Ergebnis 1 bis 13 von 13
  1. #1
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    36

    Standard Banking-Trojaner SpyEye fängt SMS-Codes ab

    Verfahren, bei denen Einmal-Passwörter per SMS verschickt werden, sollen Online-Banking-Kunden gegen Phishing-Angriffe absichern. Der berüchtigte Banking-Trojaner SpyEye verfügt in seiner neuesten Version jedoch über die Funktionalität, derartige Verfahren zu umgehen, indem die SMS an eine andere Telefonnummer umgeleitet werden.

    zur News

  2. #2
    Mitglied
    Registriert seit
    Aug 2011
    Beiträge
    540
    Danksagungen
    8

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Eine weitere Hürde ist dann hoffentlich immer noch die Berechnung der TAN.
    Im normalen Fall mit Lesegerät wird die TAN ja aus zwei Nummern berechnet, von denen eine die Kontonummer ist.
    Weicht die Berechnung dann von der Empfänger-Nummer ab, ist die TAN ungültig. Somit ist bei dem Verfahren zumindest nicht möglich, Geld an einen beliebigen Empfänger zu überweisen. Hoffe ich zumindest.

    Interessant ist aber allemal, dass selbst sicher erscheinende Verfahren nicht zwangsläufig wirklich sicher sind. Von daher bis jetzt eine schöne Beweisführung, wenn auch unwahrscheinlich.

  3. #3
    Mitglied Avatar von sh2606
    Registriert seit
    Aug 2008
    Beiträge
    1.680
    Danksagungen
    89

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Raffinierter, aber genau genommen ist diese Vorgehensweise genauso auf die Blödheit/Gutgläubigkeit der Nutzer angewiesen wie das Ausspähen der kompletten TAN-Liste.

    @Sancho-Pancho:
    Du meinst wohl chipTAN, diese News ist aber über SMS-TAN.

  4. #4
    Mitglied
    Registriert seit
    Oct 2007
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    da frag ich mich doch wieso man überhaupt die Telefonnummer online ändern kann

    man könnte ja genausogut sagen das die leute mal zur bank gehen sollten wenn sie ne neue nummer haben so oft kommt das nun ja auch wieder nicht vor

  5. #5
    Mitglied
    Registriert seit
    Aug 2009
    Beiträge
    24
    Danksagungen
    0

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Einfachste lösung was bei der postbank schon ist:
    Ne ausfürhliche sms die man nicht missverstehen kann.
    zb:
    "sie haben soeben beantragt ihr tele nummer auf xxxx-xxxxxxxx zu ändern. Fals sie dies vorhaben, so geben sie bitte folgende code ein.: XXXXXXXX Und dann halt noch n hinweiß ala "Das System würde sie niemals bitten ihre tele nummer zu ändern,egal aus welchen gründen"

  6. #6
    E-Mail nicht bestätigt Avatar von Barbamama
    Registriert seit
    Mar 2000
    Beiträge
    675
    Danksagungen
    25

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Zitat Zitat von KINGmasterDS Beitrag anzeigen
    da frag ich mich doch wieso man überhaupt die Telefonnummer online ändern kann

    man könnte ja genausogut sagen das die leute mal zur bank gehen sollten wenn sie ne neue nummer haben so oft kommt das nun ja auch wieder nicht vor
    Es gibt durchaus auch Banken, die nicht alle 500 m eine Filiale hochgezogen haben. "Mal eben hingehen" geht oft nicht.

    Trotzdem: Wer darauf reinfällt, ist selber schuld. Als ob eine Bank Sim-Karten mit extra Nummern an alle Kunden verschicken würde. Und wer blöd genug ist, das zu glauben, soll halt bis zum Sankt-Nimmerleins-Tag auf die Karte warten und so lange die Füße stillhalten.

    Mein Eindruck: Die aktuellen Systeme der Banken beim Online-Banking sind sicher genug. Die Risiken sitzen vor dem Rechner. Und wenn die nicht durch Pishing oder Trojaner auf die Schnauze fallen, dann beim Enkel-Trick an der Haustür.

    Sorry. Mußte mal raus.

