Sicherheitsaspeke bei Kreditkarten und Banking

[geos]

ANZEIGE

Wer mal etwas näher wissen möchte, wie Kreditkarteninformationen abgephisht (und z.T. praktischerweise dann auch bei Apple Pay angemeldet) werden:

Exposing Darcula: a rare look behind the scenes of a global Phishing-as-a-Service operation

www.mnemonic.io

Bei Interesse auch die verlinkten Beiträge des norwegischen Rundfunks lesen.
Ist alles nichts Neues, aber nett geschrieben.

 

[geos]

Phishing-Opfer geht leer aus: Versicherung lehnt SMS-Betrug ab

Nicht jeder Schaden, der durch digitale Täuschung entsteht, ist laut Landgericht Bielefeld direkt durch eine Hausratversicherung mit Internetschutz abgedeckt.

www.heise.de

Das Urteil ist jetzt keine Überraschung für alle, die den Unterschied zwischen Email und SMS kennen. Bei so manchen Verbrauchern dürfte das allerdings nicht der Fall sein.
Inhaltlich zeigt der Fall einen sehr typischen Angriff auf Bankkunden. Das Problem ist, dass Banken ja durchaus mit ihren Kunden elektronisch kommunizieren und außerdem ab und an ihre Verfahren verändern bzw. neue Verfahren einführen, wobei dann z.T. eine Interaktion/Bestätigung des Kunden notwendig sein könnte. Wenn die Angreifer dies sprachlich gut imitieren und ein plausibel klingendes Szenario erfinden, hat der Kunde, der die Prozesse und Technik nicht durchblickt, aber nicht "zurückgeblieben" sein möchte und daher dennoch da aktiv mitmachen zu müssen und nicht zu "verweigern" (wozu die Banken ihre Kunden ja grundsätzlich auch bringen möchten), ein hohes Risiko, darauf reinzufallen.

 

[vlugangst]

darunter auch die Targobank übrigens, deren TAN-Gerät gar nicht weiß, was IP ist. Das ist ja gerade einer der Sicherheitsvorteile dieser Verfahren

Warum ist das Scannen einer auf einem unkompromittierten PC angezeigten photoTAN-Grafik mit einem photoTAN-Generator ohne Internetverbindung sicherer als das Scannen mit einer u. U. kompromittierten photoTAN-App auf einem Smartphone? Was ist der maximale Schaden? IMHO die Tatsache, dass die Transaktion nicht ausgeführt werden kann, weil die TAN falsch ist. Oder?

 

[knauserix]

Warum ist das Scannen einer auf einem unkompromittierten PC angezeigten photoTAN-Grafik mit einem photoTAN-Generator ohne Internetverbindung sicherer als das Scannen mit einer u. U. kompromittierten photoTAN-App auf einem Smartphone? Was ist der maximale Schaden? IMHO die Tatsache, dass die Transaktion nicht ausgeführt werden kann, weil die TAN falsch ist. Oder?

???

was genau ist jetzt die Frage ?

 

[vlugangst]

Äh, die, die da stehen? Anders formuliert: Worin besteht der von @geos behauptete Sicherheitsvorteil der Generatoren gegenüber den Apps?

 

[knauserix]

Äh, die, die da stehen? Anders formuliert: Worin besteht der von @geos behauptete Sicherheitsvorteil der Generatoren gegenüber den Apps?

dass der Generator nicht von außen (z.B. via Internet) angegriffen werden kann.
die sonstigen Angriffsmöglichkeiten beim Webbanking bleiben natürlich vorhanden, aber eine weniger unter den potentiell möglichen ist es halt schon. und auf dem Generator ist ja zu sehen, wohin eine Überweisung wirklich geht (das gilt bei der Smartphone-App, die die Funktion des Generators ersetzt, halt nur, wenn diese nicht kompromittiert wurde).

 

[vlugangst]

Ich fragte es sinngemäß schon oben: Was, außer einer falschen TAN, kann das Ergebnis einer kompromittierten photoTAN-App sein?

 

[websgeisti]

und auf dem Generator ist ja zu sehen, wohin eine Überweisung wirklich geht (das gilt bei der Smartphone-App, die die Funktion des Generators ersetzt, halt nur, wenn diese nicht kompromittiert wurde).

Es ist bei den meisten Phishing Betrügereien komplett irrelevant was im Display vom Generator oder im Smartphone steht. Die Opfer geben dennoch alles frei sobald der vorgeschobene Grund am Telefon nur „nett klingt“. Und kompromittierte Apps sind jetzt vielleicht auf Android ein Ding, aber nur wenn man jeden Mist (auch aus fremden Quellen installiert).

 

[knauserix]

Ich fragte es sinngemäß schon oben: Was, außer einer falschen TAN, kann das Ergebnis einer kompromittierten photoTAN-App sein?

Das Ergebnis kann evtl. sein, dass ein nicht vom Kontoinhaber wirklich gewollter Auftrag freigegeben wird (z.B. an eine andere Bankverbindung als dort scheinbar angegeben).

Beitrag automatisch zusammengeführt: Gestern um 11:58

Es ist bei den meisten Phishing Betrügereien komplett irrelevant was im Display vom Generator oder im Smartphone steht.

Das gilt für das Phishing. Und für die Opfer dieser Masche.

Ich schaue mir bei Überweisungen immer die IBAN an, die das jeweilige Authentifizierungs-Gerät angibt.

Beitrag automatisch zusammengeführt: Gestern um 11:59

Und kompromittierte Apps sind jetzt vielleicht auf Android ein Ding, aber nur wenn man jeden Mist (auch aus fremden Quellen installiert).

Und im Apple Store gab es noch nie irgendwelche Apps, die später als gefährlich eingestuft wurden ?

 

[mattes77]

Ich werfe mal in dem Raum, dass gerade unter Android
der Playstore voller "komprimentierter" Apps ist. Aber
die Schäden werden selten bekannt. Weil die Banken
sich irgendwie "geräuschlos" mit den Kunden einigen.
Oder die Kunden aus Scham nicht zur Polizei gehen.
Oder etliche Kunden wahrscheinlich ihre Finanzen
sowieso nicht überblicken. Sodass "kleinere" Abbuchungen
(bis in den dreistelligen Bereich über mehrere Monate
wohl auch nicht auffallen!

 

[websgeisti]

Aber
die Schäden werden selten bekannt. Weil die Banken
sich irgendwie "geräuschlos" mit den Kunden einigen.
Oder die Kunden aus Scham nicht zur Polizei gehen.

Quelle: „Vertrau mir Bruder“

 

[geos]

Warum ist das Scannen einer auf einem unkompromittierten PC angezeigten photoTAN-Grafik mit einem photoTAN-Generator ohne Internetverbindung sicherer als das Scannen mit einer u. U. kompromittierten photoTAN-App auf einem Smartphone? Was ist der maximale Schaden? IMHO die Tatsache, dass die Transaktion nicht ausgeführt werden kann, weil die TAN falsch ist. Oder?

Kommt auch die konkrete Implementation an. Es gibt gibt Systemen, bei denen auf dem TAN-Gerät die Transaktionsdaten angezeigt werden. Wenn der Angreifer es schafft, diese Anzeige zu manipulieren (und das Onlinerbanking im Browser o.ä. natürlich auch in seiner Hand ist), kann er z.B. bei Überweisungen dem Nutzer die vermeintliche Ziel-IBAN (und Betrag) anzeigen, während er die Überweisung in Wirklichkeit auf ein Konto unter seiner Kontrolle gehen lässt.
Andere Möglichkeit, falls er das Gerät mit der TAN-App kompromittiert, wäre, selbständig eine TAN zu erzeugen für eine Transaktion seiner Wahl. Die notwendigen Credentials sind ja in der App gespeichert.

Alle Angriffsszenarien setzen voraus, dass der PC/Browser (über den das OLB gemacht wird) auch kompromittiert ist. Falls man das in seiner Risikobetrachtung kategorisch ausschließt, braucht man gar keine TANs. Diese wurden ja genau deswegen eingeführt (als "zweiter Faktor" sozusagen).
Und ja, es gibt in der Praxis erfolgreiche Angriffe auf PC/Browser + Smartphone.
Und nochmals ja, häufig ist der Mensch dabei die entscheidende Schwachstelle.

 

[knauserix]

Es gibt gibt Systemen, bei denen auf dem TAN-Gerät die Transaktionsdaten angezeigt werden. Wenn der Angreifer es schafft, diese Anzeige zu manipulieren (und das Onlinerbanking im Browser o.ä. natürlich auch in seiner Hand ist), kann er z.B. bei Überweisungen dem Nutzer die vermeintliche Ziel-IBAN (und Betrag) anzeigen, während er die Überweisung in Wirklichkeit auf ein Konto unter seiner Kontrolle gehen lässt.

Genau vor solchen Angriffen schützen die (batteriebetriebenen) TAN-Geräte mit IBAN-Anzeige zuverlässig, wie sie z.B. von Deuba, Cobank/comdirect, HVB und den Geno-Banken angeboten werden.

 

[geos]

ANZEIGE

Das ist genau das, was ich ursprünglich geschrieben hatte (und wozu vlugangst Erläuterungsbedarf geäußert hat).