ag
Goto Top

MobileTAN Sicher?

Eure Meinung ist mir wichtig.

Hallo Zusammen,

mich würde brennend interessieren, wie Nachfolgendes möglich ist, bzw. ob andere ähnliche Erfragungen gemacht haben:

Ich besitze 4 Prepaid Mobilfunknummern und auf allen vieren wurde in den letzten Wochen über ein mobileTAN-Verfahren Geld abgebucht.

Wie ist es möglich, dass jemand meine Mobilfunknummern zum Einkaufen nutzt, diesen Einkauf mit einer per SMS zugesandten PIN bestätigt, die eingesetzten Mobilfunknummern aber niemals eine SMS erhalten haben?!?

Hat hier jemand eine Info für mich?

Viele Grüße
ag

Content-ID: 177991

Url: https://administrator.de/forum/mobiletan-sicher-177991.html

Ausgedruckt am: 27.12.2024 um 19:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 21.12.2011 um 20:34:18 Uhr
Goto Top
IMSI-Catcher, wäre das erste was mir einfällt.

Und wenns ein Smartphone ist, da gibt es inzwischen auch genügend Trojaner.

Mobile TANs sind nur dann sicher, wenn zwei verschiedene Kommunikationswege für transaktion und TAN verwendet werden. z.B. ist Onlinebanking auf dem Smartphone, auf dem die TAN ankommt ist ein Freifahrtschein für Phisher.

lks
brammer
brammer 21.12.2011 um 20:45:30 Uhr
Goto Top
Hallo,

woher hast du die Prepaidkarten?
Alle Original vom Anbieter aus dem selben Laden?
Verschiedene Anbieter?
Wo sind die Karten im Einsatz?
wechselnd in einem Gerät?
Oder in mehreren Geräten?

SIM Karten zu replizieren ist kein Teufelswerk.

brammer
pieh-ejdsch
pieh-ejdsch 21.12.2011 um 22:08:13 Uhr
Goto Top
moin,

... kommt für mich gar nicht in Frage!
Ich finde das Mobile-TAN ja als einen Groooßen Rückschritt in der Sicherheit. War mMn der normale TAN Bogen ja sicherer.
  • es ist eine Komponente Hinzugekommen, welche ich noch weniger Kontrollieren kann als den Damaligen Zettel. Der Weg den die SMS zurücklegt.

seit 5 Tagen habe ich nun einen TAN-Generator.
Nun muss ich zum OnlineBanking diesen Rauskramen - geht dafür aber nur mit meiner Karte.
Schieb die Karte rein und drück aufs [T]. Dann wird das Ding an den TFTgepresst - OK der erste Versuch war ein bissel umständlich und hat lange gedauert der Winkel hat nicht gestimmt.
3x bestätigen und die TAN erscheint und die gibst Du dann ein Fertisch - aber jetzt klappt diese Prozedur in 10 sekunden.

Beim TAN-Bogen hatte ich die gewünschte TAN in 4 sekunden - warum wurde das abgeschafft? War eine einfache Lösung und Sicher.
OK der Bogen hat 180 Nummern und hat als Datum 2007 draufstehen - da wird wohl vom TAN-Generator vergleichsweise die Batterie in weniger Zeit Leer sein als der TAN-Bogen.

Nun dann wird eben etwas als sicherer Verkauft weil es neuere Wege sind, aber die Dummheit der Leute hat sich immer noch nicht geändert.

Gruß Phil
tikayevent
tikayevent 21.12.2011 um 22:41:40 Uhr
Goto Top
Der TAN-Bogen hatte einen ganz einfachen Nachteil: Die TANs waren fest und passten für fast jede Transaktion, selbst mit iTAN wurde es nicht viel besser. Ein Man-in-the-Middle-Angriff und jemand war im Besitz einer/mehrerer deiner gültigen TANs. Beim TAN-Generator bzw. bei Mobile TAN sind transaktionspezifische Inhalte wie Kontonummer, Betrag und ein zufälliger Teil deiner EC-Karte mit in der TAN-Berechnung vorhanden.

Ich nutz gar nichts dieser Systeme, ich bin HBCI-Benutzer. Da kann man auch mal eben x Transaktionen in einem Rutsch abarbeiten und muss nicht rumhampeln. Dazu wird erstmal meine Smartcard benötigt und dann die entsprechende PIN.

Zum eigentlichen Thema: Es gibt genügend Punkte, an denen man deine mTAN-SMS abfangen kann. Die einfachte Variante ist aber wirklich der Trojaner auf dem Handy.
Du solltest aber auch mal deinen Computer komplett durchprüfen. Die mTAN bringt nichts, ohne dass die anderen Daten verfügbar sind. Irgendwer hat also vorher schon deine Identifikationsmerkmale wie Benutzername und PIN sowie deine Bank bekommen
2hard4you
2hard4you 21.12.2011 um 23:46:26 Uhr
Goto Top
Moin,

also ich nutze auch ne mTAN - aber!

- Der PC für den Onlinezugriff ist nur eine Linux-VM nur für diesen einen Zweck

- Das Handy ist ein Primitivhandy, welches grad mal SMS zusätzlich zum Telefonieren kann.

und damit ist man dann schon auf der sicheren Seite - man muß strikt den Weg der Überweisung von dem Weg der Bestätigung trennen (Medienbruch!!)

Gruß

24
ag
ag 22.12.2011 um 08:43:10 Uhr
Goto Top
Hi,

es geht hier darum, dass man in einem Internetportal z.B. league of legends riot points einkauft. D.h., das Geschäft kommt per Internet zustande, die Legitimierung per PIN kommt über das Mobilfunknetz. Es gibt keine TAN-Liste, oder ähnliches, alles läuft online und in Echtzeit. Es geht hier um vier verschiedene Geräte, davon eines mit Android, die anderen drei mit proprietären Betriebssystemen (2 x Nokia, 1 x SAMSUNG).

THX
ag
ag
ag 22.12.2011 um 08:48:11 Uhr
Goto Top
Hi,

- Congstar, Aktivierung März 2011
- Ja
- Nein
- es geht hier um vier verschiedene Geräte, davon eines mit Android, die anderen drei mit proprietären Betriebssystemen
- nein
- nein
- alle vier? Dann aber schon bevor ich diese bekomme habe.

Ein Gerät davon ist seit November nicht mehr online, trotzdem 6 Abbuchungen…

THX
ag
brammer
brammer 22.12.2011 um 08:52:28 Uhr
Goto Top
Zitat von @ag:
Hi,

- Congstar, Aktivierung März 2011
- Ja
Alle 4 Karten aus dem selben Laden?

DAS würde mir jetzt zu denken geben....


THX
ag

brammer
ag
ag 22.12.2011 um 08:58:22 Uhr
Goto Top
Oh ja, das gibt mir zu denken, leider nur mir... Congstar interessiert es nicht die Bohne und die Drittanbieter wie dtms und BOKU bleiben auf dem Standpunkt, alles gar nicht möglich, da PayMo-Verfahren... basta... Deswegen auch der Faden hier, wollte mal ne Drittmeinung.
ag
ag 22.12.2011 um 09:00:58 Uhr
Goto Top
Hi, drei von den vier betroffenen Handy sind "Primitiv-Handys", eines ist gar ncht online... dennoch wurden auf allen vier ein PayMo (mehrmals) vollzogen, ohne das auf einem der Dinger jemals eine SMS mit PIN/TAN ankam… hier stimmt was gewaltig nicht…
brammer
brammer 22.12.2011 um 09:12:17 Uhr
Goto Top
Hallo,

wenn der Provider abblockt, die Banken nicht reagieren solltest du darüber nachdenken das du Strafanzeige gegen Unbekannt wegen Betrug und Leistungserschleichung erstattest.

brammer
ag
ag 22.12.2011 um 09:19:43 Uhr
Goto Top
Hi,

ja, das denke ich auch mit mittlerweile… Werde mich da mal schlau machen und mal meinen Rechtsschutzvertag raussuchen… ;o)=)

THX
ag
pieh-ejdsch
pieh-ejdsch 22.12.2011 um 09:57:05 Uhr
Goto Top
moin,

so wie ich es sehe -
Dein Einziges Vorangiges Sicheitsproblem bist Du:
  1. Du benutzt Kompromittierte Systeme fürs Online-Banking
  2. Dein Bank-Online zugang wurde mit Phishing oder einem Trojaner ausgespät
  3. Warscheinlichg nutzt Du noch immer die selben ZugangsDaten
  4. Ohne diese Sicherheitslücken wäre es doch gar nicht erst zum Missbrauch gekommen!

Wie und welches System befallen ist weist nur Du (Du hast eines davon wenigstens benutzt).
Wenn Du das beherzigst ist es am Ende vollkommen Egal wieviele oder ob Überhaupt irgendwelche Transaktionsnummern abhanden kommen.
Daher ist und bleibt meine Meinung: Das i-TAN Verfahren war vollkommen ausreichend.

Säubere alle Deine Systeme mit Neuinstalltionen und ändere die ZugansDaten - was wohl nur über die Post sicher funktioniert.

