Betrugsserie beim Online-Banking

H

Helios

Active member
Themenstarter
Registriert
23 Sep. 2009
Beiträge
12.633
Wie die Nachrichten und diverse Medien berichten, fielen unzählige Onlinebanking-Kunden, welche ihre Transfers in den vergangenen Wochen mittels mTAN durchführten und die SIM-Karte von der Telekom besassen, einer Betrugsserie ins Netz.

Kompletter Artikel: Süddeutsche Zeitung - Betrugsserie beim Online-Banking


LG Uwe
 
Im vorliegenden Fall ist TAN-Verfahren als auch HBCI gleich sicher/unsicher.
Schließlich wurden hier SIM-Karten im Auftrag der Kunden erschlichen inklusive der relevanten Daten.
Kann also auch bei HBCI passieren, wenn da jemand sich eine verloren gemeldete Ersatzkarte besorgt und die Daten kennt.

Schlimmer ist der Umstand, daß angebliche Telekom-Mitarbeiter bzw Shopbesitzer das Ganze durchgeführt haben. Das Sicherheitsproblem liegt also in aller erster Linie bei der Telekom.
Normalerweise sind die ausgespähten Daten auf dem Rechner nicht mehr Wert wie die angesprochenen weggeworfenen Kontoauszüge. Das System, egal ob vor Ort in der Bank, per TAN oder HBCI, ist nur so sicher, wie die eigenen Mitarbeiter der Banken (oder in dem Fall hier der Telekom) selbst.
Typischerweise wird das aber eher am Rand bemerkt. Hier wird wieder mal fleißig auf die Kunden abgelenkt, die sich haben ausspähen lassen und man nun das Ausgabeverfahren an den Kunden ändert. Man sollte eher in der Chefetage aufräumen!

Uwe
 
zumal man nicht vergessen darf: Die Anzahl der betroffenen Kunden bewegte sich "nur" im Zweistelligen Bereich... Da von einer Welle/Serie zu sprechen ist in heutigen Skimming-Maßstäben echt niedlich. :D
 
Koile schrieb:
Wenn man nicht ein Android-Phone mit falscher Android-Version nutzt. Gab da mal so eine nette Malware, die selbständig Bankbuchungen tätigen und die benötigten TAN-SMS stumm abgefangen hat, ohne dass der Nutzer etwas davon registrierte.
Zum Vergrößern anklicken....
Wahrscheinlich weigert(e?) sich die Sparkassen-App deshalb beharrlich, auf einem gerooteten CM zu laufen...

Koile schrieb:
werden von den dann geskimmten Überweisungsträgern, die offline in der Bank eingereicht werden, seltenst die Personalien und/oder die Unterschrift überprüft.
Zum Vergrößern anklicken....
So sind mir mal rund 500€ von einem Reiseunternehmen abgebucht worden. Der tatsächliche Urlauber hatte die Kontonummer unleserlich geschrieben und ein Zahlenverwechsler (8 statt 6) führte dazu, dass das Geld bei mir abgebucht wurde (der als Student dann fast im Dispo stand). Auf Rückfrage wird sowas "bei solch geringen Beträgen" nicht gegen geprüft...

Ich finde es auch immer wieder spannend, wie schnell in solchen Fällen die Schuld beim Endverbraucher gesucht wird.
 
Pferdle schrieb:
Schlimmer ist der Umstand, daß angebliche Telekom-Mitarbeiter bzw Shopbesitzer das Ganze durchgeführt haben. Das Sicherheitsproblem liegt also in aller erster Linie bei der Telekom.
Normalerweise sind die ausgespähten Daten auf dem Rechner nicht mehr Wert wie die angesprochenen weggeworfenen Kontoauszüge. Das System, egal ob vor Ort in der Bank, per TAN oder HBCI, ist nur so sicher, wie die eigenen Mitarbeiter der Banken (oder in dem Fall hier der Telekom) selbst.
Typischerweise wird das aber eher am Rand bemerkt. Hier wird wieder mal fleißig auf die Kunden abgelenkt, die sich haben ausspähen lassen und man nun das Ausgabeverfahren an den Kunden ändert. Man sollte eher in der Chefetage aufräumen!
Zum Vergrößern anklicken....
Yep. Der Depp ist wieder mal der Kunde selbst. War schon immer so und wird es vermutlich auch weiterhin bleiben.

Hat es eigentlich hier im Forum jemanden erwischt bei der ganzen Betrugsgeschichte?
 
L0nestar schrieb:
Auf Rückfrage wird sowas "bei solch geringen Beträgen" nicht gegen geprüft...
Zum Vergrößern anklicken....
Und wenn ein "Offlinehacker" konsequent nur Buchungen <50 Euro ausführt, fallen den meisten betroffenen die Buchungen nicht mal auf :facepalm:

Helios schrieb:
Hat es eigentlich hier im Forum jemanden erwischt bei der ganzen Betrugsgeschichte?
Zum Vergrößern anklicken....
die Anzahl der Betrugsfälle wird einmal als "mehrere Dutzend" und einmal als "im mittleren zweistelligen Bereich" angegeben, aus der Kombination lässt sich schließen: Gut unter 50 Fälle insgesamt. Bei 80 Mio. Bundesbürgern der BRD von denen hier nur sehr wenige aktive User im Forum sind. Kannst mal selbst die Wahrscheinlichkeit ausrechnen. :D
 
Pferdle schrieb:
Kann also auch bei HBCI passieren, wenn da jemand sich eine verloren gemeldete Ersatzkarte besorgt und die Daten kennt.
Zum Vergrößern anklicken....

Die Ersatzkarte wird nur an die bei der Bank hinterlegte Adresse geschickt.
Die zugehörige Transport-PIN wird separat verschickt.

Wer das zu unsicher findet, darf auch keine EC-Karte beantragen.

Schon früher gab es Scheckbetrug und gefälschte Überweisungen.
Merkwürdig, daß bei Diskussionen zu diesem Thema immer das nachgewiesenermaßen regelmäßig kompromittierte PIN/TAN/mTAN Verfahren verteidigt wird mit der theoretischen Möglichkeit, auch das Chipkarten-HBCI-Verfahren zu hacken.
Ich nutze HBCI seit etwa 15 Jahren. Dieses verfahren mußte seitdem nicht geändert werden.
In der gleichen Zeit wurden jede Menge Änderungen/Verbesserungen am PIN/TAN-basierten Online-Banking vorgenommen.
Das spricht wohl für sich.

- - - Beitrag zusammengeführt - - -

L0nestar schrieb:
ein Zahlenverwechsler (8 statt 6) führte dazu, dass das Geld bei mir abgebucht wurde
Zum Vergrößern anklicken....

Klingt unwahrscheinlich, da wegen der Prüfziffer mindestens an zwei Stellen falsche Ziffern stehen müssen, damit diese zufällig wieder eine gültige Kontonummer ergeben, und das ist sehr unwahrscheinlich.
 
Koile schrieb:
die Anzahl der Betrugsfälle wird einmal als "mehrere Dutzend" und einmal als "im mittleren zweistelligen Bereich" angegeben, aus der Kombination lässt sich schließen: Gut unter 50 Fälle insgesamt. Bei 80 Mio. Bundesbürgern der BRD von denen hier nur sehr wenige aktive User im Forum sind. Kannst mal selbst die Wahrscheinlichkeit ausrechnen. :D
Zum Vergrößern anklicken....
Aha... dann also beinahe jeder Zweite hier im Forum... oder bin ich jetzt ein wenig aus der Übung beim Prozentrechnen :rolleyes:?
 
Zuletzt bearbeitet:
für mTAN sind mir bisher erst zwei Kompromittierungen bekannt geworden: einmal für gerootete Androids und eben aktuell das bei der Telekom, was nicht anders als durch massives, menschliches Versagen durch den Mitarbeiter zu erklären ist.
Heißt: Wenn man kein Android-User ist (wobei ich hoffe, dass die Lücke inzwischen geschlossen ist...) und nicht einem unvorsichtigen Telekommitarbeiter ausgeliefert ist, ist mTAN ein ebenso sicheres Verfahren, wie HBCI. ;)

Bzw. drehen wir den Spieß um: Wo ist denn deiner Meinung nach mTAN unsicherer als HBCI, wenn man eben nicht eines der anfälligen Android-Systeme nutzt?
 
hschalt schrieb:
Klingt unwahrscheinlich, da wegen der Prüfziffer mindestens an zwei Stellen falsche Ziffern stehen müssen, damit diese zufällig wieder eine gültige Kontonummer ergeben, und das ist sehr unwahrscheinlich.
Zum Vergrößern anklicken....

