Viren, Spyware, Datenschutz 11.213 Themen, 94.155 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
fakiauso Olaf19 „@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ...“
Optionen
Für mich klingt das alles eher nach: entspannt zurücklehnen...


Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen;-)

Es geht um die theoretischen Möglichkeiten und hier speziell um das pushTAN-Verfahren. Die Krux ist dabei das von der BaFIN vorgeschriebene Nutzen zweier Kanäle/Endgeräte, welches durch die Reklame der Bank und das vorgeführte Szenario ad absurdum geführt wird.

-----------------

Was abgefischte TAN usw. betrifft: Nimm Dir mal das typische Beispiel von Oma Krawuttke, deren letzte Bankfiliale auf dem Dorfe geschlossen wird, die aber rein zufällig einen PC, Smartphone und/oder Internet besitzt. Der liebe Bankberater verklickert der Dame dann, dass so ein Online-Konto sogar noch den Vorteil hat, dass Überweisungen nichts mehr kosten uswusf. Wie der generelle Umgang mit Smartphones im Verbund mit Datenschutz oft stattfindet, muss ich Dir auch nicht verklickern - in dem fall zwar eher weniger durch Oma Krawuttke...

...ganz so abwegig ist das also nicht und ich würde mir auch nie die Aussage anmassen, dass mir so etwas nicht passieren kann. Die Methoden sind raffiniert und werden besser. Im Zusammenhang mit dem Ausnutzen des Überraschungsmoments geht das oft schief und der Gedanke, die berühmte Nacht darüber zu schlafen, die Ansicht eines Dritten einzuholen oder bei der vorgegebenen Behörde direkt nachzufragen, kommt dann zu spät oder kostet etwas überwundenes Schamgefühl, siehe BKA-Trojaner und angeblicher Porno-Konsum und das ist meist der Ansatz.

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen