Thema: Angriff auf TAN-Verfahren

[SiLæncer]

Annähernd neun von zehn Österreicher mit Online-Konto vertrauen den Sicherheitsvorkehrungen ihrer Bank. Gleichzeitig ist das Problembewusstsein gering. Nur 71 Prozent der österreichischen Internetuser schützen ihren Computer mit einem Virenscanner, gerade 55 Prozent nutzen eine Firewall und erschreckend geringe 29 Prozent halten ihr Betriebssystem aktuell. Das sind die mehr oder weniger ehrlichen Antworten auf eine Umfrage der Marktforscher von Integral. Auftraggeber war die größte Bank des Landes, Bank Austria Creditanstalt (BA-CA). "Trotz Phishing, Pharming und Co. ist das Kundenvertrauen in das Internet-Banking sehr groß", sagt Robert Zadrazil, BA-CA Vorstand für IT. "Die Internet-Sicherheit ist aber nicht nur eine Frage der Technologie, sondern sie setzt auch das richtige Risikoverhalten der Anwender voraus."

Gut jeder vierte Österreicher (28 Prozent) ab 14 Jahre hat mindestens ein Konto mit Online-Banking. Mit 26 Prozent möchten fast ebenso viele keinen Online-Zugriff ihre Konten. Weitere fünf Prozent planen, ihre Bankgeschäfte ins Web zu verlegen und 38 Prozent sind gar nicht online. Die "Online-Banker" greifen im Durchschnitt neun Mal pro Monat online auf ihr Konto zu. 58 Prozent fragen mindestens ein Mal pro Woche ihren Saldo ab, 42 Prozent tätigen wöchentlich Überweisungen. Ebenso häufig erteilen drei von Hundert Order im Wertpapierbereich.

Die BA-CA konnte 2006 die Zahl ihrer Online-Kunden um 6,6 Prozent auf rund 500.000 erhöhen. Jeder vierte Auftrag im privaten Zahlungsverkehr wird online erteilt. Erstmals wurden auch Zahlen über die Phishing-Versuche veröffentlicht. Die Bank war 2006 von vier Wellen betroffen. Im Januar mussten 60 Konten gesperrt werden. Trauriger Höhepunkt waren 250 Sperren im August. Der Oktober (140) und der Dezember (16 Sperren) deuten zurückgehenden Erfolg der Phisher an.

Über Schadenssummen verrät die Bank nichts, gibt aber an, acht von zehn betrügerischen Überweisungen zurückgeholt haben zu können. Die Erfolgswahrscheinlichkeit sei umso höher, je früher Betroffene Alarm schlügen. 65 Personen wurden im Vorjahr angezeigt oder haben sich selbst angezeigt, nachdem sie als Finanzagenten gestohlenes Geld weitertransferiert hatten. Betrüger hatten sie dazu unter verschiedensten Vorwänden wie Jobangeboten oder Lotteriegewinnen angestiftet.

Schwach ausgeprägt dürfte auch das Wissen um die Risken sein. Denn nur 36 Prozent aller Österreicher ab 14 Jahren kennen den Begriff "Phishing", lediglich 16 Prozent das Wort "Pharming". Die Vokabeln "Trojaner" (54 Prozent), "Würmer" (61 Prozent) und "Viren" (77 Prozent) sind etwas weiter verbreitet. Auf die Frage, ob das Wort Phishing "in letzter Zeit besonders im Zusammenhang mit 'Internet Banking' im Gespräch" gewesen wäre, antworteten nur 22 Prozent mit Ja. In diesem Zusammenhang erinnerte sich nur jeder Achte an Trojaner, jeder Fünfzigste an Pharming.

Quelle : www.heise.de

[SiLæncer]

Mit einem zusätzlichen Kontrollbild will der IT-Dienstleister Fiducia IT das Online-Banking mit PIN und TAN noch sicherer machen. Beim iTANplus genannten Verfahren blendet der Bankserver nach Eingabe der Überweisungsdaten ein Kontrollbild ein, das die eingegebenen Transaktionsdaten enthält und mit einem "digitalen Wasserzeichen" hinterlegt ist, das zusätzlich auch das Geburtsdatum des Kunden aufweist. Dort muss dann die iTAN eingegeben werden.

Das Kontrollbild enthält das Geburtsdatum des Kunden, allerdings ähnlich schwer zu lesen wie bei Captchas.

Anhand des Kontrollbildes soll der Kunde eine zusätzliche Möglichkeit haben, etwa Manipulationen an seiner Überweisung durch einen Trojaner leichter erkennen zu können, um den Vorgang zu stoppen. Durch das im Bild hinterlegte Raster soll es zudem nicht möglich sein, das Geburtsdatum auszulesen und für spätere Angriffe mit manipulierten Kontrollbildern zu verwenden.

Fiducia stellt damit neben dem bereits angebotenen mobileTAN-Verfahren ein weiteres verbessertes TAN-Verfahren zur Verfügung, das die von ihr betreuten Volks- und Raiffeisenbanken ihren Kunden anbieten können. Allerdings liegt es im Ermessen der jeweiligen Bank, ob sie das Angebot nutzt.

Quelle : www.heise.de

[SiLæncer]

Das iTAN-Verfahren stellt für Kriminelle kein Problem mehr dar, erklärte Mirko Manske, Kriminalhauptkommissar im Bundeskriminalamt (BKA) auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik in Bonn. Die indizierten Transaktionsnummern waren eingeführt worden, nachdem sich das herkömmliche TAN-System gegenüber Phishing-Attacken als zu unsicher gezeigt hatte. Zwar seien Phishing-Angriffe mit iTAN schwieriger geworden, so Manske "aber nicht unmöglich".

Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.

Bereits Ende 2005 hatte eine Arbeitsgruppe der Ruhr-Universität Bochum einen Angriff auf das Online-Banking-Verfahren mit indizierten TANs erfolgreich demonstriert. Anfang 2007 tauchten dann erste Phishing-Kits auf, die in der Lage waren, per Man-in-the-Middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen. Auch heise Security erreichen immer öfter Meldungen von Lesern über Phishing-Angriffe, die trotz iTAN-Verfahren erfolgreich waren.

Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Aktionen registriert, berichtete Manske. Typischerweise werden diese heute über Trojaner eingefädelt. Ein in einem vorgeblichen PDF-Anhang verstecktes Schadprogramm niste sich auf den Rechner ein, um bei der nächsten Online-Überweisung einen anderen Betrag an einen anderen Empfänger zu überweisen. Der Schaden sei erst über den Kontoauszug bemerkbar.

Sogenannte Finanzagenten ("Money mules"), die bei herkömmlichen Phishing-Aktionen ihre Privatkonten für den Geldtransfer gegen eine Provision zur Verfügung gestellt haben, kämen hingegen kaum noch zum Einsatz. Dies führte Manske auf die Aufklärung seitens der Medien und des Bundeskriminalamts zurück, die die Folgen für die Finanzagenten geschildert hatten: So flogen die Finanzagenten binnen kürzester Zeit auf, ihre Bank kündigte ihr Konto, und eine neue Hausbank zu finden, stellte sich als schwierig heraus. Auf die veränderte Lage habe sich die organisierte Kriminalität binnen drei Monaten mit neuen Social-Engineering-Methoden eingestellt, sagte Manske: "Sie zielen darauf ab Finanzagenten zu finden, die nicht wissen, dass sie überhaupt Finanzagenten sind." Der Rekrutierungsprozess sei damit erheblich aufwendiger geworden und könne sich über mehrere Wochen hinziehen.

Manske schilderte den "typischen" Fall eines geschiedenen 50-jährigen Mannes, der über ein Online-Datingcafé eine E-Mail von einer "Jekaterina" erhalten hatte. Nach gegenseitigen Sympathiebekundungen, die sich über etwa zwei Wochen hinzogen, habe die Frau erklärt, sie wolle gerne nach Deutschland kommen, hätte aber kein Geld zur Verfügung. Gleichwohl habe sie aus einem früheren Aufenthalt in Deutschland Erspartes zurückgelegt. Dieses könne man ihr jedoch nicht direkt überweisen, ohne dass sie Probleme mit den russischen Steuerbehörden bekomme, da sie das Geld aus Schwarzarbeit bezogen habe. Der Mann könne ihr aber das Geld in einer deutschen Filiale der Western Union einzahlen. Dafür müsse er seine Kontodaten zur Verfügung stellen.