Die Sache war nicht damit gegessen, dass ich die Bank anrufe. Die sagten mir, es gebe einen handschriftlich ausgefüllten Überweisungsträger mit der Unterschrift des Kontoinhabers (also meiner). Der Originalbeleg wurde dann zwecks Begutachtung in die Hauptfiliale in meiner Nähe geschickt (zum Unterschriftenvergleich). Dabei fiel dann (es gingen 2 Wochen ins Land in denen ich reichlich klamm war...) auf, dass weder die Kontonummer noch der Name bzw. die Unterschrift korrekt waren (und darauf eben genau an einer Stelle eine Zahl sehr unleserlich geschrieben war, die man so und so hätte deuten können).

Die weiteren (auch bankinternen) Abläufe habe ich ehrlich gesagt nicht mehr hinterfragt, ich war froh, das Geld erstattet ("zurückgebucht"?) zu bekommen. Ich nehme auf Grund der Sachlage an, dass es sich um exakt diese Zahlenverwechslung handelte. Das Ganze spielte übrigens vor IBAN-Zeiten und betraf nur die Kto.-Nummer, die BLZ war gleich.
 
Hi,
und wie sieht die Sicherheit beim chiptan-Verfahren (Postbnk) aus ?
Jemand Erfahrungen damit?

Mit Gruss!
 
hschalt schrieb:
Die Ersatzkarte wird nur an die bei der Bank hinterlegte Adresse geschickt.
Die zugehörige Transport-PIN wird separat verschickt.
Zum Vergrößern anklicken....

Ja und? Was weißt Du denn, welche Adresse die Bank da hat? Oder an welche Adresse sie tatsächlich versendet?

Im aktuellen Fall wurden SIM-Karten an angebliche TelekomShop-Mitarbeiter versendet.
So wie hier der Weg zum Kunden verändert wurde, ist das für einen Betrüger auch woanders keine Kunst bzw wurde ja scheinbar nicht überprüft, ob der Empfänger überhaupt dazu berechtigt.

Das über HBCI noch nichts passiert ist, kann auch einfach daran liegen, daß nun mal andere Verfahren weiter verbreitet sind (warum gibt es mehr Viren für Windows?).

Uwe
 
blafoo schrieb:
mTAN ist ein sicheres Verfahren!

Das hat auch nicht die Bank verkackt sondern die Telekom.
Zum Vergrößern anklicken....

Nein, mTAN ist leider kein sicheres Verfahren. Es gibt leider ziemlich viele Möglichkeiten, SMS abzugreifen. Sich als der Kunde ausgeben und Ersatz-SIMs beantragen hat es vor einer Weile schon gegeben. Jetzt haben sich die Leute als Telekom-Shop-Mitarbeiter ausgegeben und darüber neue SIMs bekommen. Ging also auch erst einmal. SMS werden weltweit unverschlüsselt zwischen den Anbietern übertragen, da könnte man auch mal ein "Datenleck" anzapfen. Und wenn das alles nicht hilft, muss man sich an das SMS-System ankoppeln und so tun, als wenn der betroffene Kunde roamend in diesem Netz sei. Dann geht die SMS dorthin anstatt zum Kunden. SMS sind unsicher...

laptopheaven schrieb:
Noch sicherer ist ein leeres Konto.....kennen einige bestimmt aus langjähriger persönlicher Erfahrung
Zum Vergrößern anklicken....

:thumbsup:

L0nestar schrieb:
Wahrscheinlich weigert(e?) sich die Sparkassen-App deshalb beharrlich, auf einem gerooteten CM zu laufen...
Zum Vergrößern anklicken....
Also bei mir läuft die einwandfrei. Beim Login zeigt sie zwar eine Warnung, aber sie läuft.

