Zum Inhalt springen
Rick_q

Bank gehackt - 2FA Authentifizierung

Empfohlene Beiträge

Belgien
vor 1 Minute von Rick_q:

Also ich bin ganz neu bei Targobank, deswegen meine Fragen. 

 

Bei Online-Sicherheitsgarantie steht bei dir folgendes:

Sie sind für die Online-Sicherheits-Garantie registriert. Die Sicherheits-Garantie ist gültig bis zum 31.12.2024.
Im Falle einer Verlängerung durch die TARGOBANK bleibt Ihre Registrierung gültig.

 

Also wahrscheinlich nur bis Ende das Jahres...

 

Die Online-Sicherheitsgarantie existiert, wie bereits gesagt, seit >10 Jahren. Stets war sie befristet und wurde nach Ablauf der Frist immer wieder, stets wieder befristet, verlängert.

Diesen Beitrag teilen


Link zum Beitrag
Rick_q
vor 6 Minuten von Belgien:

Die Online-Sicherheitsgarantie existiert, wie bereits gesagt, seit >10 Jahren. Stets war sie befristet und wurde nach Ablauf der Frist immer wieder, stets wieder befristet, verlängert.

Danke!

Letzte Frage: Kann man in die Targobank ohne Termin jederzeit kommen um mehr als 11k zu überweisen ?

Diesen Beitrag teilen


Link zum Beitrag
No.Skill

Ab 9999 € wird doch eigentlich immer gefragt, wofür du das Geld brauchst usw.?

Diesen Beitrag teilen


Link zum Beitrag
kopfsalat23

Fall in meiner Umgebung:

Kunde kriegt ein SMS seiner Bank, er möge bitte seinen online Zugang verlängern, und zwar heute noch, da sonst bereits ab morgen gesperrt wird. Dazu möge er bitte folgenden Link benutzen und dort seine Daten eingeben (ja, hat er gemacht, aua).

 

Dann ist ein paar Tage mal nix passiert.

 

Dann haben die Betrüger bei seinem Telefonanbieter angerufen, ein Geburtsdatum als Passwort und ein nachlässiger Mitarbeiter im Callcenter waren für die da hilfreich, und haben eine E-Sim auf seiner Simkarte einrichten lassen.

 

Und anschließend haben sie zu überweisen angefangen....

 

durch den umgeleiteten Datenverkehr (Multi-sim sei Dank) hat er nix davon mitbekommen bis es zu spät war.

 

Diesen Beitrag teilen


Link zum Beitrag
Belgien
· bearbeitet von Belgien
vor 1 Stunde von Rick_q:

Danke!

Letzte Frage: Kann man in die Targobank ohne Termin jederzeit kommen um mehr als 11k zu überweisen ?

 

Ja, das ist kein Problem, allerdings musst Du den Perso dabei haben und vorlegen. In der Filiale sind außerdem nur SEPA-Überweisungen und die alten "Eilüberweisungen" (25€ pro Überweisung) möglich, die Filial-IT ist nicht an das Sepa Instant Credit Transfer System ("Echtzeitüberweisung") angeschlossen, Echtzeitüberweisungen sind nur im Kunden-OLB möglich. Die Höhe und Anzahl der Überweisungen in der Filiale ist nicht begrenzt, es gilt jedoch ein anderer Cut-off-Zeitpunkt (16:00 Uhr für taggleiche Weiterleitung, im OLB ist es 20:15 Uhr). Kurz vor 16:00 Uhr sollte man auch nicht auftauchen, da bei Filialüberweisungen mit höheren Beträgen die Mitarbeiterin, die die Überweisung entgegen nimmt, diese nicht direkt freigeben kann, sondern sich dazu die Unterschrift eines Kollegen holen muss, bevor die Überweisung dann tatsächlich auf den Weg geschickt werden kann.

vor einer Stunde von No.Skill:

Ab 9999 € wird doch eigentlich immer gefragt, wofür du das Geld brauchst usw.?

Wenn eine Bank mich bei Überweisungen ab 9999€ nach dem Grund der Überweisung fragen würde anstatt diese einfach auszuüben, würde ich die Bank wechseln. Dazu gibt es - anders als bei Bargeschäften - keinerlei Grundlage.

vor 11 Minuten von kopfsalat23:

 

Fall in meiner Umgebung:

Kunde kriegt ein SMS seiner Bank, er möge bitte seinen online Zugang verlängern, und zwar heute noch, da sonst bereits ab morgen gesperrt wird. Dazu möge er bitte folgenden Link benutzen und dort seine Daten eingeben.

 

Im Seniorenheim kann so etwas vielleicht gelegentlich funktionieren, aber in einer "normalen Umgebung" lösen solche SMS doch nur Erheiterung oder Verärgerung aus. Wer dadurch Geld tatsächlich verliert, gibt vermutlich auch jedem wildfremden Menschen in Handwerkermontur auf der Straße seinen Wohnungsschlüssel, wenn dieser ihn auffordert dies zu tun, um die Heizung im Auftrag des Versorgungsbetriebs zu kontrollieren und wundert sich dann, dass die Bude leergeräumt wird.

Diesen Beitrag teilen


Link zum Beitrag
dev
vor 12 Minuten von kopfsalat23:

Dann haben die Betrüger bei seinem Telefonanbieter angerufen, ein Geburtsdatum als Passwort und ein nachlässiger Mitarbeiter im Callcenter waren für die da hilfreich, und haben eine E-Sim auf seiner Simkarte einrichten lassen.

 

Und anschließend haben sie zu überweisen angefangen....

 

durch den umgeleiteten Datenverkehr (Multi-sim sei Dank) hat er nix davon mitbekommen bis es zu spät war.

Deswegen lieber offline-TAN-Generatoren nutzen.

Diesen Beitrag teilen


Link zum Beitrag
kopfsalat23
vor 26 Minuten von Belgien:

Im Seniorenheim kann so etwas vielleicht gelegentlich funktionieren, aber in einer "normalen Umgebung" lösen solche SMS doch nur Erheiterung oder Verärgerung aus. Wer dadurch Geld tatsächlich verliert, gibt vermutlich auch jedem wildfremden Menschen in Handwerkermontur auf der Straße seinen Wohnungsschlüssel, wenn dieser ihn auffordert dies zu tun, um die Heizung im Auftrag des Versorgungsbetriebs zu kontrollieren und wundert sich dann, dass die Bude leergeräumt wird.

Ein Endvierziger der ganz normal im Berufsleben steht und dem ich das niemals, aber wirklich niemals zugetraut hätte. Jetzt fragt er sich auch wie blöd er nur sein konnte (er hatte grade ziemlich Stress, was zwar nicht ideal war, aber trotzdem keine Ausrede sein kann). 

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 3 Stunden von dev:
vor 3 Stunden von kopfsalat23:

Dann haben die Betrüger bei seinem Telefonanbieter angerufen, ein Geburtsdatum als Passwort und ein nachlässiger Mitarbeiter im Callcenter waren für die da hilfreich, und haben eine E-Sim auf seiner Simkarte einrichten lassen.

 

Und anschließend haben sie zu überweisen angefangen....

 

durch den umgeleiteten Datenverkehr (Multi-sim sei Dank) hat er nix davon mitbekommen bis es zu spät war.

Deswegen lieber offline-TAN-Generatoren nutzen.

welcher Prepaid Anbieter für Mobilfunk bietet solche TAN-Generatoren an? Zumindest habe ich 2FA mit TOTP bzw. Telefonpasswort.

Diesen Beitrag teilen


Link zum Beitrag
dev
· bearbeitet von dev
vor 19 Minuten von oktavian:

welcher Prepaid Anbieter für Mobilfunk bietet solche TAN-Generatoren an? Zumindest habe ich 2FA mit TOTP bzw. Telefonpasswort.

Bei der Targobank heißt das photoTAN-Lesegerät, bei anderen Banken gibt es andere Bezeichnungen und auch Verfahren.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 2 Stunden von dev:

Bei der Targobank heißt das photoTAN-Lesegerät, bei anderen Banken gibt es andere Bezeichnungen und auch Verfahren.

klar: Banken haben sowas. Hier wurde aber der Telefonanbieteraccount gehackt, um die SMS abzufangen durch E-SIM.

Diesen Beitrag teilen


Link zum Beitrag
dev
vor 16 Minuten von oktavian:

klar: Banken haben sowas. Hier wurde aber der Telefonanbieteraccount gehackt, um die SMS abzufangen durch E-SIM.

Wurde er gehackt oder war ein Telefonanbieter-MA zu freizügig?

Jedenfalls hätte die Nichtnutzung der SMS-TAN ein 100% Schutz ergeben.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 31 Minuten von dev:

alls hätte die Nichtnutzung der SMS-TAN ein 100% Schutz ergeben.

wenn man SMS-TAN nicht nutzt, aber die Bank diese als Standard nimmt, bringt das TAN-Gerät auch nichts. Wenn man anklickt TAN-Gerät verloren, geht es manchmal mit SMS.

 

vor 33 Minuten von dev:

Wurde er gehackt oder war ein Telefonanbieter-MA zu freizügig?

Meine KI sagt: Social Engineering ist eine Form des Hackings. Anstatt technische Schwachstellen in Systemen auszunutzen, zielt Social Engineering darauf ab, die Schwächen im menschlichen Verhalten auszunutzen

Diesen Beitrag teilen


Link zum Beitrag
dev
vor 32 Minuten von oktavian:

wenn man SMS-TAN nicht nutzt, aber die Bank diese als Standard nimmt, bringt das TAN-Gerät auch nichts. Wenn man anklickt TAN-Gerät verloren, geht es manchmal mit SMS.

 

Meine KI sagt: Social Engineering ist eine Form des Hackings. Anstatt technische Schwachstellen in Systemen auszunutzen, zielt Social Engineering darauf ab, die Schwächen im menschlichen Verhalten auszunutzen

Meine Bank kennt meine mobile Nummer nicht, somit ist SMS komplett nicht möglich.

 

Ich würde nie ein mobiles Gerät, das ich im Prinzip täglich dabei habe mit irgendwelchen Bankdiensten verbinden.

So selten wie ich diese benötige, ist das völlig unnötig und stellt ein riesiges Sicherheitsrisiko dar.

Diesen Beitrag teilen


Link zum Beitrag
Bast
vor 21 Stunden von No.Skill:

Unsere damalige Vermutung war das der / die Täter, den gewohnten weg von Ihr ausgekundschaftet hatten, sie ist immer zwischen 10 und 11 Uhr vormittags zu Bank gelaufen 500 m.

Dann haben Sie die PIN vermutlich über die Zeit beim Eingeben irgendwie ablesen können.

Die Bank war zum Schluss sehr kulant und hat alles wieder grade gezogen :thumbsup:

Ist jetzt 20 Jahre her

Das Ausspähen der PIN ist auch 20 Jahre später noch aktuell: https://www.heise.de/news/iPhone-PIN-weg-Millionen-entwendet-Wie-Gauner-Apples-Oekosystem-missbrauchen-9579990.html

 

Da lobe ich mir Face-ID und einen Yubikey.

Diesen Beitrag teilen


Link zum Beitrag
hquw
vor 13 Stunden von dev:

Meine Bank kennt meine mobile Nummer nicht, somit ist SMS komplett nicht möglich.

Das ist definitiv eine gute Option, wenn das möglich ist. Der Passwort- und Device-Reset wird bei dir dann wahrscheinlich über einen Brief an deine hinterlegte Adresse gehen. Oder doch auch per E-Mail, welche dann vielleicht per SMS resettet werden kann?

 

Bei den meisten Banken sind diese Prozesse praktisch unmöglich komplett zu durchschauen, daher sollte man sich nicht zu sicher sein, dass ein Hardware-TAN-Gerät irgendeinen Mehrwert zu anderen 2FA-Methoden liefert.

vor 13 Stunden von dev:

Ich würde nie ein mobiles Gerät, das ich im Prinzip täglich dabei habe mit irgendwelchen Bankdiensten verbinden.

So selten wie ich diese benötige, ist das völlig unnötig und stellt ein riesiges Sicherheitsrisiko dar.

Du siehst dein Smartphone als Sicherheitsrisiko? Für die meisten Leute dürfte ihr Smartphone der sicherste Rechner sein, den sie besitzen. Insofern ist es eigentlich nur naheliegend, dass sie darüber Online Banking machen.

Diesen Beitrag teilen


Link zum Beitrag
dev
vor 19 Minuten von hquw:

Das ist definitiv eine gute Option, wenn das möglich ist. Der Passwort- und Device-Reset wird bei dir dann wahrscheinlich über einen Brief an deine hinterlegte Adresse gehen. Oder doch auch per E-Mail, welche dann vielleicht per SMS resettet werden kann?

 

Bei den meisten Banken sind diese Prozesse praktisch unmöglich komplett zu durchschauen, daher sollte man sich nicht zu sicher sein, dass ein Hardware-TAN-Gerät irgendeinen Mehrwert zu anderen 2FA-Methoden liefert.

Die Aktivierung ist per photo-TAN, welcher per Brief kommt, also analog.

 

vor 21 Minuten von hquw:

Du siehst dein Smartphone als Sicherheitsrisiko? Für die meisten Leute dürfte ihr Smartphone der sicherste Rechner sein, den sie besitzen. Insofern ist es eigentlich nur naheliegend, dass sie darüber Online Banking machen.

Es mag zwar sein, das es mehr Sicherheit vorgaukelt, aber man hat es oft dabei, so das es viel einfacher verloren gehen kann.

Man hat also nicht nur das digitale Problem, sondern es kommt das analoge dazu.

 

Hier ist sehr schön beschrieben wie es laufen kann:

vor 1 Stunde von Bast:

 

Diesen Beitrag teilen


Link zum Beitrag
No.Skill
vor 32 Minuten von dev:

Hier ist sehr schön beschrieben wie es laufen kann:

vor 2 Stunden von Bast:

 

Hey, dein Telefon ist gesperrt. Wie lautet der Passcode?" :respect:

Das ist ja mal ein krasser Hack, der betrifft aber nur Apple nicht alle anderen :D

 

Durch Social Engineering, das war, was ich weiter oben beschrieben habe.

 

PS: Und am Ende sind alle Verfahren nur begrenzt sicher, wenn man sich mal mit z. B. Lockpicking oder Pegasus beschäftigt.

 

Grüße No.Skill

Diesen Beitrag teilen


Link zum Beitrag
dev
· bearbeitet von dev
vor 1 Stunde von No.Skill:

Durch Social Engineering, das war, was ich weiter oben beschrieben habe.

 

PS: Und am Ende sind alle Verfahren nur begrenzt sicher, wenn man sich mal mit z. B. Lockpicking oder Pegasus beschäftigt.

Mein TAN-Gerät kann man mir zur zu Hause klauen, allerdings benötigt man wiederum eine PIN.

Wenn man dieses nur zu Hause nutzt, dürfte es wiederum ein wenig schwerer sein, diese zu erlangen.

 

Pegasus hat bei einem Offline-Gerät keine Chance, das ist wiederum bei allen Online-Verfahren anders.

 

P.S. Von 100% Sicherheit, würde ich bei digitalen Onlinezugriffen nie ausgehenden. Man kann es nur schwer machen, so das es immer weiger umgehen können.

Offline Offline-TAN-Generatoren und nicht vom Handy aus, ist schon mal eine starke Reduzierung der Angriffsfläche.

 

Edit meint das Offline war mißverständlich.

Diesen Beitrag teilen


Link zum Beitrag
Rick_q
vor 33 Minuten von No.Skill:

Hey, dein Telefon ist gesperrt. Wie lautet der Passcode?" :respect:

Das ist ja mal ein krasser Hack, der betrifft aber nur Apple nicht alle anderen :D

Mit Fingerabdruck-Authentifizierung kann man auch clevere Leute hacken. Einfach auf den Kopf hauen, wenn derjenige dann ohnmächtig ist kommt man mit seinem Finger überall rein. 

Wie sicher diese Face-ID ist, weiß ich nicht - reicht ein Gesichtsfoto in Körpergröße dafür schon aus?

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 26 Minuten von dev:

P.S. Von 100% Sicherheit, würde ich bei digitalen Onlinezugriffen nie ausgehenden.

sind denn offline Zugriffe sicherer? Die Bankfiliale muss auch ins Internet. Welchen Faktor gibt man in der Bank dem Mitarbeiter oder haben die immer Zugriff?

 

Rein online ohne Zugriff von Mitarbeitern könnte sicherer sein. Die internen Prozesse sind jedoch unbekannt.

 

vor 1 Minute von Rick_q:

Mit Fingerabdruck-Authentifizierung kann man auch clevere Leute hacken. Einfach auf den Kopf hauen, wenn derjenige dann ohnmächtig ist kommt man mit seinem Finger überall rein. 

Wie sicher diese Face-ID ist, weiß ich nicht - reicht ein Gesichtsfoto in Körpergröße dafür schon aus?

die Kombination aus Fingerabdruck und Passwort kann man aber auch nutzen. Z.B. Fingerabdruck zum Entsperren und Passwort zum Starten der Bank app. Auch kann man einen kompletten Zweitnutzer unter Android einrichten mit eigenen Zugangsdaten oder auch das Arbeitsprofil nutzen.

Diesen Beitrag teilen


Link zum Beitrag
dev
vor 56 Minuten von oktavian:

sind denn offline Zugriffe sicherer? Die Bankfiliale muss auch ins Internet. Welchen Faktor gibt man in der Bank dem Mitarbeiter oder haben die immer Zugriff?

 

Rein online ohne Zugriff von Mitarbeitern könnte sicherer sein. Die internen Prozesse sind jedoch unbekannt.

Jetzt sind wir also vom Online-Konto mit Offline-TAN-Gerät zum MA als Schwachstelle gewandert.

 

vor 1 Stunde von dev:

P.S. Von 100% Sicherheit, würde ich bei digitalen Onlinezugriffen nie ausgehenden. Man kann es nur schwer machen, so das es immer weiger umgehen können.

Offline Offline-TAN-Generatoren und nicht vom Handy aus, ist schon mal eine starke Reduzierung der Angriffsfläche.

 

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 2 Stunden von dev:

Jetzt sind wir also vom Online-Konto mit Offline-TAN-Gerät zum MA als Schwachstelle gewandert.

Wenn man aus Sicherheitsgründen vor online Zugriffen warnt, ist die Frage nach einer sichereren Alternative berechtigt. 100% Schutz gibt es nirgendwo (Kondome, Impfung, Luftabwehr usw.), aber ohne Alternative ist es kein gutes Argument auf den nicht 100%-Schutz als Gegenargument hinzuweisen.

Diesen Beitrag teilen


Link zum Beitrag
dev
· bearbeitet von dev
vor 29 Minuten von oktavian:

Wenn man aus Sicherheitsgründen vor online Zugriffen warnt, ist die Frage nach einer sichereren Alternative berechtigt. 100% Schutz gibt es nirgendwo (Kondome, Impfung, Luftabwehr usw.), aber ohne Alternative ist es kein gutes Argument auf den nicht 100%-Schutz als Gegenargument hinzuweisen.

Ich nutze diese Offline-TAN-Generatoren seitdem es keine TAN-Papiertabellen mehr gibt.

 

Nebenbei, ich hatte auch schon eine Windows Mobile App programmiert, bei der eine SMS still abgefangen und ausgewertet wurde, sowie gelöscht werden konnte.

Das dürfte auf den aktuellen Geräten hoffentlich nicht mehr so einfach sein, aber ich vermute nicht unmöglich.

Diesen Beitrag teilen


Link zum Beitrag
hquw
vor 7 Stunden von dev:

Es mag zwar sein, das es mehr Sicherheit vorgaukelt, aber man hat es oft dabei, so das es viel einfacher verloren gehen kann.

Man hat also nicht nur das digitale Problem, sondern es kommt das analoge dazu.

Und was soll passieren, wenn es verloren geht?

vor 7 Stunden von dev:

Pegasus hat bei einem Offline-Gerät keine Chance, das ist wiederum bei allen Online-Verfahren anders.

Wenn dein Rechner, von dem aus du Online-Banking betreibst, kompromittiert ist, macht der zweite Faktor überhaupt keinen Unterschied. Ich hoffe, dass dir das klar ist. Ein "Offline"-TAN-Gerät bringt dir in so einem Fall überhaupt nichts.

Diesen Beitrag teilen


Link zum Beitrag
chirlu
vor 35 Minuten von hquw:

Wenn dein Rechner, von dem aus du Online-Banking betreibst, kompromittiert ist, macht der zweite Faktor überhaupt keinen Unterschied. Ich hoffe, dass dir das klar ist. Ein "Offline"-TAN-Gerät bringt dir in so einem Fall überhaupt nichts.

 

Das müsstest du näher erklären. Ich sehe auf dem TAN-Generator ja Daten wie Betrag oder Kontonummer und kann daher merken, dass die gegenüber meinem Auftrag verändert sind.

Diesen Beitrag teilen


Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×
×
  • Neu erstellen...