Der 50-Jährige nahm ihr die Geschichte ab und stellte seine Kontoverbindungsdaten zur Verfügung. Als "Belohnung" erhielt er daraufhin ein Bild von ihr. Auch auf der russischen Seite wurde ein "Geldesel" organisiert. Jekaterina erklärte, dass ihre "Mutter" das Geld entgegennehmen werde. Dies hätte jedoch einen anderen Nachnamen, da sie wieder geheiratet habe. Der Mann glaubte ihr und zahlte das Geld bei Western Union ein. Nach dem erfolgreichen Transfer nahm Jekaterina erneut Kontakt mit ihm auf, um erneut ein Bild von sich zu schicken, aber auch einen zweiten Transfer einzufädeln. Begründung: Der erste Transfer habe nicht funktioniert. Doch dazu sollte es nicht mehr kommen. Die Hausbank des Mannes hatte eine Anzeige der von einem Phishing-Angriff betroffenen Bank erhalten. Sie erstattete gegen ihn wegen Geldwäsche Anzeige und schloss sein Konto.

Manske schilderte außerdem die Szene der Online-Kriminalität als hochgradig arbeitsteilig organisiert: Kriminelle könnten die Hehlerei mit geklauter Ware über das Internet mit verschiedenen falschen Identitäten nahtlos über verschiedene Mittelsmänner, die sich über ICQ-Nummer kennen, abwickeln. So seien einige Kriminelle darauf spezialisiert, über bekannt gewordene Schwachstellen oder unzureichende Betrugssicherungsmechanismen in Webshop-Systemen Kundendaten mit Kreditkartendaten abzuziehen. Manske: "Reseller bestellen feste Kreditkarten-Kontingente gegen Vorkasse, die von den Hackern mit einer 3-Monats-Garantie für ihre Frischegüte ausgeliefert werden." Stelle sich heraus, dass eine Kreditkartennummer gesperrt ist, werde sie umgehend gegen eine neue Nummer ausgetauscht. Außerdem würden die Kreditkartennummern nach Postleitzahlenbereichen sortiert ausgegeben. Mit Hilfe dieser Kreditkartennummern werde dann über eBay auf Auftrag geklaute Ware bezahlt, die in dem Online-Auktionshaus über jeweils gehackte eBay-Identitäten angeboten und gekauft werde. Die Ware wiederum werde über "anonymisierte Zugänge" für Post-Pack-Stationen ausgeliefert.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsdienstleister RedTeam Pentesting hat Wege aufgezeigt, wie sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen lässt, sodass Betrüger eigene Überweisungen durchführen könnten.

Bei chipTAN comfort erzeugt ein spezielles Gerät die TAN für eine Transaktion. Nach Eingabe seines Auftrags hält der Kunde seinen optischen TAN-Generator mit eingebauten Fototransistoren vor den Bildschirm, auf dem die Bank einen Schwarz-Weiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungsdaten sowie weitere zur Berechnung der TAN benötigten Daten. Das Gerät zeigt nach dem Einlesen des Codes den Überweisungbetrag und das Konto an – eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen. Nach dem Drücken der Bestätigungstaste erhält man die TAN. Soweit so gut.

Zumindest bei der Sparkasse lässt sich das Verfahren in Zusammenhang mit Sammelüberweisungen per Man-in-the-Middle-Attacke aushebeln. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. Der Haken an der Sache: Anders als bei Einzelüberweisungen erscheinen im "chipTAN comfort"-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Einzelne Zielkonten zeigt das Gerät nicht an. Somit hat der Kunde keine Möglichkeit eine Manipulation der Transaktionsdaten festzustellen. Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene Austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.

Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. Den dann von der Bank übertragenen sogenannten Flickercode leitet der Trojaner an das Opfer weiter. Auf dessen Gerät erscheint nun die Summe, als Anzahl der Überweisung eine 1 und die TAN. Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.

