

Nicht unbedingt aus der gleichen Schmiede, solange der Server der bösen Buben richtig mit beiden Trojanern reden kann. Das ist dann sozusagen die Böse-Buben-Cloud, mit der dann das Geld vom Konto gecloud, äh, geklaut wird.

Zitat von Dr.Hollywood

 

 Möglich? Naja! Klar - aber genaus möglich ist es, dass ich am Samstag im Lotto gewinne!

 Phishing ist auch bei winzigen Trefferchancen noch rentabel. Wenn die Phisherei nicht mehr gewinnträchtig wäre, nur weil 99.99% der Kunden nicht drauf reinfallen ... dann wäre sie schon lange verschwunden.

Zitat von Ch. aus D.

 
.. oder wenn die bösen Buben auf _beiden_ Geräten einen entsprechenden Trojaner haben.

Sie geben Überweisungsdaten auf ihrem PC ein.

Der Trojaner dort ändert diese ab, bevor sie an die Bank gesendet werden.

es ist nicht so ganz das Thema - aber mir ist es seit fast 20 Jahren im Netz (privat) nicht gelungen einen Trojaner oder andere signifikante Schadsoftware auf meinen PC zu bekommen. Und dazu braucht ma keine besonders hochtrabende Spezialkenntnisse

Wer ohne Schuld, der werfe den ersten Stein.

Aber ich würde es mal mit HBCI probieren.