4. SMS abhörsicher?

SMS abhörsicher?

  • ?

    Dases gleich sicher ist, hat er aber auch nicht gesagt, also ist beides möglich.

    0
  • ?

    Also mal was allgemeines zu IT: Autorisierungsverfahren per Fingerabdrucklesegerät oder per Kartenlesegerät oder ähnliches, hat sowieso gravierende Sicherheitsmängel!

    Während beim Fingerabdruckverfahren, dass Problem ist, dass man an vielen Orten und an seinem Arbeitsplatz sehr schnell, den Fingerabdruck des Nutzers finden kann und sehr einfach ihn auf einen Träger abbilde kann um diesen dann auf das Fingerabdrucklesegerät zu drücken.

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Zusätzlich gilt bei allen beiden Verfahren, dass meist das Gerät nur das sogenannte 'OK'-Signal schickt, wenn wenn der Fingerabdruck oder die Daten auf dem Chip bzw. der Magnetkarte identisch waren. Das heißt, dass man eben so einfach (was dazwischen bzw.) anstelle des Geräts, schalten könnte, was das 'OK'-Signal schickt.

    Übrigens sollte man, wenn man schon einen anonymen Nick-Namen nimmt, dann auch bei diesem, innerhalb des selben Themas, bleiben. Andernfalls stiftet es nur Verwirrung und führt dazu, dass der ganze Thread als nicht Hilfreich angesehen wird, weil keiner nun sicher wer weiß, wer was geschrieben hat.

    0
  • ?

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    0
  • ?

    beweise schrieb:

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    Wieso sollte ich bitte alle Daten vom Handy kopieren müssen, wenn ich einfach die SMS abfangen bzw, ablesen kann? Ein Angriff auf das Handy, würde kein Sinn machen, da man in der Regel innerhalb 10 Sek., nach dem Empfang der SMS, die PIN einsetzt.

    0
  • ?

    Irrelevant schrieb:

    beweise schrieb:

    JaWenn schrieb:

    Beim dem Verfahren mit einem Chip oder einem Magnetstreifen, ist das Problem, dass sich solche Chips oder Magnetstreifen sehr einfach mit einem Kartenleseschreibgerät kopieren lassen.

    Wie einfach kann man eigentlich ein Handy kopieren? Eigentlich muss das Handy ja alles was man dazu braucht übers Funknetz schicken.

    Wieso sollte ich bitte alle Daten vom Handy kopieren müssen, wenn ich einfach die SMS abfangen bzw, ablesen kann? Ein Angriff auf das Handy, würde kein Sinn machen, da man in der Regel innerhalb 10 Sek., nach dem Empfang der SMS, die PIN einsetzt.

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    0
  • Mod

    beweise schrieb:

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    😕 Du brauchst dich doch gar nicht als ein anderes Handy auszugeben. SMS sind unverschlüsselt! Die kannste einfach so abhören.

    Aber wie schon gesagt ist das bei dem Verfahren schnurzegal wenn jemand die TAN mit liest.

    0
  • ?

    SeppJ schrieb:

    beweise schrieb:

    Nicht alles kopieren. Nur das was man braucht, um die SMS abzufangen, also sich für ein anderes Handy ausgeben.

    😕 Du brauchst dich doch gar nicht als ein anderes Handy auszugeben. SMS sind unverschlüsselt! Die kannste einfach so abhören.

    Aber wie schon gesagt ist das bei dem Verfahren schnurzegal wenn jemand die TAN mit liest.

    Ja, damit es etwas bringt, müsste man schon die PIN wissen, sich einloggen, eine Überweisung auf das eigene Konto machen, die TAN SMS abfangen und eingeben. Ich hab jetzt nicht wirklich Ahnung, wie die SMS verschicken, aber ich denkte mal die wird nicht in die ganze Welt versendet, sondern nur an eine Funkzelle(n) wo sich das Ziel-Handy befindet. Und wenn dem so ist, müsste man sich als dieses andere Handy ausgeben, damit die SMS nicht ganz wo anders hin geht.