Helios schrieb:
Aha... dann also beinahe jeder Zweite hier im Forum... oder bin ich jetzt ein wenig aus der Übung beim Prozentrechnen :rolleyes:?
Zum Vergrößern anklicken....
50 Leute von 80 Mio. - das ist nicht jeder Zweite hier ;) Auch nicht mit Dunkelziffer :D
 
Damit mTAN unsicher ist, braucht man einen infizierten PC oder die Zugangsdaten, Zugriff auf das Handy und die Information, dass Konto und Telefon zusammenhängen. Da muss schon einiges schief laufen, und das an verschiedenen Stellen. Bei HBCI läuft alles auf einem Gerät zusammen, was heutzutage einfach fahrlässig ist.
Dass es keine Zwischenfälle beim HBCI Verfahren gibt, sicherlich zum großen Teil an der viel geringeren Verbreitung.
 
Tao schrieb:
Damit mTAN unsicher ist, braucht man einen infizierten PC oder die Zugangsdaten, Zugriff auf das Handy und die Information, dass Konto und Telefon zusammenhängen. Da muss schon einiges schief laufen, und das an verschiedenen Stellen.
Zum Vergrößern anklicken....

Ja eben nicht! Man braucht eben keinen Zugriff aufs Handy, SMS sind wie gesagt sehr unsicher, wie man hier ja auch sieht. Siehe meinen Beitrag, es gibt viele Wege, SMS abzufangen. Dass Konto und Handynummer zusammengehören findet man sofort raus, wenn man die BankZugangsdaten hat. Alles, was man also noch braucht, sind die Bankzugangsdaten (und eben einer der Wege, um SMS abzufangen). Die bekommt man über Phishing, Trojaner, ...
 
Tao schrieb:
Bei HBCI läuft alles auf einem Gerät zusammen, was heutzutage einfach fahrlässig ist.
Zum Vergrößern anklicken....

Bitte was? Für HBCI-Chipkarte brauche ich die Chipkarte und die zugehörige PIN. Diese PIN landet bei einem Klasse 3-Leser nicht im PC. Wo läuft nun nochmal alles zusammen?
 
Um das HBCI-Verfahren mal zu erläutern. Hier eine Übersicht, wie das Ganze abläuft. Eine Finanzsoftware ist jedoch nicht zwingend von Nöten. Funktioniert auch ohne diese direkt aus dem Browser heraus.

WikiBanking - HBCI-Verfahren


P.S.: Die aktuellen Chipkartenleser sind zudem Secoder, welche die Sicherheitsstufe weiter erhöhen (privat verwende ich beispielsweise so einen).
 
Zuletzt bearbeitet:
Moin
blafoo schrieb:
mTAN ist ein sicheres Verfahren!
Das hat auch nicht die Bank verkackt sondern die Telekom.
Zum Vergrößern anklicken....
Deshalb ist mTan ein unsicheres Verfahren.
Der Provider ist Teil des Sicherheitskonzeptes aber nicht Teil des Sicherheitsprozesses.

Pferdle schrieb:
Kann also auch bei HBCI passieren, wenn da jemand sich eine verloren gemeldete Ersatzkarte besorgt und die Daten kennt.
Zum Vergrößern anklicken....
Die HBCI-Karte ist nur ein Datenträger. Das Geheimnis (Key) wird durch den Kunden selbst erstellt und verlässt die Karte niemals. Deshalb ist eine abgefangene HBCI-Karte auch wertlos.

HBCI ist sicher, weil das Geheimnis (Der private Schlüssel) das Speichermedium (HBCI-Karte) nicht verlässt und man zusätzlich noch ein weiteres Geheimnis (PIN) kennen muss um die Karte nutzen zu können.

Mit einem Klasse 3 Leser (Tastatur und Display) ist mir bisher kein Verfahren bekannt, mit dem man das HBCI-Verfahren unbemerkt kompromittieren und missbrauchen könnte.
Das ist gleichzeitig auch der Grund, weshalb es so wenige Menschen nutzen. Sicherheit kostet Geld und ist unbequem.


Im übrigen ist das Problem mit der SIM schon lange bekannt und betrifft alle Provider und nicht nur die Telekom.

RomanX
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben