Sicherheit von Smartphones: Phishers Phritze spähen mobil

Das Problem mit den alten TAN-Listen und dem iTAN Verfahren scheint nicht allen klar zu sein.

Dieses Verfahren läßt sich durch Malware auf dem PC völlig aushebeln. Dazu klingt sich die Malware in die Browser-Sitzung mit der Bank ein. Das, was der Kunde sieht, ist nicht das, was der Bank übermittelt wird. Tätigt der Kunde eine Überweisung, so wird bei der Bank eine Überweisung auf ein anderes Konto angefordert. Die Bank fragt dann eine TAN ab, die durch die kompromittierte Sitzung weiter gegeben wird, ohne dass der Kunde das wirkliche Ziel er Überweisung erfährt. Es handelt sich um eine Man-in-the-Middle-Attacke, die bei Banking-Trojanern wie dem Zeus-Trojaner längst Standard ist.

Letztlich ist es so, dass auf einem PC, der einen Virus hat oder sonstwie mit Malware kompromittiert ist, nichts mehr sicher ist - er ist letztlich komplett ausser Kontrolle des Besitzers.

Eigentlich ist Windows für solche finanziell kritischen Nutzungen nicht geeignet, da sich ein Virenbefall nie wirklich aussschließen läßt.

Das MTAN Verfahren ist prinzipell sehr unsicher. Vorallem da der Übertragungsweg SMS nie für gesicherte Kommunikation gedacht war. Eine SMS in der lokalen Funkzelle abzufangen ist keine Hexerei. Das vorgehen des Hackers währe dan zuerst eine PC-zu knacken um an die Logindaten zukommen. Dann müsste er herausfinden wo sich der PC Befindet, was wenn man Zugrif auf ihn hat nicht so schwer sein dürfte. Schlislich muss er nur noch in der selben Funkzelle wie der gehackte warten bis dieser eine TAN erhält. Alternativ fodert er selbst eine an, was aber entweder Auffällig ist da der Bankkunde eine Unbestellte TAN erhält oder viel Aufwendiger ist da das Kommplette abfangen einer SMS viel schwiriger ist als bloses mithören. Fodert der Kunde die TAn an muss der Hacker nur noch schneller bei der eingabe sein und Geld geklaut.

Aber, wieso solten Hacker durch die Ganze Republick fahren, bzw. solange Rechner hacken bis einer in ihrer näh dabei ist, wenn Sie mit phishing attacken die Nutzer dazu kriegen ihnen die Arbeit massenhaft abzunehemen.

Wie wussten IT-Sicherheitsexperten schon immer, das größte Sicherheitsrisiko sitzt vor dem Monitor.

Was ist mit TAN-Generatoren? Auch hier sind die Medien Getrennt, Computer und TAN-Generator. Die erzeugte TAN abzufangen bringt nichts da sie z.B. bei einer überweisung an die Kontonummer des Empfängers gebunden ist. Ein Man-in-the-Middle müsste also dem User eine falsche Kontonummer unterjubeln. Wenn man zu mTANs gezwungen wird bleibt nur der Weg ein billighandy zu kaufen das man nur für diesen Zweck nutzt.

Bei meiner (V)Bank heist es schon seit langem:

Bitte beachten Sie, dass die Nutzung der mobilen TAN nicht möglich ist, wenn das Internetbanking über ein Smartphone abgewickelt wird. Nutzen Sie Ihr Smarphone für Ihre OnlineBanking benötigen Sie ein zweites Handy, um die TAN darauf zu empfangen

Aber das ist wohl noch nicht bei allen Banken angekommen.

ITANs können von auf kompromittierten Computern vom Cracker abgefangen und missbraucht werden. http://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html

Für mich ist ebenfalls nicht einsichtig, was an der ausgedruckten Liste mit den TAN-Nummern nun so unsicher gewesen sein soll. Wie vhaehnel schon sagte, mit so einer Liste allein kann niemand etwas anfangen. Und wenn die weg ist, dann muß man sich halt eine neue schicken lassen.

Der ganze Ärger mit den Smartphones ist halt der Preis, den unsere Gesellschaft für ihre immer größer werdende Bequemlichkeit zahlen muß. Wer halt unbedingt alles mit seinem Taschencomputer, der sich auch zum Telefonieren eignet, erledigen will, und dabei nicht ein Mindestmaß an gesundem Menschverstand walten läßt, der MUSS SICH NICHT WUNDERN.

Mir erschließt sich nicht, warum das bisherige PIN/TAN-Verfahren mit TAN-Liste unsicherer sein soll als mTAN. Bei PIN/TAN habe ich eine Medientrennung (Papier/Computer) und mit der TAN-Liste allein kann keiner was anfangen.Zum Zugriff auf das Konto wird meist eine zusätzliche Kundenummer und eine PIN benötigt. Die Banken sparen sich bei mTAN die Erstellung und den Versand des TAN-Briefs, sowie die Protokollierung der verbrauchten TANs für den rechtzeitigen Versand einer neuen Liste.

Nachdem ich bei einem Live-Hack von Smartphones (Demo) dabei war, werde ich sicherheitsrelevante Daten niemals auf diesen Geräten speichern.

warum ist das gesamte system gleich fragwürdig? der user muss sich nicht nur 1x komplett ahnungslos und unvorsichtig verhalten sondern gleich 2x um dieses phishing zu ermöglichen.

sehr gut natürlich der hinweis auf die nebulösen sms-zugriffsrechte.

Bei der comdirekt hab ich noch iTAN-Listen, und solche Probleme nicht. Und ich würde mir wünschen, dieses sichere System auch bei der Sparkasse wieder nutzen zu können.

Trojaner-Opfer sollten nicht entschädigt werden. Wer zu blöd ist, einen PC zu benutzen, bekommt so seinen Denkzettel.