Banking-Trojaner SpyEye fängt SMS-Codes ab

**Annika_Kremer** · 06. 10. 2011, 21:32

Verfahren, bei denen Einmal-Passwörter per SMS verschickt werden, sollen Online-Banking-Kunden gegen Phishing-Angriffe absichern. Der berüchtigte Banking-Trojaner SpyEye verfügt in seiner neuesten Version jedoch über die Funktionalität, derartige Verfahren zu umgehen, indem die SMS an eine andere Telefonnummer umgeleitet werden.

zur News

**Sancho-Pancho** · 06. 10. 2011, 21:39

Eine weitere Hürde ist dann hoffentlich immer noch die Berechnung der TAN.
Im normalen Fall mit Lesegerät wird die TAN ja aus zwei Nummern berechnet, von denen eine die Kontonummer ist.
Weicht die Berechnung dann von der Empfänger-Nummer ab, ist die TAN ungültig. Somit ist bei dem Verfahren zumindest nicht möglich, Geld an einen beliebigen Empfänger zu überweisen. Hoffe ich zumindest.

Interessant ist aber allemal, dass selbst sicher erscheinende Verfahren nicht zwangsläufig wirklich sicher sind. Von daher bis jetzt eine schöne Beweisführung, wenn auch unwahrscheinlich.

**sh2606** · 06. 10. 2011, 22:06

Raffinierter, aber genau genommen ist diese Vorgehensweise genauso auf die Blödheit/Gutgläubigkeit der Nutzer angewiesen wie das Ausspähen der kompletten TAN-Liste.

@Sancho-Pancho:
Du meinst wohl chipTAN, diese News ist aber über SMS-TAN.

**KINGmasterDS** · 06. 10. 2011, 23:05

da frag ich mich doch wieso man überhaupt die Telefonnummer online ändern kann

man könnte ja genausogut sagen das die leute mal zur bank gehen sollten wenn sie ne neue nummer haben so oft kommt das nun ja auch wieder nicht vor

**Orianbeter** · 06. 10. 2011, 23:27

Einfachste lösung was bei der postbank schon ist:
Ne ausfürhliche sms die man nicht missverstehen kann.
zb:
"sie haben soeben beantragt ihr tele nummer auf xxxx-xxxxxxxx zu ändern. Fals sie dies vorhaben, so geben sie bitte folgende code ein.: XXXXXXXX Und dann halt noch n hinweiß ala "Das System würde sie niemals bitten ihre tele nummer zu ändern,egal aus welchen gründen"

**Barbamama** · 07. 10. 2011, 00:53

Zitat von KINGmasterDS

da frag ich mich doch wieso man überhaupt die Telefonnummer online ändern kann

man könnte ja genausogut sagen das die leute mal zur bank gehen sollten wenn sie ne neue nummer haben so oft kommt das nun ja auch wieder nicht vor

Es gibt durchaus auch Banken, die nicht alle 500 m eine Filiale hochgezogen haben. "Mal eben hingehen" geht oft nicht.

Trotzdem: Wer darauf reinfällt, ist selber schuld. Als ob eine Bank Sim-Karten mit extra Nummern an alle Kunden verschicken würde. Und wer blöd genug ist, das zu glauben, soll halt bis zum Sankt-Nimmerleins-Tag auf die Karte warten und so lange die Füße stillhalten.

Mein Eindruck: Die aktuellen Systeme der Banken beim Online-Banking sind sicher genug. Die Risiken sitzen vor dem Rechner. Und wenn die nicht durch Pishing oder Trojaner auf die Schnauze fallen, dann beim Enkel-Trick an der Haustür.

Sorry. Mußte mal raus.

**Gugel** · 07. 10. 2011, 06:16

Zitat von Barbamama

Mein Eindruck: Die aktuellen Systeme der Banken beim Online-Banking sind sicher genug. Die Risiken sitzen vor dem Rechner. Und wenn die nicht durch Pishing oder Trojaner auf die Schnauze fallen, dann beim Enkel-Trick an der Haustür.

Stimmt schon. Aber Phishing im Internet skaliert einfach sehr viel besser, als der Enkeltrick. Und die Zielgruppe ist auch viel größer, als nur die der demenzkranken alten Leute. Ich denke schon, dass man als Bank etwas gegen Phishing-Angriffe tun sollte. Es dient ja auch dem eigenen Schutz. Schließlich haftet oft die Bank, wenn Gerichte entscheiden, dass der Normbürger die Täuschung nicht hätte erkennen müssen.
Günstige technische Lösungen für das Problem gibt es auch längst: beispielsweise ordentliche Texte in den SMS (zugegebenermaßen ist es da kein Vorteil, dass man nur 160 Zeichen zur Verfügung hat) oder auch die ChipTan. An der, früher oft mangelhaften, Aufklärung haben die Institute inzwischen immerhin gut nachgebessert. Nur liest die Doku halt auch kaum einer - ist auch kein Wunder, müsste man dann doch eigendlich vollständigerweise auch das umfangreiche Kleingedruckte in den AGB lesen...

Die Banken sollten sich da noch etwas einfallen lassen, um Social-Engeneering-Attacken zu erschweren. Ich glaube, dass die das können und auch selbst ein Interesse daran haben.

**titus_shg** · 07. 10. 2011, 09:13

Zitat von Barbamama

Trotzdem: Wer darauf reinfällt, ist selber schuld. Als ob eine Bank Sim-Karten mit extra Nummern an alle Kunden verschicken würde. Und wer blöd genug ist, das zu glauben, soll halt bis zum Sankt-Nimmerleins-Tag auf die Karte warten und so lange die Füße stillhalten.

Das sehe ich genauso.

Diese TAN-auf-SMS-Geschichte wurde ja extra eingeführt, damit der Nutzer sich unkompliziert und schnell die TANs auf seine eigene regelmässig genutzte (und eben auch immer mitgeführte) Handynummer schicken lassen kann.

Also wer auf sowas (von der Bank ne neue SIM und ne neue Nummer irgendwann zugeschickt kriegen, die man aber, bevor man sie hat, schon mal freischalten soll

) reinfällt, dem geschieht es ganz recht, dass er Lehrgeld bezahlt. Zumal da ja wahrscheinlich nicht mal bei steht, in welchem Netz und mit welchem Tarif diese SIM genutzt werden wird.

Son Blödsinn.

Zitat von Gugel

Die Banken sollten sich da noch etwas einfallen lassen, um Social-Engeneering-Attacken zu erschweren. Ich glaube, dass die das können und auch selbst ein Interesse daran haben.

Was sollen die Banken denn noch alles gegen die Blödheit mancher Kunden tun? Wer zu naiv ist, alles glaubt und nichts liest, dem ist auch mit keiner Schutzmassnahme dieser Welt zu helfen.

MfG Andy

**SanitysDownfall** · 07. 10. 2011, 15:05

Das zeigt immerhin, dass neue Verfahren wie die SMS-TAN sicherer sind, als die alten TAN-Listen. Damals brauchte es nur nen dummen User, heute brauchts dummen User + Virus

**BudFudlecker** · 07. 10. 2011, 15:22

EC-Karten nicht mehr sicher. Der neue Banking Trojaner SpyEye ist in der Lage, an jedem Bankautomaten weltweit ohne Wissen des Kontoinhabers Geld abzuheben. Dazu wird lediglich die EC-Karte geklaut und der Inhaber mittels Social Engineering dazu gebracht, seinen Pin-Code zu verraten. Ein Skandal!

**Gugel** · 07. 10. 2011, 16:11

Zitat von titus_shg

Was sollen die Banken denn noch alles gegen die Blödheit mancher Kunden tun? Wer zu naiv ist, alles glaubt und nichts liest, dem ist auch mit keiner Schutzmassnahme dieser Welt zu helfen.

Naja, die Banken verdienen mit diesen Kunden doch gutes Geld. Da sollen die sich mal nicht zieren und ein wenig davon auch in Kundenbindung investieren. Die Bedürfnisse ahnungsloser Kunden einfach nur als Blödheit abzutun hat noch niemandem eine gute Kundenbindung gebracht...
Reine Belehrung löst das Problem jedenfalls nicht. Die Haftung liegt hauptsächlich eh bei den Banken. Also somit auch das Interesse an der Lösung. Ich schließe daraus, dass die Banken sich etwas überlegen werden, sobald das Phishing wieder Überhand nimmt (das war schonmal so, da haben die dann ChipTan und SMS-Tan eingeführt).

**nexone89** · 08. 10. 2011, 21:48

Finde ich alles nicht so schlimm was ich wirklich schlimm finde dass banken automatisch dir deine neue kontokarte zuschicken, meine wurde ausn briefkasten geklaut und per lastschrift eingekauft, nun stellt euch vor eine woche später hätten die mir noch den pin rausgefischt ich ging die tage die ganze zeit davon aus dass meine karte noch aufn weg sei.

**Gugel** · 10. 10. 2011, 11:58

Zitat von nexone89

was ich wirklich schlimm finde dass banken automatisch dir deine neue kontokarte zuschicken

Du meinst, sie sollen das nicht tun, sondern lediglich bescheidgeben, dass man eine neue Karte beantragen muss, wenn man weiterhin am Geldautomaten abheben können und bargeldlos an Kassen bezahlen können will?
Ich kann mir gut vorstellen, dass sich da die Kunden an eine Behörde erinnert sähen - nicht grade das Image, dass eine Bank gerne hätte.

Zitat von nexone89

meine wurde ausn briefkasten geklaut und per lastschrift eingekauft

Soweit ist noch nix Schlimmes passiert - Lastschriften sind leicht rückabwickelbar.

Zitat von nexone89

nun stellt euch vor eine woche später hätten die mir noch den pin rausgefischt

Das wäre tatsächlich lästig. Aber vermutlich würde letztlich die Bank haften, wenn du sofort bei Kenntnisnahme diese benachrichtigst und bei der Polizei die Diebe (also "Unbekannt") anzeigst.

Das Problem mit dem Fall "die Diebe haben Zugriff auf meinen Briefkasten" ist, dass es noch viele Leute gibt, die außer per Telefon und Post nicht praktikabel erreichbar sind. Man könnte per Anruf mitteilen, wenn etwas wichtiges verschickt wird. Aber Anrufe dieser Art empfinden viele Kunden als unnötig, viele sogar als störend. Man könnte auch die wichtigen Dinge per Kurier oder Einschreiben schicken, hätte dadurch aber höhere Kosten und im Falle des Einschreibens zwänge man einen Großteil der Kunden zum Gang aufs Postamt, weil diese auf Arbeit sind, wenn der Postbote kommt.
Andererseits skaliert dieser Fall für die Diebe auch nicht besonders gut: sie müssen den Briefkasten nahezu täglich prüfen (optimalerweise Mo-Sa möglichst gleich nachdem der Postbote da war) und pro Briefkasten erwischen sie lediglich ein Opfer. Dies lässt sich, im Gegensatz zu Online-Angriffen, auch nicht sinnvoll und kostengünstig automatisieren. Dazu gibt es durchaus das Risiko, von einem gelangweilten Nachbarn bei der Tat beobachtet zu werden.

Vermutlich ist in Deutschland der Diebstahl aus dem Briefkasten nicht wirklich der Schadensfall, gegen den die Banken sich gezwungen fühlen, mehr zu tun...