29.09.11 11:44 Uhr
 4.350
 

Online-Banking: Auch Tan-Nummern per SMS nicht sicher

Mit der Umstellung des Versandes der Transaktionsnummern (Tan) für das Online-Banking sollte das Verfahren sicherer gemacht werden.

Doch auch das Verschicken der Tan-Nummern per SMS aufs eigene Handy ist keineswegs sicher - auch hier haben Betrüger bereits eine Lücke entdeckt.

"Besitzer internetfähiger Smartphones müssen verstärkt damit rechnen, dass Online-Betrüger mobile Transaktionsnummern und Kontodaten ausspähen", so Sven Bugiel, Informatiker an der TU Darmstadt.


Videoplayer auf dieser Seite ausblenden
WebReporter: tante_mathilda
Rubrik:   High Tech
Schlagworte: Online, SMS, Betrug, Online-Banking, Tan
Quelle: www.sueddeutsche.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Amazon Prime fügt HBO und Cinemax zu seinem Streaming-Dienst hinzu
The Last of Us 2 - Fortsetzung des Kult-Spiels kommt
Google: Schadsoftware auf Android-Geräten gefunden

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

24 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
29.09.2011 11:53 Uhr von SystemSlave
 
+9 | -1
 
ANZEIGEN
War doch klar: Übers Handynetzt werden die Daten Unverschlüsselt versendet und können somit auch abgefangen bzw. abgehört werden.

Smartphones erleichtern das ganze auch noch da man sich nicht in der nähe des Telefons befinden muss was man abhören will.
Kommentar ansehen
29.09.2011 12:02 Uhr von suschu
 
+36 | -8
 
ANZEIGEN
Blabla. jaja alles unsicher alles gefährlich pipapo...mein Gott du kannst theoretisch auch jeden Tag ein Blutgerinsel bekommen..da mach ich mir doch nich um sowas gedanken. Wers ganz sicher haben will verzichtet halt auf online Banking.
Kommentar ansehen
29.09.2011 12:03 Uhr von Bayernpower71
 
+3 | -11
 
ANZEIGEN
Handy-Profi hier? betrifft das auch offenes Android?
Ich installier keine Apps. Brauch das Ding nur zum telefonieren und TAN-SMS.

Notfalls hol ich mir ne Prepaid-Karte. Hab noch ein altes Siemens S45i rumliegen.

@suschu
ich hab gewiss keine Paranoia das es mich treffen könnte, aber wenns mir ans Geld geht versteh ich keinen Spaß mehr ^^

[ nachträglich editiert von Bayernpower71 ]
Kommentar ansehen
29.09.2011 12:25 Uhr von artefaktum
 
+3 | -7
 
ANZEIGEN
Hab da nicht viel Ahnung von halte allerdings ChipTan für einiges sicherer.
Kommentar ansehen
29.09.2011 12:26 Uhr von Jaecko
 
+6 | -17
 
ANZEIGEN
Kommentar ansehen
29.09.2011 12:28 Uhr von derzyniker
 
+4 | -4
 
ANZEIGEN
@Bayernpower: Das betrifft sogar hauptsächlich Android!

Viele Apps laden Werbung mit oder haben uneingeschränkten Inet-Zugang (auch vorinstallierte Apps!).

Wenn der Entwickler der App will schiebt er Dir im nächsten Update Code unter, der deine SMS überwacht und über Inet weitergibt. Die gültige TAN einem Konto zuzuordnen ist der schwierigste Teil der Operation, aber vielleicht kriegt er ja die Kontonummer aus deiner Banking-App oder aus deinen Emails...

Ich empfehle für Dein Nutzungsprofil das Internet daurhaft zu deaktivieren...

Einstellungen -> Wireless -> Mobilfunknetz -> deaktivieren

und den APN zu verstellen:

Einstellungen -> Wireless -> Mobile Netzwerke -> Zugangspunkte

um eine unabsichtliche Einwahl zu verhindern...

Dann kannst du zwar wunderbar telefonieren und SMSen, aber Internet is aus (und der Akku hält auch länger!)
Kommentar ansehen
29.09.2011 12:34 Uhr von Bayernpower71
 
+2 | -3
 
ANZEIGEN
@derzyniker: merci für den Tip. Ins Internet geh ich eh nicht mit dem Telefon (zwecks Tarif).

btw. Banking-App hab ich nicht. Die Raiffeisen macht only SMS. Keine Software nötig.

[ nachträglich editiert von Bayernpower71 ]
Kommentar ansehen
29.09.2011 12:38 Uhr von mia_w
 
+3 | -0
 
ANZEIGEN
Kostet das nicht sogar was? Ich hab auch auf diesen TAN Automaten umgestellt. Man braucht zwar immer seine EC Karte, aber sicher soll es sein.
Kommentar ansehen
29.09.2011 13:10 Uhr von xsourcero
 
+0 | -0
 
ANZEIGEN
kennt sich jemand aus: wie die dinger funktionieren?

http://amzn.to/...
Kommentar ansehen
29.09.2011 13:36 Uhr von pillum
 
+2 | -0
 
ANZEIGEN
@sourcero: Auf dem Bildschirm wird ein (animiertes) Muster angezeigt, du hälst das Gerät mir deiner Karte drinne an deinen Monitor und es zeigt dir ne Nummer an, die du dann auf der Online-Banking Seite eingibst.
Kommentar ansehen
29.09.2011 13:48 Uhr von Djerun
 
+2 | -0
 
ANZEIGEN
was machen betrüger mit ner verbrauchten tan?
nix
wie man über die per sms empfangene tan an kontodaten kommen kann weiß ich nicht, mir wurde so ein chipkartenleser-tangenerator-dings von der bank geschenkt
Kommentar ansehen
29.09.2011 14:16 Uhr von Phoenix87
 
+1 | -0
 
ANZEIGEN
@sourcero: pillum hat wichtigste vergessen:
Der TAN-Generator generiert eine TAN, die verknüpft ist mit dem Empfängerkonto und dem Betrag. Dennoch wäre es beispielweise möglich, dass ein Hacker wie bisher durch einen Man-in-the-Middle-Angriff die TAN anfängt. Bei dem neuen Verfahren kann er damit aber nur beispielsweise den Verwendungszweck ändern, aber das würde ihm natürlich nichts bringen! :D
Kommentar ansehen
29.09.2011 15:03 Uhr von skueeky
 
+7 | -0
 
ANZEIGEN
Was auch noch unsicher ist: ist Überweisen per Überweisungsträger. Denn begabte Menschen können die Unterschrift ganz einfach fälschen.
Kommentar ansehen
29.09.2011 16:24 Uhr von Dracultepes
 
+2 | -0
 
ANZEIGEN
Die Sms Tan abzunfangen bringt garnicht wenn man nicht selber die Zahlung initiert.

Das heisst manbraucht schon irgedwas verseuchtest damit der böse Bube überhaupt die Kontonummer etc. ändern kann. Eine SMS Tan ist immer nur für die Transaktion gültig.

Das heisst eine Person die am PC die Überweisung ausführt muss dort schon infiziert sein damit es den Leuten was bringt die SMS Abzufangen.

Alternativ reicht es natürlich wenn die Bösen Kontonummer und Passwort kennen. Dann bringt ihnen auch das infizierte Handy was.

Eine App kann zumindest bei mir nicht einfach eine Berechtigung nachfordern. Wer Apps installiert ohne sich anzuschauen was sie können/dürfen sollte vllt besser keine Apps installieren.