  7. #7
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    661
    Danksagungen
    2

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Zitat Zitat von Barbamama Beitrag anzeigen
    Mein Eindruck: Die aktuellen Systeme der Banken beim Online-Banking sind sicher genug. Die Risiken sitzen vor dem Rechner. Und wenn die nicht durch Pishing oder Trojaner auf die Schnauze fallen, dann beim Enkel-Trick an der Haustür.
    Stimmt schon. Aber Phishing im Internet skaliert einfach sehr viel besser, als der Enkeltrick. Und die Zielgruppe ist auch viel größer, als nur die der demenzkranken alten Leute. Ich denke schon, dass man als Bank etwas gegen Phishing-Angriffe tun sollte. Es dient ja auch dem eigenen Schutz. Schließlich haftet oft die Bank, wenn Gerichte entscheiden, dass der Normbürger die Täuschung nicht hätte erkennen müssen.
    Günstige technische Lösungen für das Problem gibt es auch längst: beispielsweise ordentliche Texte in den SMS (zugegebenermaßen ist es da kein Vorteil, dass man nur 160 Zeichen zur Verfügung hat) oder auch die ChipTan. An der, früher oft mangelhaften, Aufklärung haben die Institute inzwischen immerhin gut nachgebessert. Nur liest die Doku halt auch kaum einer - ist auch kein Wunder, müsste man dann doch eigendlich vollständigerweise auch das umfangreiche Kleingedruckte in den AGB lesen...

    Die Banken sollten sich da noch etwas einfallen lassen, um Social-Engeneering-Attacken zu erschweren. Ich glaube, dass die das können und auch selbst ein Interesse daran haben.

  8. #8
    Mitglied Avatar von titus_shg
    Registriert seit
    Mar 2007
    Ort
    NRW/OWL
    Beiträge
    10.036
    NewsPresso
    1 (Talent)
    Danksagungen
    52

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Zitat Zitat von Barbamama Beitrag anzeigen
    Trotzdem: Wer darauf reinfällt, ist selber schuld. Als ob eine Bank Sim-Karten mit extra Nummern an alle Kunden verschicken würde. Und wer blöd genug ist, das zu glauben, soll halt bis zum Sankt-Nimmerleins-Tag auf die Karte warten und so lange die Füße stillhalten.
    Das sehe ich genauso.

    Diese TAN-auf-SMS-Geschichte wurde ja extra eingeführt, damit der Nutzer sich unkompliziert und schnell die TANs auf seine eigene regelmässig genutzte (und eben auch immer mitgeführte) Handynummer schicken lassen kann.

    Also wer auf sowas (von der Bank ne neue SIM und ne neue Nummer irgendwann zugeschickt kriegen, die man aber, bevor man sie hat, schon mal freischalten soll ) reinfällt, dem geschieht es ganz recht, dass er Lehrgeld bezahlt. Zumal da ja wahrscheinlich nicht mal bei steht, in welchem Netz und mit welchem Tarif diese SIM genutzt werden wird.

    Son Blödsinn.

    Zitat Zitat von Gugel Beitrag anzeigen

    Die Banken sollten sich da noch etwas einfallen lassen, um Social-Engeneering-Attacken zu erschweren. Ich glaube, dass die das können und auch selbst ein Interesse daran haben.
    Was sollen die Banken denn noch alles gegen die Blödheit mancher Kunden tun? Wer zu naiv ist, alles glaubt und nichts liest, dem ist auch mit keiner Schutzmassnahme dieser Welt zu helfen.

    MfG Andy

  9. #9
    Mitglied
    Registriert seit
    Jun 2010
    Beiträge
    264
    Danksagungen
    2

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Das zeigt immerhin, dass neue Verfahren wie die SMS-TAN sicherer sind, als die alten TAN-Listen. Damals brauchte es nur nen dummen User, heute brauchts dummen User + Virus

  10. #10
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    EC-Karten nicht mehr sicher. Der neue Banking Trojaner SpyEye ist in der Lage, an jedem Bankautomaten weltweit ohne Wissen des Kontoinhabers Geld abzuheben. Dazu wird lediglich die EC-Karte geklaut und der Inhaber mittels Social Engineering dazu gebracht, seinen Pin-Code zu verraten. Ein Skandal!

  11. #11
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    661
    Danksagungen
    2

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Zitat Zitat von titus_shg Beitrag anzeigen
    Was sollen die Banken denn noch alles gegen die Blödheit mancher Kunden tun? Wer zu naiv ist, alles glaubt und nichts liest, dem ist auch mit keiner Schutzmassnahme dieser Welt zu helfen.
    Naja, die Banken verdienen mit diesen Kunden doch gutes Geld. Da sollen die sich mal nicht zieren und ein wenig davon auch in Kundenbindung investieren. Die Bedürfnisse ahnungsloser Kunden einfach nur als Blödheit abzutun hat noch niemandem eine gute Kundenbindung gebracht...
    Reine Belehrung löst das Problem jedenfalls nicht. Die Haftung liegt hauptsächlich eh bei den Banken. Also somit auch das Interesse an der Lösung. Ich schließe daraus, dass die Banken sich etwas überlegen werden, sobald das Phishing wieder Überhand nimmt (das war schonmal so, da haben die dann ChipTan und SMS-Tan eingeführt).

  12. #12
    Gesperrt Avatar von nexone89
    Registriert seit
    Feb 2011
    Ort
    Berlin
    Beiträge
    534
    Danksagungen
    10

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Finde ich alles nicht so schlimm was ich wirklich schlimm finde dass banken automatisch dir deine neue kontokarte zuschicken, meine wurde ausn briefkasten geklaut und per lastschrift eingekauft, nun stellt euch vor eine woche später hätten die mir noch den pin rausgefischt ich ging die tage die ganze zeit davon aus dass meine karte noch aufn weg sei.

  13. #13
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    661
    Danksagungen
    2

    Standard Re: Banking-Trojaner SpyEye fängt SMS-Codes ab

    Zitat Zitat von nexone89 Beitrag anzeigen
    was ich wirklich schlimm finde dass banken automatisch dir deine neue kontokarte zuschicken
    Du meinst, sie sollen das nicht tun, sondern lediglich bescheidgeben, dass man eine neue Karte beantragen muss, wenn man weiterhin am Geldautomaten abheben können und bargeldlos an Kassen bezahlen können will?
    Ich kann mir gut vorstellen, dass sich da die Kunden an eine Behörde erinnert sähen - nicht grade das Image, dass eine Bank gerne hätte.

    Zitat Zitat von nexone89 Beitrag anzeigen
    meine wurde ausn briefkasten geklaut und per lastschrift eingekauft
    Soweit ist noch nix Schlimmes passiert - Lastschriften sind leicht rückabwickelbar.

    Zitat Zitat von nexone89 Beitrag anzeigen
    nun stellt euch vor eine woche später hätten die mir noch den pin rausgefischt
    Das wäre tatsächlich lästig. Aber vermutlich würde letztlich die Bank haften, wenn du sofort bei Kenntnisnahme diese benachrichtigst und bei der Polizei die Diebe (also "Unbekannt") anzeigst.

    Das Problem mit dem Fall "die Diebe haben Zugriff auf meinen Briefkasten" ist, dass es noch viele Leute gibt, die außer per Telefon und Post nicht praktikabel erreichbar sind. Man könnte per Anruf mitteilen, wenn etwas wichtiges verschickt wird. Aber Anrufe dieser Art empfinden viele Kunden als unnötig, viele sogar als störend. Man könnte auch die wichtigen Dinge per Kurier oder Einschreiben schicken, hätte dadurch aber höhere Kosten und im Falle des Einschreibens zwänge man einen Großteil der Kunden zum Gang aufs Postamt, weil diese auf Arbeit sind, wenn der Postbote kommt.
    Andererseits skaliert dieser Fall für die Diebe auch nicht besonders gut: sie müssen den Briefkasten nahezu täglich prüfen (optimalerweise Mo-Sa möglichst gleich nachdem der Postbote da war) und pro Briefkasten erwischen sie lediglich ein Opfer. Dies lässt sich, im Gegensatz zu Online-Angriffen, auch nicht sinnvoll und kostengünstig automatisieren. Dazu gibt es durchaus das Risiko, von einem gelangweilten Nachbarn bei der Tat beobachtet zu werden.

    Vermutlich ist in Deutschland der Diebstahl aus dem Briefkasten nicht wirklich der Schadensfall, gegen den die Banken sich gezwungen fühlen, mehr zu tun...

  14.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •