Viren, Spyware, Datenschutz 11.215 Themen, 94.214 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
fakiauso Olaf19 „Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen aus Solidarität mit den gutgläubigen Kunden, die ...“
Optionen
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen


Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten;-)

Von den aufgegriffenen Fällen abgesehen fährt man am besten mit dem Verfahren von RW1, so wie ich es auch tue. HBCI mit separater Software statt des Bankings über den Browser.

@hanshh

Wenn beim normalen Onlinebanking ein Live-Medium genutzt wird oder wenigstens der private Modus des Browsers, welcher auch Cookies, Passwörter usw. hinterher löscht, braucht man auch keinen speziellen Browser von Kaspersky. Der macht am Ende auch nichts Anderes und ggf. nutzt man noch einen separaten Account, der keinen halben Zentner Autostarts mitbringt, die alle gleich in´s Netz klingeln, sondern nur dem Banking dient.
Was ich in meinem Browser verdreht habe, weiss ich in aller Regel. Was Kaspersky eingestellt hat, kannst Du nicht so leicht nachvollziehen und gibst damit schon wieder etwas an Dritte ab.
Nutzen kann das auch nur der Anwneder von Kaspersky IS:

http://support.kaspersky.com/de/12099

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen