ANZEIGE
Nun, ein mögliches Szenario sieht wie folgt aus:
Opfer scannt einen (vermeintlichen Spenden-) QR-Code auf seinem Tamagotchi ein, der es (vielleicht nach einer vermeintlichen Spendenseite) zu einer Fake-Bankingseite führt (vielleicht vorher noch mit Auswahl, bei welcher Bank man ist, damit das Design darauf stimmt), angeblich zum Bezahlen der Spende. Opfer loggt sich dort mit seinen Logindaten ein, übermittelt diese also an den Angreifer. Der kann diese direkt zum Login bei der richtigen Bank nutzen. Falls dort ein TAN abgefragt wird, reicht er die Frage über das Fakeportal durch. Opfer bekommt eine PushTAN und gibt diese auf der Fake-Webseite ein (ich weiß nicht genau, ob man bei der Sparkasse TANs eingibt oder ob da ein anderer TAN-Mechanismus benutzt wird; aber die Angreifer haben das sicher entsprechend angepasst in ihrer "User-Journey"). Angreifer, nun im Onlinebanking eingeloggt, verknüpft ein olles iPhone unter seiner Kontrolle mit dem Konto des Opfers. Dafür ist eine TAN als Bestätigung erforderlich. Also wird dem Opfer vorgespielt, für die Freigabe der Spende sei die Eingabe einer (ggfs. weiteren) TAN erforderlich. Opfer erhält die TAN und gibt sie auf der Fake-Webseite ein; damit erhält der Angreifer sie und kann die Verknüpfung zu dem iPhone unter seiner Kontrolle freischalten. Danke für die Spende. Wir schicken Ihnen noch eine Spendenquittung an Ihre Adresse. Kann allerdings noch ein paar Tage dauern. Wir bitten um Verständnis und wünschen noch einen schönen Tag.
Jackpot; now it's shopping time!
Ein Opfer, das sich nichts denkt bei der Nutzung solcher QR-Codes, wird mit hoher Wahrscheinlichkeit auch nicht auf die subtilen Mitteilungen in den TANs achten, zumal der Angreifer die Formulierung in der User-Journey so anzupassen versucht, dass es möglichst ein stimmiges Bild ergibt.
Mit hoher Wahrscheinlichkeit wurde die S-TAN-App nicht auf dem fremden Telefon installiert, War auch nicht nötig. ApplePay genügt.
Zuletzt bearbeitet:
Nun übertreib mal nicht. Bei mir läuft er erst seit dem 19.05.
Zuletzt bearbeitet:
aaah, interessant, ich bin also nicht der Einzige, der wartet. Bei mir kam immerhin am 01.06. die Mail, dass das Konto eröffnet sei, und am 02.06. die Mail, dass im Postfach neue Dokumente seien. Jetzt warte ich nur noch auf die Zugangsdaten zum OB, die per Post kommen sollen ...