Übrigens ist das der Grund warum S-Banking schon länger das SMS Tan verfahren nichtmehr unterstützt. Wenn das fremdgesteuert würde, dann wäre das schon nicht gut weil alles auf einem Gerät zentriert ist.
Kommentar ansehen
29.09.2011 16:35 Uhr von ChickenCowboy
 
+1 | -0
 
ANZEIGEN
@derzyniker: Das es hauptsächlich Android betreffe ist nicht korrekt. Es betrifft ebenso iOS, BlackBerry OS, Symbian oder Windows Mobile, da dort ebenfalls Apps installiert werden, die sich umfangreiche Rechte einräumen. Bis auf BlackBerry OS, wo einige Sicherheitsmaßnahmen über Policies gesteuert werden können, gibt es auf keiner der Plattformen wirklich funktionierende Sicherheitsmechanismen.

Noch dazu kommt die oftmals fehlende Verschlüsselung der Leitung, wie bei den nahezu allen GSM-Verbindungen und wahrscheinlich auch bei UMTS (gibt bereits erfolgreich getestete Angriffsszenarien). Hier sind die Netzbetreiber fahrlässig.
Kommentar ansehen
29.09.2011 17:08 Uhr von Sir-Pumperlot
 
+1 | -1
 
ANZEIGEN
oh man: ja mein gott, es gibt keine sichere methode um überweisungen zu machen... wenn man persönlich zur bank geht, kann auf einmal auch ein bankräumer hinter einem stehen und einem das geld klauen oder einen erschießen...
trotzdem werde ich alleine aus bequemlichkeit auf onlinebanking nicht verzichten.
Kommentar ansehen
29.09.2011 18:01 Uhr von DarkBluesky
 
+1 | -0
 
ANZEIGEN
Immer diese Theoretiker: Wer soll den da, ans Konto gehen! die Chance da Geld zu verlieren ist warscheinlich so hoch wie jetzt vom LKW überfahren zu werden. Die müssten schon die Bankverbindung kennen und Kontonummer und dann wissen wo das Handy ist. Sollange man die Überweisungen am rechner macht und dann die Tan vom Handy eingiebt sehe ich kein Problem erst wenn mann es beides mit dem Handy macht.
Kommentar ansehen
29.09.2011 18:10 Uhr von Ich_denke_erst
 
+1 | -0
 
ANZEIGEN
Kennt sich hier überhaupt einer aus? Wenn ich bei meiner Bank eine TAN auf das Handy anfordere dann bekomme ich sie innerhalb von max 20 sec. zugeschickt. Da ist aber weder meine Kontonummer dabei noch meine Zugangs PIN. Und wenn ich die TAN verwende ist sie ab dann ungültig. Weiterhin hat die SMS TAN nur eine begrenzte Gültigkeit.
Selbst wenn jetzt noch jemand meine Kontonummer kennen sollte kann er ohne die PIN nichts anfangen.

Internet Banking war schon mit TAN Listen sicher - wenn die Leute allerdings die grundlegensten Sicherheitsvorkehrungen ausser acht lassen brauchen sie sich nicht wundern wenn das Konto leer ist.
Kommentar ansehen
29.09.2011 22:36 Uhr von _Illusion_
 
+1 | -0
 
ANZEIGEN
@ Jaecko: "
... ich hab in meinem ganzen Leben noch kein einziges Mal Online-Banking gemacht. Dennoch leb ich noch und alle Rechnungen sind bezahlt.

"

und dafür kriegst du soviel Minus ... die haben wohl das System nicht durchschaut ........

das ist doch sehr geil *g Wir haben uns entschlossen, das SMS-Tan und sonstigen Krams nicht mehr mitzumachen und schicken zukünftig Überweisungen per Post. Der Mehraufwand und die Mehrkosten werden per Steuerhinterziehung wieder reingeholt, so will es die Dikatur .. ähm .. ich meine das System.

Leckt uns am Ar*** :-)
Kommentar ansehen
29.09.2011 22:38 Uhr von Latif_069
 
+1 | -0
 
ANZEIGEN
wofür: macht Ihr euch denn so einen Kopf ? Im Prinzip kann das doch egal sein, ob man es ausspionieren kann oder nicht denn nach eingeben der TAN-Nummer bei der Online Überweisung wird die TAN ungültig sein. Es wird ja immer wieder eine Neue gesendet.


Falls Ich falsch liegen sollte, klärt mich auf =)
Kommentar ansehen
29.09.2011 23:46 Uhr von Dracultepes
 
+0 | -0
 
ANZEIGEN
@Latif_069: Ja es wird zwar immer wieder eine neue gesendet. Aber wenn der Hacker das glück hat über PC und Smartphone zu verfügen dann kann er sich die Tan zuschicken lassen.

Dann nützt es auch nicht das sie danach ungültig wird. Das Geld ist weg.

Und es wird sicher auch Leute geben denen das passiert. Oder die am Smartphone alle Daten eingeben und dann hat der Hacker ein Gerät das alles kann um das Konto leerzuräumen.
Kommentar ansehen
29.09.2011 23:55 Uhr von da_ich
 
+0 | -0
 
ANZEIGEN
Soll´n se doch: 1. Auf meinem Konto gibt es nichts zu holen.
2. Ist die generierte TAN nur für diese eine Transaktion, mit diesem einen Empfänger und dem einen Betrag und...und und gültig.

Klar kann man SMS abfangen, fragt doch mal bei der Polizei nach. Klar kann man Handy ausspionieren, genau so wie PCs auch.

An dieser NEWS ist nichts neues!!!!!!

DIE SICHERHEIT BEI DER TAN PER SMS BESTEHT DARIN DAS DIE GENERIERTE TAN NUR FÜR DIESE EINE TRANSAKTION GÜLTIG IST. EBEN MIT DEN DATEN DIE IHR EINGEGEBEN HABT!!!!!!

Klar lässt sich das auch irgendwie manipulieren ABER mit einem Aufwand der bei den meißten Menschen garnicht lohnt.


Solln se die TAN halt abfangen, wegen mir...

[ nachträglich editiert von da_ich ]
Kommentar ansehen
30.09.2011 00:10 Uhr von Schwertträger
 
+1 | -0
 
ANZEIGEN
@suschu: >jaja alles unsicher alles gefährlich pipapo...mein Gott du kannst theoretisch auch jeden Tag ein Blutgerinsel bekommen..da mach ich mir doch nich um sowas gedanken. Wers ganz sicher haben will verzichtet halt auf online Banking.<

Na, dann hoffen wir doch alle mal für Dich,d ass es Dich nie erwischt und Du mit Deiner verantwortungslosen Art nicht auf die Nase fällst.
Und wenn, dass dann wenigstens nicht noch andere (Frau, Kinder) mit zu Schaden kommen.
Kommentar ansehen
30.09.2011 09:18 Uhr von cruelannexy
 
+0 | -0
 
ANZEIGEN
ich geb euch mal ein tipp... lest das schön durch was in der sms steht ;) Beispiel: auf dem Rechner ein Trojaner, Sie füllen eine Überweisung aus, der Trojaner führt im Hintergrund eine mit aus, senden sie die sms, der Trojaner auch - in der sms steht meistens betrag und die empfängerkontonummer, wenn man die vergleicht kann eigentlich bei der Konstellation nix schief gehen da kriegt der Trojaner für seine Überweisung eben die falsche tan - in der Regel kommen beide sms normale und die vom Trojaner an... also aufpassen Leute, und das ist nur eine Möglichkeit wie es laufen kann :)

Refresh |<-- <-   1-24/24   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Weltmeister: Deutschland liebt Kindersex,..
Barbaren: Deutsche zeugten für sexuellen Missbrauch ein Baby
Deutschland/Schweiz: Nach Parnertausch nun Kindertausch. - Für Sex!


...oder unseren und keine aktuellen News mehr verpassen?