Aber auch die seit rund zwei Jahren mögliche SEPA-Überweisung in Staaten der EU, Norwegen, Island, Liechtenstein und der Schweiz bietet Angriffsmöglichkeiten. Bei solchen Überweisungen zeigt der TAN-Generator den Betrag sowie das dritte und vierte sowie die letzten vier Zeichen der IBAN, also einer internationalen Kontonummer an. Laut RedTeam Pentesting könnte ein Trojaner die IBAN austauschen und anschließend die auf der Webseite angezeigten Anleitung zur Prüfung der einzelnen Zeichen der IBAN manipulieren. Der Kunden würde beispielsweise als Hinweis sehen, dass er das siebte und achte Zeichen der Original-IBAN mit der Anzeige im Gerät vergleichen sollte.

RedTeam Pentesting hat nach eigenen Angaben innerhalb weniger Tage ein Beispielprogramm entwickelt, welches einen der vorgestellten Angriffe automatisiert durchführt. Dabei wurde eine Überweisung auf ein anderes Konto umgeleitet. Während die Angriffe auf Einzelüberweisungen und SEPA-Überweisungen von aufmerksamen Kunden bemerkt werden können, ist dies bei Sammelüberweisungen nicht möglich. Abhilfe brächte nur, alle Zielkonten ebenfalls im Gerät anzuzeigen und vom Kunden abnicken zu lassen.

Ob das von den Volks- und Raiffeisenbanken verwendete "Sm@rtTAN optic"-Verfahren ebenfalls angreifbar ist, schreibt Redteam in seinem Bericht nicht. Auf Nachfrage wollte sich Jens Liebchen, Geschäftsführer von Redteam Pentesting nicht festlegen. Man habe dort noch keine Tests durchgeführt, allerdings seien die Verfahren sehr ähnlich, sodass es sich vermutlich auf den gleichen Wegen aushebeln ließe.

Mit der Einführung der chipTAN-Verfahren hatten die Banken auf die immer erfolgreichereren Angriffe auf das iTAN-Verfahren reagiert, bei dem der Kunden gar keine Kontrollmöglichkeit hat, welche Transaktionen er legitimiert. Trojaner können so unbemerkt die Transaktionsdaten austauschen. Bei den neueren Verfahren sind die Auftragseinreichung und die TAN-Übermittlung zwei voneinander getrennte Prozesse. Auch bei mTAN respektive SMS-TAN sind die Prozesse getrennt. Hier wird aber die TAN auf einem vom PC unabhängigen zweiten Kanal per Handy zum Kunden übertragen. Leider bieten sich auch dort Angriffsmöglichkeiten, wenn der Kunde die mitgeschickten Kontrolldaten nicht sorgfältig prüft.

Quelle : www.heise.de

[SiLæncer]

Der AV-Hersteller F-Secure berichtet über eine neue Variante des Online-Banking-Trojaners SpyEye, der einen raffinierten Trick einsetzt, um an die ans Handy übermittelten mTANs abzufangen. Anders als der große Bruder Zeus hat SpyEye offenbar deutsche Online-Banking-Anwender im Visier.

Beim mTAN-Verfahren, das viele Banken als Nachfolger der unsicheren (i)TAN eingeführt haben, sendet die Bank die TAN einschließlich der Transaktionsdaten via SMS an eine vorher hinterlegte Handy-Nummer. Ein Online-Banking-Trojaner auf dem Windows-PC kann diese Informationen nicht manipulieren – jedenfalls nicht direkt.

Deshalb greifen Zeus und SpyEye zu einem Trick: Auf dem infizierten PC blenden sie direkt in die Online-Banking-Seite der Bank eine Nachricht ein, dass ein neues Zertifikat der Bank auf das Handy übertragen werden müsse. Dazu soll der Kunde seine Handynummer und seine IMEI eingeben. Kurze Zeit später erhält er eine Nachricht mit dem angeblichen Installer für das Zertifikat. Startet er diesen, erscheint die deutschsprachige Nachricht: "Die Seriennummer des Zertifikats: 88689-1299F".

Heimlich im Hintergrund installiert das Trojanische Pferd jedoch Spionage-Software auf dem Handy. Deren Funktionsweise wird derzeit noch analysiert; aber anscheinend überträgt sie die ankommenden mTAN-Daten via Internet an einen Web-Server. Die Spionage-Software ist auf Symbian-Smartphones wie die von Nokia spezialisiert. Damit sich Software auf einem Symbian-Handy ohne auffällige Warnungen installieren lässt, muss diese digital signiert sein. Der SpyEye-Trojaner ist deshalb mit einem Entwickler-Zertifikat unterschrieben, wie man es kostenlos etwa vom chinesischen Dienstleister OPDA erhalten kann. In das Zertifikat der App muss dann allerdings die IMEI des Ziel-Handys eingetragen sein, weshalb der Banking-Trojaner diese ebenfalls abfragt und dann eine speziell angepasste Version erstellt.

Dieser Angriff stellt die Sicherheit des mTAN-Verfahrens ernsthaft in Frage. Mit dem üblichen Tipp, Apps nur aus vertrauenswürdigen Quellen zu installieren, ist es nicht mehr getan. Da in diesem Fall die App ja scheinbar sogar von der Bank angekündigt wurde, dürften viele Anwender auf diesen Trick reinfallen, ohne dass man ihnen mangelnde Sorgfalt vorwerfen könnte. Damit ist es höchste Zeit, dass die Banken, die mTAN einsetzen, erklären, wie sich ihre Kunden zukünftig schützen sollen. Eine Alternative für sicheres Online-Banking ist die sogenannte SmartTAN, oft auch als optische TAN bezeichnet. Oder der Einsatz eines garantiert Trojaner-freien Systems wie es das c't-Bankix bietet, dessen nächste Version in c't 9/11 Ende der Woche erscheint.

Quelle : www.heise.de

[SiLæncer]

Das Sicherheitsunternehmen Trusteer hat eine Variante des Onlinebanking-Trojaners SpyEye entdeckt, die das mTAN-Verfahren aushebelt. Die in Spanien gesichtete SpyEye-Variante ändert die bei der Bank gespeicherte Handynummer, damit der Angreifer fortan unbemerkt beliebige Transaktionen durchführen kann. Bislang versuchten Trojaner das mTAN-Verfahren durch eine Infektion der Smartphones der Opfer auszuhebeln.

Beim neuen Angriff stiehlt der Trojaner als Man-in-the-Browser zunächst die Zugangsdaten für das Onlinebanking. Nachdem sich das Opfer bei seiner Bank eingeloggt hat, präsentiert SpyEye dem Opfer eine gefälschte Warnmeldung, laut der sich das Opfer zwingend für eine neue Schutzfunktion registrieren muss.

Das Opfer soll angeblich eine neue SIM-Karte von der Bank erhalten, dessen Rufnummer schon mal für das mTAN-Verfahren freigeschaltet werden müsse. Nachdem der Trojaner die Rufnummernänderung angestoßen hat, erhält das Opfer eine SMS von der Bank, in der sich ein Bestätigungscode befindet. Gibt das Opfer den Code ein, kann der Trojaner die Rufnummernänderung abschließen und hat fortan die volle Kontrolle über das Konto.

Zwar enthalten die SMS-Nachrichten, die Banken bei einer Rufnummernänderung an ihre Kunden verschicken, in aller Regel einen klaren Hinweis darauf, dass durch Eingabe des Bestätigungscode die dem Konto zugeordnete Handynummer geändert wird. Durch den Warnhinweis des Trojaners dürfte das Opfer jedoch keinen Verdacht schöpfen – schließlich ist die Änderung ja vermeintlich nötig, um am neuen Sicherheitssystem teilnehmen zu können.

Quelle : www.heise.de

[ritschibie]

Sicherheitsexperten sprechen schon seit einiger Zeit davon, dass Kriminelle zunehmend auf Social Engineering-Methoden setzen, um zum gewünschten Ziel zu kommen. Ein aktueller Fall aus Australien zeigt, dass nicht einmal die vielgepriesene Zwei-Wege-Authentifizierung besonders sicher ist.

Ein mittelständischer Geschäftsmann setzte dort auf das von seiner Bank angebotene mTAN-Verfahren, bei dem die TAN-Nummern für das Online-Banking bei jeder Transaktion per SMS zum Mobiltelefon geschickt werden. Dies wird als bequeme, aber auch sichere Angelegenheit angepriesen, da es recht unwahrscheinlich ist, dass ein Angreifer gleichzeitig und unbemerkt Zugriff auf die Zugangsdaten zum Banking-Account und zum Handy bekommt.

Bei dem fraglichen Opfer in Australien stellte sich heraus, dass gerade letzteres gar nicht unbedingt nötig ist, berichtete das australische 'SC Magazine'. Die Zugangsdaten zum Konto hatten die Angreifer bereits vorliegen - vermutlich ausgespäht von einem Trojaner auf dem Notebook des Unternehmers. Damit konnten sie zwar einsehen, wie hoch der Kontostand ist, aber noch keine Transaktion auslösen.

Sie riefen daher während seiner Arbeitszeit bei ihm zuhause an und gaben sich als Kunden aus, die ihren vermeintlichen Geschäftspartner dringend auf dem Handy erreichen müssten. Die Tochter gab daraufhin bereitwillig die Mobilfunknummer weiter. Weiterhin sammelten sie durch einen Anruf bei der Sekretärin noch einige andere Informationen, wobei sie sich als Mitarbeiter des Finanzamtes ausgaben.

Die Daten genügten ihnen nun, um beim Kundenservice der australischen Vodafone-Niederlassung eine Portierung der Rufnummer auf eine neue SIM-Karte anzustoßen. Sobald dieser Prozess nach Angabe einiger Prüf-Daten wie dem Geburtsdatum in nur 30 Minuten abgeschlossen war, räumten sie schnell umgerechnet rund 35.000 Euro von dem Konto des Geschäftsmannes. Dieser dürfte sich im ersten Moment höchstens darüber gewundert haben, dass ihn niemand mehr auf dem Handy anruft.

Die hohe Transaktion sorgte immerhin dafür, dass die Betrugsabteilung der Bank auf das Vorgehen aufmerksam wurde. Dieses rief kurzerhand das Handy des Kontoinhabers an, um zu überprüfen, ob alles seine Richtigkeit hatte. Als mehrere Kontaktversuche scheiterten, fror man das Konto kurzerhand ein und konnte so Schlimmeres verhindern.

Quelle: www.winfuture.de

[Jürgen]

Abhilfe genau dafür ist eigentlich gar nicht so schwer...

Schon seit einem Dutzend Jahre habe ich mehrere E-Mail-Konten, teils auch bei verschiedenen Providern, um einige Dinge streng voneinander getrennt halten zu können.
Und so gibt es auch welche dabei, die je nur einem einzigen Zweck dienen.
Warum nicht auch gegen sowas ähnlich vorgehen...

So könnte man nur für die Bankverbindung eine eigene Handynummer haben, die sonst niemand zu kennen braucht.
Dafür gibt es mehrere mögliche Wege, z.B. ein extra Handy, oder gleich ein Dual- / Multi-SIM Gerät, oder eine speziell eingerichtete SMS-Umleitungsfunktion, wie sie z.B. mittels einer intelligenten Telefonanlage realisiert werden könnte. 

Wie immer gilt, was keiner weiß, kann auch keiner ausplaudern.

Dass Kontodaten nicht allgemein verbreitet gehören, es sei denn, man hat eine gute eigene Rechtsabteilung, dürfte inzwischen hinlänglich bekannt sein.
Dasselbe gilt aber eben auch für wichtige Telefonnummern, Handynummern und so weiter.

Zum Glück ist es heute nicht mehr schwer, zusätzliche Telefon- bzw. Handynummern zu bekommen.
Prepaid, oder vom DSL-Anbieter, wie auch immer.
Und die muss man dann ja nicht auch noch herumerzählen...

Jürgen

[Harald.L]

Und natürlich kann man jedes Verfahren mit entsprechendem Aufwand umgehen. Selbst das persönliche Abheben von Bargeld am Schalter mit Personalausweis-Kontrolle läßt sich laut Zeitungsberichten seit Jahren mit einer handelsüblichen Faustfeuerwaffe oder ähnlichem ganz problemlos "austricksen"  

[Jürgen]

...aber genau darin liegt der eine oder andere feine Unterschied.
Finanziell geschädigt wird so sicherlich die Bank oder ihre Versicherung, nicht aber ein bestimmter Bankkunde.
Nur in sehr seltenen Fällen vergreifen sich Bankräuber auch noch an der Brieftasche eines Kunden.
Und eine eventuell mit Waffengewalt erzwungene Barabhebung vom Kundenkonto wäre jedenfalls durch ihn (oder seine Erben   ) widerrufbar.

[SiLæncer]

Seit Februar 2013 bietet nun auch die Commerzbank photoTAN als neues TAN-Verfahren an, welches die 1822direkt bereits Ende 2012 in Deutschland eingeführt hatte. PhotoTAN sollen besser als iTAN vor Trojanern und Man-in-the-Browser-Attacken schützen. Außerdem kann das Verfahren den Banken Kosten sparen, da nicht wie bei der mTAN SMS verschickt werden müssen.

Für die Commerzbank entwickelte die Firma Cronto die photoTAN. Mittels einer Smartphone-App oder eines photoTAN-Geräts scannen Kunden vor der Überweisung ein kryptographisches Bild, welches auf dem PC-Bildschirm angezeigt wird. Daraufhin generiert die App oder das Gerät eine TAN und zeigt auch an, für welche Überweisung diese gilt. So kann man prüfen, ob der Auftrag auf dem Weg zur Bank manipuliert wurde. Das Verfahren erinnert damit an das Auslesen von QR-Codes. App und TAN-Gerät benötigen für das Auslesen keine Internetverbindung. Die App muss allerdings vor dem ersten Gebrauch aktiviert werden.

Es ist zu vermuten, dass mit der Aktivierung eine Signierung des Smartphones und des TAN-Geräts einhergeht; Cronto und die Commerzbank lassen sich hier aber nicht in die Karten blicken. Würde dies nicht geschehen, könnte auch mit der App auf einem anderen Smartphone der Code beim Online-Banking ausgelesen werden. Eine Demo-Version der App kann unter CrontoSign.com ausprobiert werden.

Gegenüber den Finanznachrichten erläuterte Martin Zielke, Vorstandsmitglied der Commerzbank, dass die photoTAN "die höchsten Sicherheitsansprüche im Online- und Mobile-Banking" erfülle. An dem neuen TAN-Verfahren soll seit 2008 gearbeitet worden sein.

Quelle : www.heise.de

[Jürgen]

Sähe ich eine Seite wie die abgebildete, würde ich sofort panisch alles abbrechen.
So etwas schlecht gemachtes kennt man eigentlich nur von ost- oder südosteuropäischen Betrugsversuchen.

Etwas unreif scheint mir das, mal ganz vorsichtig formuliert...

Jürgen

[SiLæncer]

Die Zwei-Faktor-Authentifizierung durch das mTAN-Verfahren gilt als sicher. Jede Überweisung wird durch eine per SMS auf das registrierte Handy übermittelte TAN autorisiert. Die SMS enthält Betrag und Zielkonto der Überweisung, für die die TAN gilt. Wer diese Daten prüft und für Online-Banking und SMS-Empfang nicht dasselbe Gerät nutzt, ist sicher – so die Theorie.

heise online liegen jedoch zwei aktuelle Fälle vor, in denen es Angreifern gelungen ist, die Sicherheitsvorkehrungen zu überwinden. Wie die PINs der Online-Banking-Zugänge in die Hände der Kriminellen gelangte, untersucht derzeit die Polizei. Die Vermutung liegt nahe, dass ein Trojaner oder Phishing zum Einsatz kam. Außerdem müssen sich die Täter die Mobilfunknummern und die Kundennummern der Opfer besorgt haben, eventuell aus einer gespeicherten Online-Rechnung.

Der ganze Artikel

Quelle : www.heise.de