[iOS 8] SMS Weiterleitung - Gefahr beim Onlinebanking

[schlagi]

Mal angenommen du hast einen Trojaner auf deinem Mac (sofern das in den nächsten 10 Jahren mal passiert ), dann klaut dir dieser nicht nur dein Passwort für den Login zum Online-Banking, sondern auch deine TANs aus der Messages-App. Er kann dann Überweisungen zu seinen Gunsten ausführen, du siehst davon nichts. Der Browser wird ebenfalls manipuliert und du denkst es läuft alles korrekt bei deiner Überweisung, bis dann das Geld weg und ganz wo anders angekommen ist.

So oder so ähnlich.

Aber das würde doch immer auf das Eröffnen einer neuen Sitzung hinauslaufen, wofür jedesmal ein neuer TAN benötigt wird. Mit dem alten abgegriffenen kann der Übeltäter nichts anfangen.

Und wenn jedesmal eine neue TAN angefordert würde, würde die ja auf meinem Handy auftauchen. Ich sehe also, dass da an meinem Konto was passiert, das ich nicht will, und kann gegensteuern. Gänzlich unbemerkt würde es also nicht vonstatten gehen können, oder habe ich einen Denkfehler?

 

[Rengel]

...

 

[Rengel]

Doch.

Ich habe auch nirgendwo geschrieben das es Apples Problem ist, ich habe mich gefragt ob Apple sich der möglichen Gefahr bewusst ist.

Ich bin selber als Anwendungsprogrammierer tätig und muß bei der Erstellung von Applikationen sehr wohl auch mögliche Umstände bedenken und die Gefahren für den Anwender minimieren. Und dies sehe ich auch als Apples Aufgabe. Klar kann man sagen schalte es doch einfach ab wenn es dir zu gefährlich ist aber das ist meiner Meinung nach für einen Konzern wie Apple keine Lösung wenn man dem Kunden eine solche Funktion anbietet. Eine Mögliche und einfache Lösung wäre es wie von mir oben bereits geschrieben, bestimmte Absender auf eine Blacklist setzen zu können von der denen dann keine SMS weitergeleitet werden.

 

[Rengel]

Also ich habe eben mal an allen Geräten WLAN ausgeschaltet und eine SMS auf das iPhone geschickt. Es kam nur auf dem iPhone an. Nach und nach WLAN auf den anderen Geräten eingeschaltet und dann kam die SMS auch auf diesen an. Nun stellt sich nur noch die Frage ob es wirklich im gleichen WLAN (wie bei Telefonanrufen) sein muss oder nur irgendein WLAN.

Mobile TAN nutze ich ohnehin nicht. Aber sms würde ich gerne auch auf dem 4S bekommen können (z.B. auf MTB Tour), wenn ich das 6er zu Hause lasse.

Du musst das andersrum machen. Alle anderen Geräte sind im WLAn und das iphone nicht.

 

[Ijon Tichy]

Genau. Das wirst du dir im Falle einer unberechtigten Überweisung vorwerfen lassen müssen. Die Bank ist damit mit der Haftung aus dem Schneider.

In der FAQ meiner Banking-App steht:
"Neben iTAN und photoTAN steht Ihnen in der banking App auch das mobile TAN-Verfahren zur Verfügung. Bitte beachten Sie hierbei stets die Kanaltrennung."

Das heißt mTAN ist nur okay, wenn sie auf ein anderes Gerät geht.

 

[Rengel]

Mein Workaround ist das WLAN zum Onlinebanking kurz abschalten, dann wird auch nichts weitergeleitet. Da man dies nur ab und an nutzt für mich erträglich

 

[Farafan]

ch habe auch nirgendwo geschrieben das es Apples Problem ist, ich habe mich gefragt ob Apple sich der möglichen Gefahr bewusst ist.

Und was soll Apple nun bitte tun? Nur weil in einem kleinen, unbedeutenden Land all die klugen und weisen Banken keine bessere und sichere Möglichkeit finden ihre Kunden online arbeiten zu lasse etwa die Funktion abschalten?

Apple ist SMS-TAN egal. Mit guten Recht. Dinosaurier sind Geschichte und da sollten sie auch bleiben.

 

[Rengel]

Und was soll Apple nun bitte tun? Nur weil in einem kleinen, unbedeutenden Land all die klugen und weisen Banken keine bessere und sichere Möglichkeit finden ihre Kunden online arbeiten zu lasse etwa die Funktion abschalten?

Apple ist SMS-TAN egal. Mit guten Recht. Dinosaurier sind Geschichte und da sollten sie auch bleiben.

Ich habe keine Lust mehr mit dir zu diskutieren da du anscheinend Beiträge nur bis zu dem Punkt liest, an dem dir eine freche und beleidigende Antwort einfällt.

 

[TheTripleist]

Du musst das andersrum machen. Alle anderen Geräte sind im WLAn und das iphone nicht.

Öhm, und was soll mir das bringen/zeigen?

 

[Rengel]

Öhm, und was soll mir das bringen/zeigen?

SMS empfängt das Handy und leitet diese an die freigeschalteten Geräte im selben WLAN weiter. Dies ist ja soweit auch OK und wenn ich z.B. nicht Zuhause bin (Nicht im WLAN), werden diese eben nicht an die Geräte Zuhause weitergeleitet. Das hat bei meinen Tests auch so funktioniert.

 

[breze28]

Die meisten Banken unterstützen inzwischen Chiptan, das wäre doch eine Alternative.

 

[echo.park]

Und wenn jedesmal eine neue TAN angefordert würde, würde die ja auf meinem Handy auftauchen. Ich sehe also, dass da an meinem Konto was passiert, das ich nicht will, und kann gegensteuern. Gänzlich unbemerkt würde es also nicht vonstatten gehen können, oder habe ich einen Denkfehler?

Die Malware manipuliert immer die Überweisung, die DU gerade durchführen willst. Im Hintergrund wird ein neuer Empfänger eingetragen und der Betrag geändert. Dein Browser wird so manipuliert, dass du davon nichts bemerkst. Die TAN wird dann von dir selbst angefordert, der Trojaner nutzt sie dann.

Wobei ich hier selbst einen Denkfehler habe, ich gebe die TAN ja selbst auch ein, wenn ich eine Überweisung durchführe, also wieso diese TAN umständlich stehlen? Irgendwas stimmt an meiner Theorie nicht ganz, ich komme nur gerade nicht drauf.



Ich weiß nur eins: Eine Zwei-Faktor-Verifikation (Password zum Konto auf einem Gerät, TAN getrennt vom ersten Gerät auf einem zweiten Gerät) wird durch diese SMS-Weiterleitung untergraben. Das ist Fakt. Irgendwann werden Angriffsmethoden entwickelt werden, die das ausnutzen.

 

[schlagi]

Die Malware manipuliert immer die Überweisung, die DU gerade durchführen willst. Im Hintergrund wird ein neuer Empfänger eingetragen und der Betrag geändert. Dein Browser wird so manipuliert, dass du davon nichts bemerkst. Die TAN wird dann von dir selbst angefordert, der Trojaner nutzt sie dann.

Wobei ich hier selbst einen Denkfehler habe, ich gebe die TAN ja selbst auch ein, wenn ich eine Überweisung durchführe, also wieso diese TAN umständlich stehlen? Irgendwas stimmt an meiner Theorie nicht ganz, ich komme nur gerade nicht drauf.

Wie Du sagst, das wäre ja das, was schon praktiziert wird, Leute auf falsche Seiten umlenken (ist das Phishing?) und deren Eingaben nutzen. Ich hatte Dich so verstanden, als ob 1) die Bankverbindung genutzt würde, um von fremdem Rechner eine Überweisung anzustoßen, und dann 2) die (frisch angeforderte) TAN per Trojaner abgegriffen und ebenfalls weitergeleitet würde.

