Sicherheitsbewußter Prepaid-Anbieter gesucht (für mTAN-Banking)

    Zitat

    Original geschrieben von BornToRun
    Nicht dass ich glaube, dass ein solches Szenario, wie im Eingangsposting geschildert, sehr wahrscheinlich ist,


    Was ist da jetzt so unwahrscheinlich am Szenario. Ein Windows-Rechner hat sich einen Keylog-Trojaner einfangen, Tastatureingaben wurden damit abgefangen und das Konto wurde geleert.
    Notwendig dazu war dann nur noch ein Mobilfunk-Anbieter der wenig auf die Sicherheit bei einer Ersatzkartenbestellung achtet - that's it.

    Zitat

    Warum muss es unbedingt mTAN sein? ... Da ist mir ChipTAN mit offline-TAN-Generator un zusätzlich zwingend erforderliche Bankkarte und vom Bildschirm abgescanntem Flickercode bei weitem lieber.


    Wenn ich eine praktikable Wahl hätte, würde ich sie auch nutzen. Im Zweifel würde ich sogar zum iTAN-Verfahren zurückkehren. So wie die Sache aktuell liegt komm' ich aber am mTAN-Verfahren nicht vorbei, und kann nur versuchen das ihm innewohnende Risiko zu reduzieren.

    also um bei mir ins online Konto zu gelangen braucht man erst einmal eine 12stellige Kundenummer und die muss der Gauner ja erst eimmal kennen...die erhält man auch nicht per Mail oder per SMS

    Zitat

    Original geschrieben von Meisenkeiser
    also um bei mir ins online Konto zu gelangen braucht man erst einmal eine 12stellige Kundenummer und die muss der Gauner ja erst eimmal kennen...die erhält man auch nicht per Mail oder per SMS


    die Kundennummer tippst du doch mit Sicherheit beim anmelden über die Tastatur ein, oder? Und eben diese Eingabe erfasst dann ja der Keylogger.

    Der initiale Fall zeigt offensichtlich alles auf, nur nicht die systembedingte Schwäche von mTAN. Einen ähnlichen Fall hätte man auch mit einem TAN-Generator konstruieren können (Neue EC-Karte bestellen und aus dem Briefkasten fischen).
    Wenn der Computer ohnehin schon infiziert ist, dann kann ich auch einfach die Eingaben bei der Überweisung manipulieren (Wer schaut schon auf das Überweisungsziel in der SMS?).


    Die Gefahr ist also:
    [list=1]
    [*]mTAN Nutzung
    [*]ein Anbieter, der bereitwillig die SIM an eine fremde Adresse schickt und auch noch aktiviert (womit er m.E. gegen die eigenen AGB verstoßen dürfte)
    [*]Ein infizierter Rechner mit Keylogger
    [*]eine längere Zeit ohne Zugriff auf das Konto und ohne zu bemerken, dass sich das Handy plötzlich nicht mehr nutzen lässt.
    [*]eine Bank, die kein oder ein schlechtes Betrugscreening macht
    [/list=1]


    Selbst wenn dieser "Lottogewinn" auftritt, glaube ich, dass man haftungstechnisch da raus sein dürfte.


    Für eine "Lottogewinn" tretten solche "Fälle" aber etwas zu häufig auf.
    Schon im November schrieb der Focus Mobile TAN-Nummern abgefischt

    Zitat


    In allen bekannt gewordenen Fällen spähten die Betrüger erst die Computer und die Handynummern ihrer Opfer aus und fischten dann über eine eigens beantragte zweite SIM-Karte die per SMS übertragenen TAN-Numern ab.
    Anfang November erreichte deren Zahl mit mindestens elf Vergehen den zweistelligen Bereich. Mittlerweile sind laut einem Bericht der (SZ) schon mindestens siebzehn Fälle bekannt. Zufall oder nur die Spitze des Eisbergs, wie Kritiker glauben?
    Die Masche ist nicht nur ein lokales Phänomen. Wie die Süddeutsche berichtet, zieht sich die Spur der Betrüger durch das ganze Bundesgebiet. Von einem 52-Jährigen aus der Eifel, auch Postbank-Kunde, zockten die Ganoven im September 96 000 Euro ab. Die Postbank erstattete den Schaden. Einen Mann im Rhein-Neckar-Gebiet brachten sie um 45 000 Euro, eine Frau im Allgäu um 77 000 Euro – auch ihre Bank ersetzte das gestohlene Geld. Weiterhin bekannt sind zwei Fälle in Hessen, bei denen die Hacker zusammengerechnet einen sechsstelligen Betrag erbeuteten. Insgesamt beläuft sich der Schaden durch den mTAN-Trick auf fast 800 000 Euro.


    Ersetzt worden ist der Schaden aber bisher wohl in allen Fällen, war auch bei der Bekannten meines Arbeitskollegen so.
    Wobei das mit dem "Betrugsscreening" so eine Sache ist - Zitat Focus

    Zitat

    Um nicht aufzufallen, stückeln die Betrüger die Beträge, teilweise erhöhen sie mit Hilfe weitere mTANs sogar die maximal mögliche Überweisungssumme. Selbst diese von den Banken empfohlenen Limits schützen die Verbraucher also nicht zuverlässig vor Dieben.


    War beim "initialen Fall" auch so, lauter Überweisungen zwischen 1500 und 2500 an mehrere unterschiedliche Empfänger - sowas dürfte wohl bei den meisten Banken durchrutschen.

    Zitat

    Original geschrieben von _-=voodoo=-_
    (Neue EC-Karte bestellen und aus dem Briefkasten fischen).


    Ob man aber bei der Bank nicht doch etwas aufmerksamer hinschaut, wer da für wen eine EC-Karte nachbestellt?


    Zitat

    (Wer schaut schon auf das Überweisungsziel in der SMS?).


    Nicht? :confused:



    Das offensichtlich unzureichend gesicherte Email-Postfach nicht vergessen. Ohne Zugang dazu wäre die Kette an dieser Stelle bereits unterbrochen gewesen und man müsste - obwohl man es freilich kann und die Diskussion darüber generell auch gar nicht uninteressant ist - hier überhaupt nicht über die Legitimierungspraktiken von Mobilfunkanbietern unterhalten.

    Ich hatte bei meiner neuen ALDI-Talk-Karte auch ein relativ gutes Gefühl bzgl. der Authentifizierung.
    Deutlich besser als bei anderen Prepaid-Discountern.


    Paar Ideen zum Thema Prävention:


    - Eine Bank verlangt zusätzlich zur Eingabe von Login und Passwort einen Code. Von diesem werden nur einige wenige Stellen (3 von 16) abgefragt. Statt diese nun allerdings manuell einzutippen, muss man pro Buchstabe einen von 12 "Buttons" mit der Maus klicken, auf denen jeweils mehrere Buchstaben / Zahlen stehen (so dass jede Zahl und jeder Buchstabe insgesamt einmal erscheint), welche bei jedem Anmelden neu "durchgewürfelt" werden. D.h., man muss nichts mit der Tastatur eingeben, sondern den Code quasi mit der Maus eingeben. (Die Bank verwendet keine mTAN, jedoch ist dies ein Mechanismus gegen einfache Keylogger).


    - Nicht alle Eier in ein Nest legen. Nicht alles Geld bei einer Bank deponieren, sondern auf mehrere Bank verteilen. Wirkungsvoll bspw:. Bankbeziehungen trennen. D.h., ich habe (einigermassen) separate Bankbeziehungen für
    a) Gehaltseingänge und Zahlungen/Abbuchungen (Abos, Versorger, Arbeitgeber, Online-Shopping, Zahlkarten, d.h., "öffentlich bekannt"). Bei dieser Bank liegt normalerweise maximal ein Monatslohn. Ggf. ein Dauerauftrag für monatliches Sparen einrichten.
    b) Sparen & Investments (Tagesgeld, Depot). Da könnte man eine Lösung ohne mTAN wählen.


    (Nachteil ist klar: Bei den Banken ist man punkto Kredit für Gründung, Hausbau etc. ein "besserer" Kunde, wenn man alles über eine abwickelt und nicht nur "durchschiebt").


    - separate SIM-Karte für mTAN. Wie die Vorposter ja schon schrieben.


    - Habe bei meinem Gehaltskonto eine ausländische SIM-Karte hinterlegt. Das dürfte das Neubestellen zumindest etwas erschweren. Nebenbei handelt sich um ein eher kleines Land, bei denen sich das Online-Fishing für etwaige Kriminelle (hoffentlich) weniger lohnen dürfte, als im bevölkerungsmässig grössten Land Europas (Deutschland), bei dem die Chance auf einen Treffer deutlich grösser ist. D.h., hoffentlich haben Kriminelle nicht ad hoc eine Versandadresse parat. Im übrigen dürfte das Risiko da gegen Null gehen, dass irgendein Komplize mit Zugang zu Provider-Datenbanken meine Nummer per Name "rausfischt".


    - Ein mir bekannter hat sich einen separaten Computer extra nur für Online-Banking gekauft. Ist vielleicht etwas Overkill, aber man könnte immerhin von einem separaten Betriebssystem booten (bspw. von einer bootbaren Linux-DVD, die nur einmal beschrieben nicht verändert, d.h., nicht infiziert werden kann).

    Zitat

    Original geschrieben von garbsener
    man sollte generell banking nicht von einem windows rechner aus machen,wenn man nicht wirklich ein mittelklasse user ist denn der flickenteppich hat zu viele lücken. nen betagtes notebook mit besser designter software sollte auch das trojaner problem lösen.


    Genauso ist es, dazu auch auf mTAN verzichten und ein separates Mailkonto welches auch nur von dem Banking-PC genutzt wird und "schon" haben die Bösen Jungs das Nachsehen.


    Tip dazu:
    Einfach mal die aktuellste Ubuntu oder Mint Version ausprobieren, ist eine gute Alternative zum Windows System. ;)




    VG,
    Duurlaap

    Bei der HypoVereinsbank wird die Handynummer fur das mTan schon mal nirgends im Omline-Konto angezeigt. Das ist schon mal sicherer. Ich benutze mTan nur mit einfachen GSM-Handy ohne Internet-Zugang. Für das Online-Banking verwende ich Rechner mit Linux-Betriebssystem. Ich denke so bin ich schon ziemlich sicher beim Online-Banking.

    Oberfranken ist meine Heimatliebe, die mir am Herzen liegt Bernhard

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden