Experten knacken iTAN-Verfahren

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von star-speck, 14. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. star-speck

    star-speck Byte

    Registriert seit:
    15. März 2001
    Beiträge:
    72
    Das ist ja wohl wirklich logisch, dass es so möglich ist, das Verfahren zu "knacken".
    Dafür brauch ich keinen Professor.

    Der Mensch wird immer die Schwachstelle bei jedem verfahren sein.
     
  2. dowjones2063

    dowjones2063 Byte

    Registriert seit:
    25. August 2003
    Beiträge:
    42
    Volle Zustimmung. Dass so ein Sch**** überhaupt eine Meldung wert ist. Wer auf Phishing-Mails reagiert und die dazu gehörigen Seiten aufruft, ist selbst schuld.

    Als geknackt kann das Verfahren wohl dann noch lange nicht bezeichnet werden, weil die Bank überhaupt nicht an der Transaktion beteiligt war. M.E. könnte das Verfahren nur 'geknackt' werden, wenn sich ein Angreifer zwischen den Datenverkehr von Bank und Kunde hängt und dort die Daten abgreift. Solche Programme gibt es bereits - so genannte 'Abbruch-Trojaner', die nach Eingabe einer TAN die Transaktion nicht ausführen.
     
  3. RaBerti1

    RaBerti1 Viertel Gigabyte

    Registriert seit:
    24. November 2000
    Beiträge:
    5.094
    Doch, es ist eine Meldung wert und sollte auf jeder Zeitung, besonders denen, die in Schwarz/weiß und Schwarz/rot drucken, in fetten Lettern auf der Titelseite stehen, damit es endlich alle mitbekommen. Daß www.pcwelt.de nur von Leuten gelesen wird, die etwas engagiertere PC-Nutzer sind, dürfte auf der Hand liegen. Aber dem Standard-User, der sich ans Internet-Banking herantraut und meint, durch das iTAN-Verfahren sei er besser gesichert als durch das simple TAN-Verfahren, muß es eben verdeutlicht werden, daß es nicht so ist.

    Du weist völlig zu recht auf die Phishing-Falle und die Abzock-Trojaner hin.

    Es ist nunmal so, daß häufig die Neugier siegt und nicht die Vernunft, die schon seit ewig und drei Tagen dazu rät, von fremden Onkeln nix anzunehmen, nicht mal ne Email...

    MfG Raberti

    (PS... Beamte dürfen auch nix annehmen. Nicht einmal Vernunft. R.)
     
  4. hilbernate

    hilbernate Byte

    Registriert seit:
    28. Januar 2005
    Beiträge:
    24
    mit Hilfe des "man outside" Verfahrens wurde die Wegfahrsperre der neuesten Autos geknackt!

    Beim "Angriff" sendet der Betrüger einen Brief an sein Opfer. Der Empfänger soll mit falschen, aber plausiblen Begründungen dazu gebracht werden, mit seinem Auto auf einen dunkelen, abgelegenen Parkplatz zu fahren. Bei Ankunft wird das Opfer von einem täuschend echt aussehenden, aber falschen Sicherheitsmann, der sich mit Schlagring, Pistole und Elektroschocker ausweisen kann, um eine kostenlose "Sicherheits Probefahrt" gebeten. Das Opfer könnte dem Anliegen zwar durch ein einfaches "nein" widersprechen. "Dies unterblieb aber bei allen bisher bekannt gewordenen Fällen in Deutschland aus Unwissenheit oder anderen Gründen", erklärte Prof. Dr. Kuno von Euther vom Institut für Innovative-Sicherheit der Colera-Universität.

    Der Experte rät der Automobilindustrie daher, das Konzept der Wegfahrsperren nochmals zu überdenken.
     
  5. RaBerti1

    RaBerti1 Viertel Gigabyte

    Registriert seit:
    24. November 2000
    Beiträge:
    5.094
    Das kanns ja nun auch nicht sein.

    Daß auch Wegfahrsperren schon erfolgreich umgangen oder geknackt wurden, ist ja nun nix neues. Aber wenn man die wegläßt, kann man auch gleich auf Türschlösser und Anlaßschlösser verzichten: Dann tuts da auch ein simpler Schalter.

    Wenn es wirklich die Alternative gibt "Geld hergeben oder Prügel einstecken", wird den meisten nichts anderes übrigbleiben, als die Knete abzudrücken.

    Dein Tipp, auf das Konto übertragen, hieße somit, die PIN auch gleich auf die EC-Karte zu ätzen.

    Wann schmeißt Du endlich die Tür zu Deiner Wohnung weg?

    Raberti
     
  6. dowjones2063

    dowjones2063 Byte

    Registriert seit:
    25. August 2003
    Beiträge:
    42
    :D Das mit der Wegfahrsperre ist großartig - besser kann man das gar nicht vergleichen.

    Genauso blöd ist der 'Experte', der mit Phishing das iTAN-Verfahren 'überlistet'.

    Der Besitzer (User -> Autofahrer) stellt bereitwillig seinen Besitz (PIN/TAN -> Auto) aufgrund einer zweifelhaften 'Aufforderung' (EMail -> Brief) zur Verfügung.

    RaBerti: Du hast das gleiche Beispiel mit der EC-Karte - Ein 'Experte' kann auch behaupten, dass er den PIN-Schutz der EC-Karte 'geknackt' habe, weil er EC-Karten Inhabern eine Mail geschrieben habe, dass der PIN ab sofort auf die EC-karte zu schreiben ist. Würdest du das als Meldung in der B**D-zeitung lesen wollen?

    Das hat nichts mit "engagierteren PC-Nutzern" zu tun, dass ist einfach nur DENKEN.
     
  7. RaBerti1

    RaBerti1 Viertel Gigabyte

    Registriert seit:
    24. November 2000
    Beiträge:
    5.094
    Wie war das denn mit den Bezahl-Vorgängen per Kreditkarte in irgendwelchen Läden, in denen dann ein Mitarbeiter gezielt Karten geklont hat oder sonst die Daten davon geklaut oder wie auch immer: Auch da war es dasselbe "Man-in-the-middle"-Verfahren: Der Kunde händigt die Karte aus und läßt sie für eine kurze Zeit aus den Augen. Und schon ists passiert. Davor wird wohl auch in der Zeitung mit den vier dicken Buchstaben gewarnt worden sein. (Ich les diesen Papiermüll nicht; da ist ja jedes Sonntagskäseblatt informativer).

    Es kann also nicht nur vor dem iTAN-Verfahren gewarnt werden, man müßte folglich auch das einfache TAN-Verfahren unverzüglich abschaffen und durch verschärfte Zugangskontrollen ersetzen.

    DENKEN hat auch den gelinkten Kreditkarteninhabern nicht geholfen. Mal abgesehen davon, daß die Geschichte mit Brief und Auto abgeben oder Mail und PIN aufzeichnen eben nicht funzt. Beim Internetbanking klappt es komischerweise, daß immer wieder Leute den Betrügern auf den Leim kriechen. Internet ist auf Anonymität ausgelegt. Auto-Reparatur aber ebensowenig wie Bezahlen in einem Geschäft: Bei beiden ist eine gewisse körperliche Nähe erforderlich, bei der das Gesicht des Gegenübers schon bekannt ist. Beim Internetbanking gibts hingegen nur eine Anzeige auf dem heimischen Bildschirm.

    MfG Raberti
     
  8. don lupo

    don lupo Kbyte

    Registriert seit:
    20. März 2002
    Beiträge:
    215
    Die beste Wegfahrsperre für Autos ist immer noch eine Handgranate ohne Sicherungsstift die man unter das Gaspedal klemmt .... :D:D:D (scnr)
     
  9. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    jupp, der oder die dürfte nicht weit kommen :jump:
     
  10. Computerfuzzy

    Computerfuzzy Kbyte

    Registriert seit:
    14. November 2000
    Beiträge:
    226
    Wie hat hier im Forum doch mal jemand so göttlich treffend geschrieben...!?: Die beste Sicherheitssoftware ist immernoch "Brain 1.0" und die sollte jeder PC-User zuallererst installieren. Dann klappt´s auch mit dem -sicheren- Homebanking. Jede noch so mickrige Feld- Wald- und Wiesenbank wie auch die ganzen Großbanken weisen ihre Kunden schon bei Abschluss d. Homebanking-Vertrages SCHRIFTLICH darauf hin, daß sie NIEMALS den Kunden nach Zugangsdaten, PW o.ä. fragen werden/würden. Erst recht NICHT ONLINE !!! Man weist die Kunden weiterhin darauf hin, daß der Bank und keinem derer Mitarbeiter das persönliche PW nicht bekannt ist. Zugangsdaten, Passworte und TAN´s werden GRUNDSÄTZLICH dem Kunden nur persönlich überreicht und/oder per Einschreiben zugesandt. Der Kunde wird auf diese Tatsachen ständig und wiederholt hingewiesen. Und was "Phishing" ist, das dürfte sich mittlerweile, auch aufgrund der unzähligen Medienberichte, auch bis zum Dümmsten herumgesprochen haben. Man sollte doch meinen, daß einem das liebe Geld es allemal wert sein sollte, hier mal das Kleingedruckte (wobei das diesbezügliche meist in GANZ GROSSEN LETTERN gedruckt ist) zu lesen, oder sich bei seiner Bank per kurzem Anruf zu informieren, wie das mit den Zugangsdaten gehandhabt wird. Tut mir leid, aber wenn sich jemand mit all diesem Wissen dann trotzdem noch übern Nuckel ziehen läßt, dann hoffe ich, daß derjenige auch anständig Lehrgeld bezahlt, damit er´s lernt... In dem Fall gehört Dummheit wirklich bestraft... Nicht daß ich damit diese Schweinepriester v. "Phishern" in Schutz nehmen will, aber sie sind eindeutig ein Produkt der "Volksdummheit"....

    Und zum Vergleich mit den Wegfahrsperren u.a.hab´ ich auch noch was: Kein Mensch würde doch einem Fremden, selbst wenn er sich als Mitarbeiter v. Autohaus ausgibt, den Autoschlüssel, den Sender für die Wegfahrsperre oder den Code für das Autoradio überlassen, OHNE sich telefonisch beim Autohaus rückzuversichern, sich den Ausweis zeigen zu lassen etc.... Aber die BANKDATEN trägt man sofort und unbesehen in irgendwelche anonymen Web-Sites ein, nur weil die sich als von meiner Bank ausgeben ???? Wie blöde muss man eigentlich sein, um so dumm und unvorsichtig mit seinem sauer verdienten Geld umzugehen ???

    Tut mir leid, aber ich habe hierfür weder Verständnis noch Mitleid mit den "Opfern"... Und es wird, außer "Brain 1.0", niemals ein Sicherheitssystem geben, welches die Faktoren Dummheit & Ignoranz ausschaltet. Auch kein a-z-T****..

    CF
    :aua:

    PS: Warum mir dieser PCW-Server das Wort "TAN" zensiert versteht wohl niemand außer den Machern...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen