4. SMS abhörsicher?

SMS abhörsicher?

  • ?

    Wie sicher sind eigentlich SMS? Ist das sicher wenn eine Bank damit TANs verschickt?

    0
  • Mod

    SMS sind praktisch unverschlüsselt. Das ist jedoch nicht wirklich ein Angriffsszenario, da dem Angreifer die TAN herzlich wenig nutzt.

    0
  • Z

    Wenn ein Angreifer es schafft, dass dein Handy sich auf seinen PC anmeldet statt auf einem Funkmasten (was theoretisch möglich ist), kann er eigentlich alles mitschneiden und auch verändern (Telefonate, SMS, afaik auch MMS).

    Unschön, aber für den Angreifer aufwändiger als ein simpler "social hack". Wenn es nicht gerade jemand speziell auf dich abgesehen hat, besteht da kein Grund zur Sorge

    0
  • _

    Nicht allein das Abfangen der TAN würde mir Sorgen bereiten, sondern das Szenario, dass man auf dem Smartphone Online-Banking betreibt und somit auf demselben Gerät PIN und TAN gespeichert hat. Ich werde jedenfalls meine Papier-TAN-Liste durch chipTAN ersetzen (also ein extra Gerät, dass dann die TAN ausspuckt) und nicht durch diese SMS-Geschichte. Hört sich einfach sicherer an.

    0
  • Mod

    _matze schrieb:

    Hört sich einfach sicherer an.

    Ist es aber nicht. Das funktioniert anders, als du es dir offensichtlich vorstellst.

    0
  • ?

    Eigentlich haben ja Fragen zur Sicherheit bzw. Risiken des Online-Banking nichts zu suchen, wobei doch, ist ja schließlich IT.

    Letzenendes ist keine Methode absolut sicher, daher bleibt nichts anderes übrig, z.B. nach einer getätigten Überweisung, nach 120 Min. sich erneut im Online-Banking anzumelden und die Daten der Überweisung zu überprüfen. Sollte sich dann eine Unstimmigkeit Festellen, sollte man sofort mit seiner Bank Kontakt aufnehmen und darauf hinweisen, dass es sich sehr wahrscheinlich um eine Manipulation handelt, hervorgerufen durch einen oder mehrere Täter, die sich unberechtigt Zugang, auf illegalerweise in das System verschafft haben, mit der Absicht Geld zu stehlen. Es liegt dann auch beim Kontoinhaber ob er auch gleich bei der Polizei deswegen eine Anzeige macht. Zumindest würde er damit zeigen, dass er die einzuhaltenden Regel des Online-Banking benutzen, ernst nimmt.

    0
  • ?

    SeppJ schrieb:

    _matze schrieb:

    Hört sich einfach sicherer an.

    Ist es aber nicht. Das funktioniert anders, als du es dir offensichtlich vorstellst.

    Wieso ist chipTAN unsicherer?

    0
  • G

    JaWenn schrieb:

    Letzenendes ist keine Methode absolut sicher, daher bleibt nichts anderes übrig, z.B. nach einer getätigten Überweisung, nach 120 Min. sich erneut im Online-Banking anzumelden und die Daten der Überweisung zu überprüfen

    Einige Banken bieten auch an für jede Abbuchung/Überweisung eine (kostenpflichtige) Info-SMS zu senden. Ich frag mich nur warum die Banken sowas nicht aktiv bewerben und man sowas oft nur in Preislisten findet 😉

    0
  • ?

    beweise schrieb:

    SeppJ schrieb:

    _matze schrieb:

    Hört sich einfach sicherer an.

    Ist es aber nicht. Das funktioniert anders, als du es dir offensichtlich vorstellst.

    Wieso ist chipTAN unsicherer?

    Das hat er nicht gesagtet hat!

    0
  • ?

    Dases gleich sicher ist, hat er aber auch nicht gesagt, also ist beides möglich.

    0
  • ?

    Also mal was allgemeines zu IT: Autorisierungsverfahren per Fingerabdrucklesegerät oder per Kartenlesegerät oder ähnliches, hat sowieso gravierende Sicherheitsmängel!

    Während beim Fingerabdruckverfahren, dass Problem ist, dass man an vielen Orten und an seinem Arbeitsplatz sehr schnell, den Fingerabdruck des Nutzers finden kann und sehr einfach ihn auf einen Träger abbilde kann um diesen dann auf das Fingerabdrucklesegerät zu drücken.

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Zusätzlich gilt bei allen beiden Verfahren, dass meist das Gerät nur das sogenannte 'OK'-Signal schickt, wenn wenn der Fingerabdruck oder die Daten auf dem Chip bzw. der Magnetkarte identisch waren. Das heißt, dass man eben so einfach (was dazwischen bzw.) anstelle des Geräts, schalten könnte, was das 'OK'-Signal schickt.

    Übrigens sollte man, wenn man schon einen anonymen Nick-Namen nimmt, dann auch bei diesem, innerhalb des selben Themas, bleiben. Andernfalls stiftet es nur Verwirrung und führt dazu, dass der ganze Thread als nicht Hilfreich angesehen wird, weil keiner nun sicher wer weiß, wer was geschrieben hat.

    0
  • ?

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    0
  • ?

    beweise schrieb:

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    Wieso sollte ich bitte alle Daten vom Handy kopieren müssen, wenn ich einfach die SMS abfangen bzw, ablesen kann? Ein Angriff auf das Handy, würde kein Sinn machen, da man in der Regel innerhalb 10 Sek., nach dem Empfang der SMS, die PIN einsetzt.

    0
  • ?

    Irrelevant schrieb:

    beweise schrieb:

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    Wieso sollte ich bitte alle Daten vom Handy kopieren müssen, wenn ich einfach die SMS abfangen bzw, ablesen kann? Ein Angriff auf das Handy, würde kein Sinn machen, da man in der Regel innerhalb 10 Sek., nach dem Empfang der SMS, die PIN einsetzt.

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    0
  • Mod

    beweise schrieb:

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    😕 Du brauchst dich doch gar nicht als ein anderes Handy auszugeben. SMS sind unverschlüsselt! Die kannste einfach so abhören.

    Aber wie schon gesagt ist das bei dem Verfahren schnurzegal wenn jemand die TAN mit liest.

    0
  • ?

    SeppJ schrieb:

    beweise schrieb:

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    😕 Du brauchst dich doch gar nicht als ein anderes Handy auszugeben. SMS sind unverschlüsselt! Die kannste einfach so abhören.

    Aber wie schon gesagt ist das bei dem Verfahren schnurzegal wenn jemand die TAN mit liest.

    Ja, damit es etwas bringt, müsste man schon die PIN wissen, sich einloggen, eine Überweisung auf das eigene Konto machen, die TAN SMS abfangen und eingeben. Ich hab jetzt nicht wirklich Ahnung, wie die SMS verschicken, aber ich denkte mal die wird nicht in die ganze Welt versendet, sondern nur an eine Funkzelle(n) wo sich das Ziel-Handy befindet. Und wenn dem so ist, müsste man sich als dieses andere Handy ausgeben, damit die SMS nicht ganz wo anders hin geht.

    0
  • Mod

    beweise schrieb:

    Ja, damit es etwas bringt, müsste man schon die PIN wissen, sich einloggen, eine Überweisung auf das eigene Konto machen, die TAN SMS abfangen und eingeben. Ich hab jetzt nicht wirklich Ahnung, wie die SMS verschicken, aber ich denkte mal die wird nicht in die ganze Welt versendet, sondern nur an eine Funkzelle(n) wo sich das Ziel-Handy befindet. Und wenn dem so ist, müsste man sich als dieses andere Handy ausgeben, damit die SMS nicht ganz wo anders hin geht.

    Jain. Sofern du in der Funkzelle bist, kannst du einfach mithören. Was du beschreibst ist jedoch der wahre Angriff: Wenn du über andere Wege die PIN in Erfahrung gebracht hast, dann ist das System nur noch so sicher wie das Funknetz. In Australien gab es soweit ich weiß eine Reihe von Fällen wo dies passiert ist: Aufgrund von Schlamperei oder fehlenden Sicherheitsvorkehrungen bei der Mobilfunkgesellschaft war es dort möglich ohne ausreichende Prüfung eine Handynummer auf eine andere SIM umschreiben zu lassen. Da es Stunden bis Tage dauert bis ein Opfer merkt, dass sein Telefon nicht mehr funktioniert, hat man genügend Zeit, viele Überweisungen in seinem Namen zu tätigen und das vielfache Tageslimit abzuheben.
    (Das gleiche Szenario hat man natürlich prinzipiell mit Chip-TAN und TAN-Listen: Wenn die PIN erst einmal komprommittiert ist, ist der Rest des Systems so sicher wie die Quelle der TANs. Die Liste und der Chip könnten z.B. gestohlen oder kopiert werden [vielleicht beim gleichen Einbruch bei dem die PIN gefunden wurde]. Ist dann eben die Frage wem man mehr vertraut, stets wachsam zu sein: Sich selber oder der Mobilfunkgesellschaft.
    Und natürlich wäre das alles gar nicht nötig, wenn man die PIN bewahrt hätte.)

    0
  • ?

    SeppJ schrieb:

    Jain. Sofern du in der Funkzelle bist, kannst du einfach mithören. Was du beschreibst ist jedoch der wahre Angriff: Wenn du über andere Wege die PIN in Erfahrung gebracht hast, dann ist das System nur noch so sicher wie das Funknetz. In Australien gab es soweit ich weiß eine Reihe von Fällen wo dies passiert ist: Aufgrund von Schlamperei oder fehlenden Sicherheitsvorkehrungen bei der Mobilfunkgesellschaft war es dort möglich ohne ausreichende Prüfung eine Handynummer auf eine andere SIM umschreiben zu lassen. Da es Stunden bis Tage dauert bis ein Opfer merkt, dass sein Telefon nicht mehr funktioniert, hat man genügend Zeit, viele Überweisungen in seinem Namen zu tätigen und das vielfache Tageslimit abzuheben.
    (Das gleiche Szenario hat man natürlich prinzipiell mit Chip-TAN und TAN-Listen: Wenn die PIN erst einmal komprommittiert ist, ist der Rest des Systems so sicher wie die Quelle der TANs. Die Liste und der Chip könnten z.B. gestohlen oder kopiert werden [vielleicht beim gleichen Einbruch bei dem die PIN gefunden wurde]. Ist dann eben die Frage wem man mehr vertraut, stets wachsam zu sein: Sich selber oder der Mobilfunkgesellschaft.
    Und natürlich wäre das alles gar nicht nötig, wenn man die PIN bewahrt hätte.)

    Nehmen wir mal an, man hat die PIN per Trojaner bekommen. Dann kommen wir wieder zu meiner Frage: Wie einfach kann man ein Handy kopieren? Reicht es aus, das, was das Handy zum anmelden verschickt, abzufangen und selber wieder zu versenden, um dann die SMS des anderen Handys zu bekommen? Merken die Mobilfunkanbieter, wenn das selbe Handy plötzlich zweimal da ist?

    0
  • Mod

    beweise schrieb:

    Nehmen wir mal an, man hat die PIN per Trojaner bekommen. Dann kommen wir wieder zu meiner Frage: Wie einfach kann man ein Handy kopieren? Reicht es aus, das, was das Handy zum anmelden verschickt, abzufangen und selber wieder zu versenden, um dann die SMS des anderen Handys zu bekommen? Merken die Mobilfunkanbieter, wenn das selbe Handy plötzlich zweimal da ist?

    Ich weiß es zwar nicht sicher, aber da der Betrug in Australien doch schon um einiges raffinierter war, nehme ich mal an, dass es nicht so einfach ist.

    0
  • O

    Ohne jetzt alles gelesen zu haben, glaube ich, dass das für dich (euch) sehr interessant sein könnte: http://chaosradio.ccc.de/cre179.html.

    0
Anmelden zum Antworten