Mobiles Banking: Hacker knacken Photo-Tan-App

Quelle: Süddeutsche Zeitung

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 841
Dabei seit: 12 / 2004
Betreff:

Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 18.10.2016 - 14:16 Uhr  ·  #1
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 89
Dabei seit: 01 / 2014
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 11:08 Uhr  ·  #2
Nun muss man dazu sagen, das die PhotoTAN App und das Banking Programm auf einem Gerät gemeinsam installiert waren und der Datenfluss "dazwischen" abgegriffen wurde.
Zitat: Wenn Banking-App und Photo-Tan-App auf einem Gerät installiert sind, können wir die Transaktionen manipulieren
Für mich ist die Photo-TAN das beste Verfahren - Handy NUR für Photo-TAN, ..... Laptop/PC für Banking - dann ist alles perfekt
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3944
Dabei seit: 03 / 2007
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 12:16 Uhr  ·  #3
Sehe ich ganz genauso. Besonders praktisch finde ich beim photoTAN-Verfahren, dass man den Aktivierungsbrief aufheben und wieder verwenden kann und sich damit bis zu 8 Geräte freischalten kann, die für den eigenen Zugang TANs erzeugen. Und man kann die Geräte jederzeit wieder löschen. Somit muß man nicht, wie bei anderen Instituten, bei jedem Gerätewechse ect. extra wieder einen Aktivierungsbrief bekommen. Perfekt.

Allerdings muß man auch sagen, daß die Banken, die photoTAN einsetzen, sie ja ausdrücklich zur Verwendung mit Ihrer BankingApp und somit auf dem gleichen Gerät beworben haben. Und DAS ist etwas fragwürdig. Was aber meiner Meinung nach genauso für die anderen Institute mit pushTAN oder SecureApp ect. gilt. Allerings - solang die Institute damit auftretende Schäden ersetzen, weil sie an das Verfahren glauben, ist mir das wurscht. Ob die ihr Geld durch zahlen von Schadensersatz oder durch Spekulationen oder Bau von Palästen oder Boni für die Spekulanten verbrennen... darauf hat der Kunde eh keinen Einfluß :-(
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 46
Beiträge: 5413
Dabei seit: 02 / 2003
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 13:08 Uhr  ·  #4
Hallo msa,

deine Aussagen stimmen so pauschal nicht. Für deine Bank(en) mag das so stimmen, für andere Banken definitiv nicht.
- Es gibt nicht das PhotoTAN Verfahren. lediglich die Darstellung des Matrixcodes und die Technik zum Auslesen sind identisch, da die -derzeit- zwingend von einem belgischen Unternehmen kommen. Schon die transportierten Informationen können sich komplett unterscheiden.
- Ein Aktivierungsbrief ist nicht bei allen Banken verpflichtend bzw. in allen angeboten Varianten notwendig oder gar überhaupt vorhanden
- Die Anzahl der Geräte kann auch unterschiedlich sein
- Es gibt nicht zwingend eine App für die PhotoTAN
- .......

Ansonsten ist es eben immer das gleiche Problem. das eigentliche verfahren wird gar nicht angegriffen, sondern es wird der Kanal angegriffen über den die Sichehreits-App (egal welches Verfahren dahinter steckt) mit der Banking App "redet".

Viele Grüße

Holger
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3944
Dabei seit: 03 / 2007
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 15:35 Uhr  ·  #5
Zitat geschrieben von Holger Fischer
- Es gibt nicht das PhotoTAN Verfahren. lediglich die Darstellung des Matrixcodes und die Technik zum Auslesen sind identisch, da die -derzeit- zwingend von einem belgischen Unternehmen kommen. Schon die transportierten Informationen können sich komplett unterscheiden.

Zumindest bei der comdirect kommt die Technik gemäß Logo von "Cronto", was zu VASCO gehört. Und die haben ihr Headquarter in USA und Europäische Büros in Deutschland und der Schweiz. Belgien? Fehlanzeige.

Bei der DeuBa-Gruppe ist alles - bis auf das Cronto-Logo, das da fehlt, absolut identisch. Brief, Selbstaktivierung, mehfachaktivierung, optionales Lesegerät (baugleich), max. 8 Geräte usw. Ist ganz offensichtlich absolut das Selbe.

Mir ist jetzt, muß ich gestehen, außer DeuBa mit norisbank und Commerzbank mit comdirect keine weitere Bank bekannt, die photoTAN mit bunten Pixeln einsetzt. Kannst Du mir mal helfen, wo die noch zu finden sind? Meine Aussagen bezogen sich somit natürlich nur auf diese mir bekannten Institute.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7466
Dabei seit: 08 / 2002
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 20:03 Uhr  ·  #6
Die Vasco-Sparte (Tochter?) Digipass handelte meines WIssens immer schon von Belgien aus.
Da die Hardware von einem einzigen Hersteller kommt, ist diese mit großer Wahrscheinlichkeit auch dieselbe - aber die Umsetzung und Firmware kann sich natürlich schon unterscheiden, so dass die Geräte leider nicht kompatibel sind.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3496
Dabei seit: 06 / 2008
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 31.01.2017 - 20:57 Uhr  ·  #7
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 06 / 2017
Betreff:

Re: Mobiles Banking: Hacker knacken Photo-Tan-App

 · 
Gepostet: 22.06.2017 - 09:37 Uhr  ·  #8
Ganz ehrlich, es ist inzwischen nicht mal mehr schwer solche Daten abzufangen. Ich habe mal etwas recherchiert und bin auf das Darknet gestoßen. Hier werden tatsächlich solche Anleitungen verkauft, die nach den Bewertungen zufolge tatsächlich funktionieren. Wenn ein wirklich guter Hacker Schaden anrichten möchte und solche Daten abfangen möchte, dann wird dieser das immer können. Keine Frage! Ich selbst studiere Wirtschaftsinformatik und ein Modul ist auch Sicherheit. Der Dozent sagte noch:"Es ist nie ganz sicher, jemand, der geschickter ist als Sie, wird ein Loch finden." - so ist es!
Gewählte Zitate für Mehrfachzitierung:   0