Benutzer nukumichi schrieb:
Benutzer wolfbln schrieb:
Hand aufs Herz: Wer fragt bei Abschluss eines Mobilfunkvertrags nach, ob er/sie die Nummer 24 Stunden lang per Hotline sperren lassen kann?
Deine umfangreichen Ausführungen zum Mobilfunk haben aber nur etwas mit der häufiger in der Kritik stehenden Authentifizierungsmethode "Mobile TAN" zu tun, oder sehe ich das falsch? Ich habe auf meinem Gerät eine Banking- und eine PushTAN App. Beide verlangen für Login und Überweisungsausführung bzw. -freigabe entweder einen Fingerabdruck (Methoden zum Aushebeln sind dokumentiert, aber relativ aufwändig) oder unterschiedliche, komplexe Passwörter. Mit gesperrten oder ungesperrten SIM-Karten hat das nichts zu tun.
Nein, ist nicht korrekt. Ich habe oben etwas den Zugriff auf Transaktionen (unberechtigte Überweisungen) und die Kontoverbindung vermischt. Wenn ein Angreifer Zugriff auf die Kontoverbindung hat, kann er auch alle Transaktionen, die über mobile TAN-Verfahren erfolgen auf sich umlenken. In diesem Fall war das alte iTAN-Verfahren sogar sicherer, weil es etwas dauerte, neue TAN-Listen zu erstellen.
Die meisten online-Banken haben eine 2-Wege-Authentifizierung über:
A) Email-Adresse
B) Handynummer
Wenn ein Angreifer beides unter seine Kontrolle bekommt, hat er leichtes Spiel und kann das ganze Konto kidnappen. Die meisten Angreifer gehen auf das Konto, weil es den Zugriff auf Transaktionen mit sich hat.
Wie leicht eine Email-Adresse zu hijacken ist, habe ich letztes Jahr erlebt. Häufig über Phishing-Mails werden unbemerkt Emailkonto-Weiterleitungen gelegt. Diese Funktionen sind auf normalen Browsern oder mobilen Apps überhaupt nicht zu sehen. Man kann sie nur in den Einstellungen über die Seiten der Email-Anbieter finden. Und da sind sie sehr versteckt. Bei GMX z.B. unter "Filtereigenschaften", wo ich die Einstellungen des Spamfilters vermuten würde und nicht der Weiterleitungen. Hat der Angreifer diese Weiterleitung im Hintergrund gelegt, hat er unbemerkt Lesemöglichkeit auf alle eingehenden Emails einschl. Verifikationslinks. Das Konto voll zu kapern, geht ziemlich einfach. Bei Freenet.de reichte mein Name, Account und Geburtsdatum als Sicherheitsfrage, um im Chat es auf neue Handynummer oder Alias-Email umzuleiten und mich auszusperren.
Etwas schwieriger ist es, die Handynummer zu kidnappen bzw. die SIM-Karte, so lange sie physisch nicht im Besitz des Angreifers ist. Da aber Kunden ständig Handys verlieren, Verträge und Nummern ändern usw. sind die Anforderungen der Online-Banken zur Änderung der Handynummer nicht allzuhoch. Häufig ist das per Chat oder online-Formular leicht möglich. Bei den Mobilfunkanbietern gibt es inzwischen sehr viel mehr Sorgfalt, wem sie eine Ersatz-SIM wie bereitstellen. Schwierig wird es aber, wenn das Handy verloren geht. Da drin laufen alle Wege zusammen: SIM-Karte, Email-Adresse (über Email-App) und Bankkonto (über Bank-App) und es ist nur eine Frage der Zeit, bis der Zugreifer das Handy entriegelt hat und SIM + Email + Konto zusammenbringt und umleiten kann.
Darum ist es auch so ungeheuer wichtig, alle verlorengegangenen SIM-Karten, außer sie sind in den Gully gefallen, über die Konten verifiziert wurden, so schnell wie möglich zu sperren, auch prepaid SIMs.
Zur PushTAN nur so viel: das wird bisher nur von Sparkassen und der DKB angeboten. Bei Sparkassen entfallen auch die besonderen Verifizierungs-Probleme von Online-Banken, weil in der Regel ein Filialnetz vorhanden ist, wenn auch immer nur regional. Push-TAN wird außerdem noch von der DKB angeboten als TAN2go.
PushTAN ist da etwas schwerer zu manipulieren, aber auch dieses System ist in der Vergangenheit technisch unterlaufen worden über Schadcode. Bei PushTAN besteht der Vorteil, das es nicht an eine Mobilfunknummer gebunden ist. Als Nachteil ist es aber zwangsläufig auf ein oder mehrere definierte Geräte beschränkt (was auch verloren gehen kann) und das Gerät kein Root/Jailbreak haben darf. PushTAN muss für jedes neue Gerät ein Registrierungsverfahren durchlaufen, das mehrere Tage dauert. Dadurch kann es schon alleine zu keinem Schnellzugriff kommen. Dies erfolgte in der Vergangenheit eher durch das Hacken mit Schadcode.
Sagen wir mal so: wenn man seine SIM-Karte auch nur für Bankgeschäfte braucht und das Handy immer schon zu Hause wegschließt und die Transaktion immer über ein Zweitsystem laufen lässt unabhängig vom Handy in dem die SIM ist und die Bestätigungs-SMS aufläuft, dann ist auch mobile TAN sicher. Aber wer macht das schon?