 

[Ijon Tichy]

Das geht meines Wissens so: bei deiner Überweisung kommt ein Fehler "falsche Tan", obwohl die Überweisung tatsächlich durchgeführt wurde. Du wunderst dich vielleicht, forderst aber dann eine neue TAN an, weil du denkst, du hast dich vertippt. Dann wird im Hintergrund eine zweite Überweisung abgeschickt auf das Konto des Betrügers. Die zweite TAN ist nun für diese falsche Überweisung. Du gibst sie ein und schwupps ist die Kohle weg.

 

[Farafan]

Wer heutzutage noch mit PINs und TANs Bankgeschäfte erledigt dem ist nicht mehr zu helfen. Hier meine ich sowohl Kreditinstitut als auch Kunde.

Willkommen in der Steinzeit.

 

[schlagi]

Das geht meines Wissens so: bei deiner Überweisung kommt ein Fehler "falsche Tan", obwohl die Überweisung tatsächlich durchgeführt wurde. Du wunderst dich vielleicht, forderst aber dann eine neue TAN an, weil du denkst, du hast dich vertippt. Dann wird im Hintergrund eine zweite Überweisung abgeschickt auf das Konto des Betrügers. Die zweite TAN ist nun für diese falsche Überweisung. Du gibst sie ein und schwupps ist die Kohle weg.

Ok, danke für die Erklärung der Mechanik. Aber dieses Risiko wird nicht dadurch erhöht, dass die TAN als solche zusätzlich zur manuellen Eingabe per Weiterleitung auch nochmal in den Nachrichten erscheint, oder?

 

[Ijon Tichy]

Ok, danke für die Erklärung der Mechanik. Aber dieses Risiko wird nicht dadurch erhöht, dass die TAN als solche zusätzlich zur manuellen Eingabe per Weiterleitung auch nochmal in den Nachrichten erscheint, oder?

Die Fehlermeldung "falsche TAN", die ja doch stutzig macht, zumindest, wenn sie wiederholt auftritt, könnte entfallen, wenn man es schafft die mTAN abzufangen. Ich hab mir da aber jetzt noch keine kriminellen Gedanken im Detail gemacht.

Tatsache ist aber, dass die Zusammenlegung der Kommunikationskanäle Angriffe möglich werden, die durch die Kanaltrennung im Keim erstickt wurden.

 

[Ijon Tichy]

Wer heutzutage noch mit PINs und TANs Bankgeschäfte erledigt dem ist nicht mehr zu helfen. Hier meine ich sowohl Kreditinstitut als auch Kunde.

Willkommen in der Steinzeit.

sorry, aber das wiederholst du jetzt zum x-ten Mal. Ich glaube, wir haben inzwischen verstanden, dass alle doof sind außer dir.

 

[echo.park]

Wer heutzutage noch mit PINs und TANs Bankgeschäfte erledigt dem ist nicht mehr zu helfen. Hier meine ich sowohl Kreditinstitut als auch Kunde.

Willkommen in der Steinzeit.

Wenn ich mein Passwort drei mal falsch eingebe, wird mein Zugang gesperrt. Ein neues Passwort kommt dann automatisch per Post. Damit wird der Zugang wieder freigeschaltet.

Ich nutze kein mTAN, sondern einen Chip-TAN-Generator, der einen dynamischen Strichcode vom Bildschirm abliest. Der zeigt mir auch alle Daten der Überweisung an, sodass im Hintergrund gemachte Änderungen, die ein manipulierter Browser verschleiert, auffliegen.

Das ist schon ziemlich sicher wie ich finde. Also nix mit Steinzeit. Steinzeit waren die TAN-Listen in Papierform.

 

[TheTripleist]

Steinzeit waren die TAN-Listen in Papierform.

Die kann aber kein Hacker auslesen. Mit der Steinzeit-Methode arbeite ich schon seit der Kreidezeit ohne Probleme. Da finde ich ein mTAN deutlich riskanter. So, ich krieche wieder zurück in meine Höhle.