cyberjonny
Active member
- Registriert
- 22 Sep. 2007
- Beiträge
- 9.670
In Verbindung mit einem Kartenleser mit Display schon.mit einer man in the middle attack schützt dich auch HBCI nicht.
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
In Verbindung mit einem Kartenleser mit Display schon.mit einer man in the middle attack schützt dich auch HBCI nicht.
Wahrscheinlich weigert(e?) sich die Sparkassen-App deshalb beharrlich, auf einem gerooteten CM zu laufen...Wenn man nicht ein Android-Phone mit falscher Android-Version nutzt. Gab da mal so eine nette Malware, die selbständig Bankbuchungen tätigen und die benötigten TAN-SMS stumm abgefangen hat, ohne dass der Nutzer etwas davon registrierte.
So sind mir mal rund 500€ von einem Reiseunternehmen abgebucht worden. Der tatsächliche Urlauber hatte die Kontonummer unleserlich geschrieben und ein Zahlenverwechsler (8 statt 6) führte dazu, dass das Geld bei mir abgebucht wurde (der als Student dann fast im Dispo stand). Auf Rückfrage wird sowas "bei solch geringen Beträgen" nicht gegen geprüft...werden von den dann geskimmten Überweisungsträgern, die offline in der Bank eingereicht werden, seltenst die Personalien und/oder die Unterschrift überprüft.
Yep. Der Depp ist wieder mal der Kunde selbst. War schon immer so und wird es vermutlich auch weiterhin bleiben.Schlimmer ist der Umstand, daß angebliche Telekom-Mitarbeiter bzw Shopbesitzer das Ganze durchgeführt haben. Das Sicherheitsproblem liegt also in aller erster Linie bei der Telekom.
Normalerweise sind die ausgespähten Daten auf dem Rechner nicht mehr Wert wie die angesprochenen weggeworfenen Kontoauszüge. Das System, egal ob vor Ort in der Bank, per TAN oder HBCI, ist nur so sicher, wie die eigenen Mitarbeiter der Banken (oder in dem Fall hier der Telekom) selbst.
Typischerweise wird das aber eher am Rand bemerkt. Hier wird wieder mal fleißig auf die Kunden abgelenkt, die sich haben ausspähen lassen und man nun das Ausgabeverfahren an den Kunden ändert. Man sollte eher in der Chefetage aufräumen!
Und wenn ein "Offlinehacker" konsequent nur Buchungen <50 Euro ausführt, fallen den meisten betroffenen die Buchungen nicht mal auf :facepalm:Auf Rückfrage wird sowas "bei solch geringen Beträgen" nicht gegen geprüft...
die Anzahl der Betrugsfälle wird einmal als "mehrere Dutzend" und einmal als "im mittleren zweistelligen Bereich" angegeben, aus der Kombination lässt sich schließen: Gut unter 50 Fälle insgesamt. Bei 80 Mio. Bundesbürgern der BRD von denen hier nur sehr wenige aktive User im Forum sind. Kannst mal selbst die Wahrscheinlichkeit ausrechnen.Hat es eigentlich hier im Forum jemanden erwischt bei der ganzen Betrugsgeschichte?
Kann also auch bei HBCI passieren, wenn da jemand sich eine verloren gemeldete Ersatzkarte besorgt und die Daten kennt.
ein Zahlenverwechsler (8 statt 6) führte dazu, dass das Geld bei mir abgebucht wurde
Aha... dann also beinahe jeder Zweite hier im Forum... oder bin ich jetzt ein wenig aus der Übung beim Prozentrechnen ?die Anzahl der Betrugsfälle wird einmal als "mehrere Dutzend" und einmal als "im mittleren zweistelligen Bereich" angegeben, aus der Kombination lässt sich schließen: Gut unter 50 Fälle insgesamt. Bei 80 Mio. Bundesbürgern der BRD von denen hier nur sehr wenige aktive User im Forum sind. Kannst mal selbst die Wahrscheinlichkeit ausrechnen.
Klingt unwahrscheinlich, da wegen der Prüfziffer mindestens an zwei Stellen falsche Ziffern stehen müssen, damit diese zufällig wieder eine gültige Kontonummer ergeben, und das ist sehr unwahrscheinlich.
50 (Fünfzig). Nicht 50 Mio.Aha... dann also beinahe jeder Zweite hier im Forum... oder bin ich jetzt ein wenig aus der Übung beim Prozentrechnen ?
Ja, weiss. Habe nur noch versucht, die Dunkelziffer mit einer Schätzung einzubeziehen.50 (Fünfzig). Nicht 50 Mio.
Die Ersatzkarte wird nur an die bei der Bank hinterlegte Adresse geschickt.
Die zugehörige Transport-PIN wird separat verschickt.
mTAN ist ein sicheres Verfahren!
Das hat auch nicht die Bank verkackt sondern die Telekom.
Noch sicherer ist ein leeres Konto.....kennen einige bestimmt aus langjähriger persönlicher Erfahrung
Also bei mir läuft die einwandfrei. Beim Login zeigt sie zwar eine Warnung, aber sie läuft.Wahrscheinlich weigert(e?) sich die Sparkassen-App deshalb beharrlich, auf einem gerooteten CM zu laufen...
50 Leute von 80 Mio. - das ist nicht jeder Zweite hier Auch nicht mit DunkelzifferAha... dann also beinahe jeder Zweite hier im Forum... oder bin ich jetzt ein wenig aus der Übung beim Prozentrechnen ?
Damit mTAN unsicher ist, braucht man einen infizierten PC oder die Zugangsdaten, Zugriff auf das Handy und die Information, dass Konto und Telefon zusammenhängen. Da muss schon einiges schief laufen, und das an verschiedenen Stellen.
Bei HBCI läuft alles auf einem Gerät zusammen, was heutzutage einfach fahrlässig ist.
Deshalb ist mTan ein unsicheres Verfahren.mTAN ist ein sicheres Verfahren!
Das hat auch nicht die Bank verkackt sondern die Telekom.
Die HBCI-Karte ist nur ein Datenträger. Das Geheimnis (Key) wird durch den Kunden selbst erstellt und verlässt die Karte niemals. Deshalb ist eine abgefangene HBCI-Karte auch wertlos.Kann also auch bei HBCI passieren, wenn da jemand sich eine verloren gemeldete Ersatzkarte besorgt und die Daten kennt.