    0
  • Mod

    beweise schrieb:

    Ja, damit es etwas bringt, müsste man schon die PIN wissen, sich einloggen, eine Überweisung auf das eigene Konto machen, die TAN SMS abfangen und eingeben. Ich hab jetzt nicht wirklich Ahnung, wie die SMS verschicken, aber ich denkte mal die wird nicht in die ganze Welt versendet, sondern nur an eine Funkzelle(n) wo sich das Ziel-Handy befindet. Und wenn dem so ist, müsste man sich als dieses andere Handy ausgeben, damit die SMS nicht ganz wo anders hin geht.

    Jain. Sofern du in der Funkzelle bist, kannst du einfach mithören. Was du beschreibst ist jedoch der wahre Angriff: Wenn du über andere Wege die PIN in Erfahrung gebracht hast, dann ist das System nur noch so sicher wie das Funknetz. In Australien gab es soweit ich weiß eine Reihe von Fällen wo dies passiert ist: Aufgrund von Schlamperei oder fehlenden Sicherheitsvorkehrungen bei der Mobilfunkgesellschaft war es dort möglich ohne ausreichende Prüfung eine Handynummer auf eine andere SIM umschreiben zu lassen. Da es Stunden bis Tage dauert bis ein Opfer merkt, dass sein Telefon nicht mehr funktioniert, hat man genügend Zeit, viele Überweisungen in seinem Namen zu tätigen und das vielfache Tageslimit abzuheben.
    (Das gleiche Szenario hat man natürlich prinzipiell mit Chip-TAN und TAN-Listen: Wenn die PIN erst einmal komprommittiert ist, ist der Rest des Systems so sicher wie die Quelle der TANs. Die Liste und der Chip könnten z.B. gestohlen oder kopiert werden [vielleicht beim gleichen Einbruch bei dem die PIN gefunden wurde]. Ist dann eben die Frage wem man mehr vertraut, stets wachsam zu sein: Sich selber oder der Mobilfunkgesellschaft.
    Und natürlich wäre das alles gar nicht nötig, wenn man die PIN bewahrt hätte.)

    0
  • ?

    SeppJ schrieb:

    Jain. Sofern du in der Funkzelle bist, kannst du einfach mithören. Was du beschreibst ist jedoch der wahre Angriff: Wenn du über andere Wege die PIN in Erfahrung gebracht hast, dann ist das System nur noch so sicher wie das Funknetz. In Australien gab es soweit ich weiß eine Reihe von Fällen wo dies passiert ist: Aufgrund von Schlamperei oder fehlenden Sicherheitsvorkehrungen bei der Mobilfunkgesellschaft war es dort möglich ohne ausreichende Prüfung eine Handynummer auf eine andere SIM umschreiben zu lassen. Da es Stunden bis Tage dauert bis ein Opfer merkt, dass sein Telefon nicht mehr funktioniert, hat man genügend Zeit, viele Überweisungen in seinem Namen zu tätigen und das vielfache Tageslimit abzuheben.
    (Das gleiche Szenario hat man natürlich prinzipiell mit Chip-TAN und TAN-Listen: Wenn die PIN erst einmal komprommittiert ist, ist der Rest des Systems so sicher wie die Quelle der TANs. Die Liste und der Chip könnten z.B. gestohlen oder kopiert werden [vielleicht beim gleichen Einbruch bei dem die PIN gefunden wurde]. Ist dann eben die Frage wem man mehr vertraut, stets wachsam zu sein: Sich selber oder der Mobilfunkgesellschaft.
    Und natürlich wäre das alles gar nicht nötig, wenn man die PIN bewahrt hätte.)

    Nehmen wir mal an, man hat die PIN per Trojaner bekommen. Dann kommen wir wieder zu meiner Frage: Wie einfach kann man ein Handy kopieren? Reicht es aus, das, was das Handy zum anmelden verschickt, abzufangen und selber wieder zu versenden, um dann die SMS des anderen Handys zu bekommen? Merken die Mobilfunkanbieter, wenn das selbe Handy plötzlich zweimal da ist?

    0
  • Mod

    beweise schrieb:

    Nehmen wir mal an, man hat die PIN per Trojaner bekommen. Dann kommen wir wieder zu meiner Frage: Wie einfach kann man ein Handy kopieren? Reicht es aus, das, was das Handy zum anmelden verschickt, abzufangen und selber wieder zu versenden, um dann die SMS des anderen Handys zu bekommen? Merken die Mobilfunkanbieter, wenn das selbe Handy plötzlich zweimal da ist?

    Ich weiß es zwar nicht sicher, aber da der Betrug in Australien doch schon um einiges raffinierter war, nehme ich mal an, dass es nicht so einfach ist.

    0
  • O

    Ohne jetzt alles gelesen zu haben, glaube ich, dass das für dich (euch) sehr interessant sein könnte: http://chaosradio.ccc.de/cre179.html.

    0

  • Also bei meiner Bank ist ein SMS TAN nur für 5min. gültig und wenn ich die Bank bin gilt der TAN auch nur zur Durchführung von exakt den Transaktionen für die er angefordert wurde, was bedeutet: Die Abhörsicherheit von SMS spielt hier keine Rolle, selbst wenn mir jemand den TAN mit einem Megaphon aus der Fußgängerzone zurufen würde ist er für jeden außer mir unbrauchbar!?

    Und wenn ein Angreifer tatsächlich Zugang zu meinem Telefon hat, sowie meine Bankleitzahl, Kontonummer, Verfügernummer und meinen PIN kennt dann ist wohl weit mehr im Argen als die Sicherheit vom SMS TAN...

    0
  • ?

    dot schrieb:

    Also bei meiner Bank ist ein SMS TAN nur für 5min. gültig und wenn ich die Bank bin gilt der TAN auch nur zur Durchführung von exakt den Transaktionen für die er angefordert wurde, was bedeutet: Die Abhörsicherheit von SMS spielt hier keine Rolle, selbst wenn mir jemand den TAN mit einem Megaphon aus der Fußgängerzone zurufen würde ist er für jeden außer mir unbrauchbar!?

    TANs sind doch nur dazu da, noch eine Sicherheitsstufe einzubauen, falls einer eben schon alle anderen Daten kennt. Wenn du sie überall rumbrüllst, kann man sie auch weg lassen.

    0
  • Mod

    naja schrieb:

    TANs sind doch nur dazu da, noch eine Sicherheitsstufe einzubauen, falls einer eben schon alle anderen Daten kennt. Wenn du sie überall rumbrüllst, kann man sie auch weg lassen.

    Bei einer statischen TAN-Liste. Bei den neuen Verfahren Chip-TAN, SMS-TAN & Co. ist das egal. Erklärung findest du in genau dem Beitrag den du zitierst 🙄 !

    0
  • ?

    SeppJ schrieb:

    naja schrieb:

    TANs sind doch nur dazu da, noch eine Sicherheitsstufe einzubauen, falls einer eben schon alle anderen Daten kennt. Wenn du sie überall rumbrüllst, kann man sie auch weg lassen.

    Bei einer statischen TAN-Liste. Bei den neuen Verfahren Chip-TAN, SMS-TAN & Co. ist das egal. Erklärung findest du in genau dem Beitrag den du zitierst 🙄 !

    Nur wenn man sich dumm stellt. Wenn du eine verbrauchte TAN einer Liste raus rufst, ist das genauso egal, wie bei einer Chip-TAN, SMS-TAN. Wenn du eine TAN raus rufst, obwohl du dazu keine Überweisung gemacht hast, ist das egal woher die TAN kommt. 🙄

    0
  • ?

    Vor du es nochmal nicht kapierst.

    Klingel, Klingel... Superbankbla Hansenhausen. Wir wollen eine Prüfung ihrer SMS-TAN durchführen. Teilen sie uns bitte ihre Kontonummer und PIN mit, damit wir den Test starten können. Bla Bla. Haben sie jetzt eine TAN bekommen? Können sie die uns bitte zur Bestätigung mitteilen.

    Ja klar, kann ich. Das neue Verfahren ist doch sicher hat man mir gesagt, da kann man die TAN sogar mit nem Megaphon rumbrüllen...

    0
Anmelden zum Antworten