Gruß Phil
ag
ag 22.12.2011 um 10:27:17 Uhr
Goto Top
Hi Phil,

ääähhhh wie, was, wo?!? Wer hat hier ein Problem mit Onlinebanking? Du? Ich nicht.
Am bestens, Du setzt in diesem Fall nochmal ein reset auf alle registries und fängst nochmal an von oben nach unten zu lesen… evtl. wird es dann etwas heller… ;o)

Nix für ungut…
ag
infowars
infowars 22.12.2011, aktualisiert am 18.02.2014 um 09:06:12 Uhr
Goto Top
mTAN ist generell nicht sicher.
Das die Verschlüsselung des Netzes umgehen werden kann ist ja bekannt.
Erste Betrugfälle gab es schon.
Guckst du hier:
http://axel.spdns.de/fusion/news.php?readmore=53
Und ein PC ist immer schneller wie du.
pieh-ejdsch
pieh-ejdsch 22.12.2011 um 10:37:56 Uhr
Goto Top
Keine Angst ich lese schon richtig.

Zitat von @ag:
Ein Gerät davon ist seit November nicht mehr online, trotzdem 6 Abbuchungen…
Wer hat hier ein Problem mit Onlinebanking?

Ähm ein System kann auch dein Handy sein.

Nix für ungut…
Dito

Gruß Phil
ag
ag 22.12.2011 um 10:49:20 Uhr
Goto Top
Hi,

vielen Dank für den Link... habe in den letzten Tagen nach so was gesucht. Leider ist der Fall nicht wirklich mit meinen zu vergleichen, den in dem geschilderten Fall hatten die Täter nur ein kleines Zeitfenster um den Deal durchzuziehen, den kurz nach der Portierung wäre ja aufgefallen, dass das ursprüngliche Zielgeräte keine Funktion mehr hat. Und hier liegt auch der Unterschied, meine vier Handy‘s gehen immer noch prima, volle Funktion… und auch auf die Gefahr hin, dass ich mich wiederhole: Bei einem funktioniert das Ganze auch ohne dass es eingeschalten ist… von einer Portierung sind wir also sehr weit weg, zudem handelt es sich hier um 4(!) „unabhängige“ Karten…

THX
ag

PS: Auf was ist ist die Schnelligkeit des PC bezogen? Sicherlich ist er in der Addition schneller, aber sonst.... ;o)=)
ag
ag 22.12.2011 um 11:10:48 Uhr
Goto Top
Hi Phil,

ich habe hier vier Mobilfunkverträge/karten, diese befinden sich jeweils in einem Handy. Ein Android-Handy, zwei Nokia-Handys (je ein proprietäres OS) und ein SAMSUNG-Handy (auch mit proprietärem OS). Eines der Nokia-Handys ist seit Anfang November ausgeschalten. Alle vier Handys werden autonom voneinander genutzt. Es kam kein Social Engineering zum Einsatz, bei keinem der Nutzer gab es Fhising (wo ich mich frage, was das hier bringen sollte), kein Expolit (bzw. die Wahrscheinlichkeit das auf 4 verschiedenen OS’s der gleiche Exploit läuft müsste gegen null gehen), kein gar nix… dennoch wurden und wird(?) von einer/mehreren Personen ein PayMo-Verfahren (wahrscheinlich league of legends riot points) erfolgreich auf meine Prepaid-Karten angewandt.

Die Kernfrage lautet: Wenn das von BUKO/dtms angegebene Verfahren mit einem SMS-TAN/PIN funktioniert, sollten/müssten(?) diese auch auf den Handys ankommen, oder? Sind sie aber nicht, WARUM?

Bitte zeige auf, wo die zugestellten SMS’s geblieben sind, oder erkläre schlüssige Verfahren wie diese „abgefangen/umgeleitet/umgeschrieben/usw.“ wurden, so dass das was mir passiert ist, und anhält(?), möglich ist. Ich bin i.M. noch ratlos… kann sich aber ja noch ändern… ;o)


THX
ag
infowars
infowars 22.12.2011 um 11:25:27 Uhr
Goto Top
Ist doch ganz klar.
1. ) Deine Karten stammen aus ein und dem selben Laden face-sad
2. ) Ein Handy ist seit Monaten aus, trotzdem wird abgebucht face-sad

Fazit :
Jemand kennt deine Kto-Nr. und deine Online-PIN (Trojaner etc...)
Jemand hat deine Tel-Nr. übernommen und lässt sich hierhin die mTan schicken.
Mit jedem Billig-Störsender kann man dafür sorgen, dass dein Handy diese SMS nicht bekommt, sondern auf ein anderes,
denn die Telefonnummer ist ja nicht ans Gerät gebunden.

Auf jedenfall Anzeige erstellen und am besten versuchen herauszubekommen welche IMs an der Nummer hängt.
Lochkartenstanzer
Lochkartenstanzer 22.12.2011 um 12:24:17 Uhr
Goto Top
Noch ne kurze Nachfrage:

Wurde das Geld von deinem Konto abgebucht oder von deinem Prepaid-Guthaben?

wenns von Deinem Konto (Bank oder Internet-Portal) abgebucht wurde:

Jemand hat deine Zugangsdaten. Stellt die Telefonnummer um und kann daher die SMS empfangen. je nachdem, wieviel Aufwand die bank/das Portal treibt. um den Numemrnwechsel zu kontrollieren, kann das einfach oder kompliziert sein.

Wenn jemand von deinem Telefon-konto abgebucht hat -> Duplizierte SIMs. -> Laß mal die Polizei in dem laden nachforschen.

lks
ag
ag 22.12.2011 um 12:30:00 Uhr
Goto Top
Hi,

nur Prepaid-Gguthaben... deshalb auch die ganzen Fragezeichen in meinem Kopf... habe heute Morgen Strafanzeige gestellt... jetzt habe ich einige Termine bei denen und hoffe, dass etwas Licht ins dunkle kommt.

THX
ag
Lochkartenstanzer
Lochkartenstanzer 22.12.2011 um 13:00:27 Uhr
Goto Top
Ach ja:

es gibt auch dubiose Firmen, die auch ohen Bestätigungs-SMS von Prepaid-Guthaben abbuchen. Du solltest auch die abbuchende Firma mal genauer beleuchten (lassen).

lks
ag
ag 22.12.2011 um 13:31:29 Uhr
Goto Top
Na ja, die Firma dtms ist ja keine kleine Firma dbzgl. und sie lässt auch keinen Zweifel an der Rechtmäßigkeit der Buchungen zu. So weit, so schlecht. Nur warum bei mir, auf keinem Handy, eine SMS mit PIN ankam. kann/will sie nicht beantworten. Die Log's von BOKU, in deren Nahmen erfolgten die Berechnungen, zeigen eindeutig, das SMS gesendet und die entsprechenden PIN's eingegeben wurden. Habe BOKU gebeten, mir mitzuteilen, ob Sie auch Loginnamen/Accountdaten haben, habe aber bis jetzt noch keine Antwort erhalten.
ag
ag 22.12.2011 um 13:36:33 Uhr
Goto Top
Zu 1. Was meinst Du mit „dem selben Laden“? Habe die Karten über Internet direkt bei Congstar bestellt. War also in keinem Laden… ;o)
Zu 2. Korrekt… ;o)

- Welche KontoNr? Welchen Online PIN? Die Beträge werden vom Prepaid-Guthaben abgebucht. Keine Banktransaktion.
- Von allen 4 Karten? Und wie verhindert er, dass die SMS auf meine Nummern kommen? Schließlich funktionieren die Nummern ja ohne Einschränkung.
- Wenn ich mir die Logs von BOKU ansehe, hätte der Störsenden mindestens einmal an 3 verschieden Orten in den Bundeländern Bayer und Baden-Württemberg „stehen“ müssen, die Wahrscheinlichkeit hierfür geht meiner Meinung nach gegen null.
- Habe ich und habe auch demnächst einen Termin bei den ermittelten Behörden. ;o)
Lochkartenstanzer
Lochkartenstanzer 22.12.2011 um 13:40:51 Uhr
Goto Top
Nunja, wenn man google fragt, taucht dtms auch ziemlich oft bei fragwürdigen Abbuchungen auf. Von daher würde ich mich nicht auf die Aussagen und Behauptungen von dtms verlassen, sondern da tiefer nachbohren.

lks
ag
ag 22.12.2011 um 14:20:31 Uhr
Goto Top
Jou, habe ich auch schon bemerkt. Jedoch gibt es, woraus ich nicht schlau werde, mehrere dtms in Deutschland, "meine" hat ihren Sitz in Hamburg und bis jetzt sind diese äußerst hilfsbereit, ok. was erst mal nichts heißt… habe eben von denen nochmals LOG’s bekommen und als IP-Adresse wird dort u.a.(!) die von „meinem“ Anschluss aufgeführt, es sind aber auch „nicht auflösbare vorhanden, die im Moment ins „Nichts“ zeigen. „Meine“ IP-Adresse macht die Sache noch verwirrender.

Aber selbst wenn ich davon ausgehen, dass dieser Hack von meinem Anschluss ausgeführt wurde (wie geschrieben, das wäre nur bei einem Teil der insgesamt knapp 30 Buchungen auf allen 4 Nummern) und einer, oder mehrere der Rechner bei mir wären(!) mit einem Trojaner, Exploit, oder was auch immer konterminiert, bleibt die Frage: Warum weder auf meinem Handy noch auf dem Handy meiner Frau eine SMS ankam. Und das mit dem ausgeschalteten und im Schrank verstauten Handy ebenfalls Transaktionen vorgenommen wurden, bleibt weiter eine Frage... Die Buchungszeiten auch… einige von diesen Buchungen sind zu einem Zeitpunkt erfolgt (z.T. auch mit eigner IP-Adresse) zu denen wir weder (alle!) im Haus waren noch ein Rechner sich im „Power On-Zustand“ befand.

Die Firma dtms versucht i.M. an nähere Informationen von BOKU zu kommen, z.B. ob Logindaten vorliegen, E-Mailaddressen, oder ähnliches… warten wird ab… ich bin gespannt wie ein Flitzebogen…
pieh-ejdsch
pieh-ejdsch 22.12.2011 um 14:47:30 Uhr
Goto Top
und nicht nur ich dachte es geht um mobileTAN beim Banking ...
http://forum.sat1.de/showthread.php?8857-Dtms-Gmbh-Probleme&p=47653 ... ... soviel zu DTMS.

Gruß Phil
ag
ag 22.12.2011 um 15:03:26 Uhr
Goto Top
Hi Phil,

ok, hätte ich in der Einleitung deutlicher erklären können...

Aber eigentlich geht es mir nur um diese verschwundenen SMS's... das Geld is wech, Lernprozess, abgehakt... aber mich interessiert vermaledeit nochmal wie die das mit den SMS machen... Langsam glaube ich dass entweder das System von Congstar, oder das des Drittanbieters kompromittiert ist…

THX
ag
Spuker
Spuker 22.12.2011 um 15:16:31 Uhr
Goto Top
Kommen denn allgemein SMS an? Bei Multi-SIM-Karten (wer auch immer sich die hat vor dem Verkauf an dich hat erstellen lassen) könnte man dies zumindest definieren, auf welchem Handy die ankommen. Auch wenn ich persönlich nicht glaube, dass das die Lösung sein könnte...

P.S. OK, scheinbar hatte ich das gerade überlesen, dass du die Karten direkt bei Congstar bestellt hattest. Sorry.
ag
ag 22.12.2011 um 15:22:42 Uhr
Goto Top
Ja, die Handys funktionieren mit all den Optionen zur jeder Zeit ohne Probleme.
Die einzigen SMS die ich/wir "vermissen" sind diese TAN-SMS's. :o|
Ich gehe mittlerweile davon aus, dass eins der Systeme (Congstar und/oder Drittanbieter) gecrackt ist.
Vielleicht auch deswegen die für mich überraschende Zurückhaltung/Desinteresse bei Congstar… evtl. will/darf man im Moment darüber einfach nichts wissen… und schon gar nicht darüber reden/schreiben... !?!
Lochkartenstanzer
Lochkartenstanzer 22.12.2011 um 15:28:05 Uhr
Goto Top
Ein Betrüger muß keine SMS schicken. E reicht, nur so zu tun als ob.
ag
ag 22.12.2011 um 15:43:34 Uhr
Goto Top
Genau... und da liegt der Hund begraben… ich glaube auch nicht, dass da jemals eine SMS das System verlassen hat… ;o)
ag
ag 23.12.2011 um 10:51:07 Uhr
Goto Top
Hallo zusammen.

Dieser Fall hat sich in technischer Hinsicht erledigt.
Das Schadprogramm besteht aus Kohlenstoff und lebt.

Ich möchte mich zu allererst bei den Verantwortlichen bei Congstar Entschuldigen, dass ich deren technische System hier im Forum unberechtigt verdächtigt habe. Das Gleiche gilt natürlich für die Drittanbieter.

Euch danke ich für die Beteiligung am Faden.

Ich wünsche allen ruhige Ferientage und ein gutes und gesundes 2012.
Ich bin dann wech.
… blong…
2hard4you
2hard4you 23.12.2011 um 11:07:59 Uhr
Goto Top
Das klingt fast, als ob der Familienfrieden grad bissel gefährdet ist


Feiert trotzdem ordentlich Weihnachten!

Allen ein frohes Fest!

24