cujo
Bloody Newbie
|
zumindest die scan-funktion der sparkasse-app hat noch starkes optimierungspotential - 3/5 und 0/8 bringts gerne durcheinander, und in der zeit, in der ich diese gschissene iban-zahlenwurscht dreimal kontrolliert hab, hab ichs eingegeben eigentlich auch schon... Find das bei der Bank Austria-App ziemlich cool, die hat einen QR-Scanner (und die QR-Codes dazu sind ja auch auf immer mehr Rechnungen zu finden) der funktioniert echt super: scannen und alle Daten sind eingetragen. Bin sonst auch jemand, der alle Daten immer 3x überprüft, ob ich mich eh nirgends vertippt hab 
|
walters
Little Overclocker
|
Was ist wenn jemand die tan rausfindet? Ohne pw und verfügernummer kann man trotzdem nichts überweisen
|
davebastard
Vinyl-Sammler
|
Was ist wenn jemand die tan rausfindet? Ohne pw und verfügernummer kann man trotzdem nichts überweisen das ist einfach: du hast einen trojaner am handy der vor der eigentlichen überweisungsapp die passwortabfrage faket und dann das passwort an irgendeinen server schickt. gleich mit der passenden TAN weil das ja auch am selben gerät ankommt. bin also auch kein freund von den apps. daheim verwend ich online-banking (elba) aber schon
|
ccr
|
das ist einfach: du hast einen trojaner am handy der vor der eigentlichen überweisungsapp die passwortabfrage faket und dann das passwort an irgendeinen server schickt. gleich mit der passenden TAN weil das ja auch am selben gerät ankommt.
bin also auch kein freund von den apps.
daheim verwend ich online-banking (elba) aber schon In einem Schritt geht das nicht. Wenn, dann muss ich zuerst die Zugangsdaten ausspionieren, dann eine Überweisung eingeben und den Versand einer TAN anstoßen, dann die TAN-SMS beim Opfer abfangen, ohne dass das Opfer das aber überhaupt mitbekommt (also kein Nachrichteneingang etc.), und erst dann kann ich meine Überweisung durchführen. Keine Ahnung, ob es technisch möglich ist (vielleicht mit Root?) eine eingehende SMS umzuleiten, ohne dass der Empfänger die Existenz dieser SMS überhaupt merkt. Es dürfte jedenfalls nicht ganz unkompliziert sein - weil bei den deutschen Betrugsfällen hat man einfach Schwachstellen im Mobilfunkbetreiber-Support ausgenutzt, und SIM-Karten-Duplikate an eine "neue" Adresse angefordert. Was zumindest in Österreich telefonisch nicht ganz so einfach ist, gleichzeitig die Adresse zu ändern und ein Kartenduplikat anzufordern, ganz ohne Kundenkennwort etc., und ohne Benachrichtigung an die alte SIM und Postadresse.
|
walters
Little Overclocker
|
Sagen wir mal die Internetverbindung ist am handy ausgeschaltet und man logt sich am rechner ein.
Das dürfte ziemlich sicher sein, oder?
|
XXL
insomnia
|
sagen wir mal so, hast du dein handy gerootet oder jemals software von drittanbietern ausserhalb des stores installier? wenn nein dann würd ich mir keine sorgen machen ....
|
GrandAdmiralThrawn
XP Nazi
|
Ich hatte auf der Arbeit Mal einen Fall einer Mitarbeiterin mit kompromittiertem Notebook und eben solchem Android Handy. Das Handy war SICHER nicht rooted. Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted, und 10k€ weg. Die war ein BISSL fertig, weil das Konto war LEER!
Grade eben hat z.B. die Bank Austria ein 1.500€ Limit für MobileTAN-signierte Überweisungen eingeführt. Sicher NICHT umsonst.
Das System ist bei weitem nicht so sicher, wie einem vorgegaukelt wird. Da bleibe ich lieber bei meinen iTANs, denn an die kommst nur, wennst meinen Rechner komplett den ***** aufreißt, oder in meine Wohnung einbrichst..
|
sLy-
semiconductor physicist
|
naja könnt mir schon vorstellen, dass sowas möglich ist:
handy verseucht => kunde fällt auf die gefälschte homepage/app der bank rein und gibt dort all seine daten für den login ein => klickt sich dann durch die überweisungen und sobald er diese mit mobileTAN bestätigen will wird diese abgefangen.
Somit hätte ein angreifer dann alle nötigen daten. Allerdings muss man dafür auch wirklich seine bankgeschäfte per handybrowser/padbrowser machen wodurch die sicherheit der mobileTAN (zweites gerät) ja gerade überbrückt wird. so weit kommts bei mir dann doch noch lange nicht.
ich halte die mobileTAN immer noch für sicher, solange man mit ein wenig verstand arbeitet und die Bankgeschäfte nicht auf einer gefälschten mobileAPP erledigt. => damit könnte man ja praktisch fast alle sicherheitsabfragen umgehen, weil man den user ja praktisch um seine Schlüssel fragt und er sie bereitwillig eingibt.
Bearbeitet von sLy- am 31.01.2014, 22:43
|
davebastard
Vinyl-Sammler
|
Keine Ahnung, ob es technisch möglich ist (vielleicht mit Root?) eine eingehende SMS umzuleiten, ohne dass der Empfänger die Existenz dieser SMS überhaupt merkt. nicht umleiten, aber die sms per internet an einen server schicken und die sms gleich löschen. ich kenn das z.B. von whatsapp da hat das genauso funktioniert. man hat eine sms angefordert (zum authentifizieren von whatsapp), die ist dann auch am handy angekommen, wurde aber sofort von whatsapp erkannt und der aktivierungscode ausgelesen, die sms dann gelöscht oder zumindest als gelesen makiert. d.h. der user bekommts zwar mit aber innerhalb von ein paar sekunden ist die sms weg.
|
cujo
Bloody Newbie
|
Theoretisch ist sicher viel möglich.
Trotzdem glaube ich, dass durch Phishing oder ähnliche Tricks sicher deutlich höhere Schäden etstehen, als durch normales Online- oder mobile Banking - davon liest man immer wieder mal. Beim Mobile Banking fällt mir jetzt kein Fall ein, von dem ich mal gehört hätte...
|
d3cod3
Legend...
|
davon würde ich auch ausgehen. die wahrscheinlichkeit für handy trojaner + rechner hacked + wasauchimmernotwendig halte ich für sehr klein. da hat man entweder massig pech oder ist so blauäugig dass man lieber sowieso an keinen rechner sollte...
|
eitschpi
epidämlichologe
|
Ich hatte auf der Arbeit Mal einen Fall einer Mitarbeiterin mit kompromittiertem Notebook und eben solchem Android Handy. Das Handy war SICHER nicht rooted. Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted, und 10k€ weg. Die war ein BISSL fertig, weil das Konto war LEER! Welche Page am Handy? Es klingt als würde sie per Notebook banken und nur den TAN aufs Handy bekommen...
|
davebastard
Vinyl-Sammler
|
Theoretisch ist sicher viel möglich.
Trotzdem glaube ich, dass durch Phishing oder ähnliche Tricks sicher deutlich höhere Schäden etstehen, als durch normales Online- oder mobile Banking - davon liest man immer wieder mal. Beim Mobile Banking fällt mir jetzt kein Fall ein, von dem ich mal gehört hätte... streit ich gar ned ab, phishing oder social hacking ist sicher erfolgreicher. aber ich bin bei mobile banking halt trotzdem skeptisch weil halt die sicherheit von mehreren verwendeten geräten wegfällt, wie es z.B. beim normalen online banking ist.
|
cujo
Bloody Newbie
|
Eine gesunde Skepsis is bei solchen Dingen auch sicher nicht schlecht und durchaus angebracht. Aber ich glaub, man muss sich auch nicht zuu sehr Sorgen machen.
Wenn man merkt, dass einem das Handy abhanden gekommen ist (seis jetzt verloren oder gestohlen) kann man das Konto ja auch noch sperren lassen. Und soweit ich weiß, kann man Überweisungen auch noch stornieren lassen, solang das Geld noch nicht am anderen Konto angekommen ist (was ja nicht sofort passiert). Und wenn das Handy weg ist, merkt man das normalerweise doch recht schnell.
|
TOM
ElderOldschool OC.at'ler
|
Ich hatte auf der Arbeit Mal einen Fall einer Mitarbeiterin mit kompromittiertem Notebook und eben solchem Android Handy. Das Handy war SICHER nicht rooted. Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted, und 10k€ weg. Die war ein BISSL fertig, weil das Konto war LEER!
Grade eben hat z.B. die Bank Austria ein 1.500€ Limit für MobileTAN-signierte Überweisungen eingeführt. Sicher NICHT umsonst.
Das System ist bei weitem nicht so sicher, wie einem vorgegaukelt wird. Da bleibe ich lieber bei meinen iTANs, denn an die kommst nur, wennst meinen Rechner komplett den ***** aufreißt, oder in meine Wohnung einbrichst.. Ich vermute mal, dein Kollege hat das Geld von der Bank wieder bekommen?
|
Anmeldung