Info Handyfallen in Asien

[Member]

Mich verwundert auch etwas die Diskussion um Endgeräte etwas …. Aus meiner beruflichen Erfahrung würde ich sagen das 90% und mehr von den Angriffen oder Attacken auf Bankkonten die erfolgreich sind über sozial engenieering in einer wie auch immer gearteten Form laufen …. Die Unsicherheit liegt zum größten Teil nicht in den Systemen sondern bei den Benutzern

Da stimme ich dir zu. Aber aus Sicht der Banken würde das ja bedeuten, dass man diese Angriffe akzeptieren würde und die gefrusteten, weil selbst haftenden Kunden, verlieren würde. Damit auch Oma Schmitz, ohne absolvierten Phishing Workshop, weiterhin Bankgeschäfte machen kann, finde ich es dann schon besser wenn die Gesetzgeber sichere Verfahren zur Pflicht machen.

Okay das läuft in Deutschland anscheinend anders.
Hier kann ich während der Benutzung 2FA wählen ob ich die App benutze oder den TAN Generator.
Da geht nichts über SMS. Ich bin einfach davon ausgegangen das es in Deutschland auch möglich ist.

Anhang anzeigen 1693374655633.png

Mag sein, dass es Banken auch für deutsche Kunden gibt, die eine Auswahl anbieten. Aber TAN in der App/Generator, macht es ja nur ein bisscher sicherer als per SMS.

 

[Member]

Die Unsicherheit liegt zum größten Teil nicht in den Systemen sondern bei den Benutzern

Nicht nur im Onlinebereich...
Skimming an Bankautomaten...
Schadenshöhe kaum noch relevant.
2022 in Deutschland 125.000€

Durch gestohlene Bank/Kreditkarten
(samt Pin) 28.9 Millionen €.

Datenklau an deutschen Geldautomaten 2022 fast kein Thema mehr

Dennoch Zunahme auf niedrigem Niveau von 136 auf 223 Manipulationen. Fast die Hälfte davon fand im Hamburg statt. Mehr Schäden durch Kartendiebstahl.

finanzbusiness.de

 

[Member]

Mag sein, dass es Banken auch für deutsche Kunden gibt, die eine Auswahl anbieten. Aber TAN in der App/Generator, macht es ja nur ein bisscher sicherer als per SMS.

Warum? Also App Generator ist klar. Aber so eine kleiner Kasten? Der ist ja offline und sollte somit viel sicherer als SMS sein.
Die Banken hier sagen es wäre die sicherste Methode. Es kann natürlich sein dass das Verfahren hier ein komplett anderes ist als in Deutschland.

Mal zum Ablauf.
Ich nehme ein Zahlung vor oder logge mich beim Finanzamt, unterzeichne einen Kredit, aktiviere eine Sim Karte, melde ein Auto als verkauft. etc ein. Das alles läuft hier über die Bank ID mittels 2FA.
Bei jeder einer der genannten Aktionen muss ich mich verifizieren mit meiner Bank ID.
Es öffnet sich ein Eingabefenster. Dort kann ich dann wählen ob ich das mit der App und meinen biometrischen Daten plus meinem Passwort oder aber mit dem TAN Generator und meinem Passwort machen möchte. Der TAN Generator ersetzt dann den Schritt den eigentlich die App übernehmen würde. Bei vielen Diensten benötige ich auch noch meine norwegische Personennummer. Also ich muss diese kennen und natürlich mein Passwort, plus die App oder den TAN Generator haben. Ohne das ich diese 3 Dinge weiß geht fast nichts. Zahlungen bis 5000 NOK kann ich einfach mittels Biometrie in der Bank App vornehmen. Darüber benötige ich 2FA.
Das nutze ich im nicht europäischen Ausland da die App nicht nur ans Telefon sondern auch an die Telefonnummer gekoppelt ist und meine norwegische Simm Karte in dem Fall von mir deaktiviert wird.

Die Frage ist wirklich ernst gemeint. Habe ich einen Denkfehler?

 

[Member]

Die Frage ist wirklich ernst gemeint. Habe ich einen Denkfehler?

Ja, weil dieser zweite Faktor ja an die App übertragen werden muss. Ob aus dem Software- oder Hardwaregenerator. Dort liegt die Schwachstelle. Oma Schmitz wird angerufen, unter Druck gesetzt und ihr wird gesagt, sie muss direkt ihr Onlinebanking aktualisieren. Dafür muss sie sich anmelden, und die TAN telefonisch an den Angreifer übermitteln oder in eine Webseite der Angreifer eintragen. Die TAN befindet sich nun also in Händen der Angreifer. Bei einem biometrischen Faktor ist das nicht möglich.

 

[Member]

Ja, weil dieser zweite Faktor ja an die App übertragen werden muss. Ob aus dem Software- oder Hardwaregenerator. Dort liegt die Schwachstelle. Oma Schmitz wird angerufen, unter Druck gesetzt und ihr wird gesagt, sie muss direkt ihr Onlinebanking aktualisieren. Dafür muss sie sich anmelden, und die TAN telefonisch an den Angreifer übermitteln oder in eine Webseite der Angreifer eintragen. Die TAN befindet sich nun also in Händen der Angreifer. Bei einem biometrischen Faktor ist das nicht möglich.

Ja okay aber Oma Schmidt ist sowieso ein Opfer.

Bei uns geht gerade eine neue Mache um. Es werden Menschen angerufen und die Anrufer gibt sich als Bank aus. Er erzählt den Opfern ihr Konto wäre gerade angegriffen und sie soll das Geld schnell auf ein sicheres Konto uberweisen. Den Rest kannst du dir denken. Der Anrufer bekommet den TAN nie in die Hände oder zu sehen. Weil die das alles in der App machen.

Jeder der auf anrufe reagiert ist damit ein potenzielles Opfer.

Das mit der Übertragung habe ich verstanden. Warum sagen die Banken dann hier es wäre die sicherste Methode? Ich muss die direkt mal fragen.

 

[Member]

@dimbak ab nächsten Jahr müssen Android Smartphones 5 Jahre mit Updates versorgt werden. Warum es eine Übergangsfrist gab und dies erst ab 2024 gilt ist mir schleierhaft.
Die Nutzung einen Smartphons beträgt in Europa momentan durchschnittlich 40 Monate.

Längere Smartphone-Nutzung Handys werden seltener ausgetauscht. Der schnelle Wechsel von einem Handy zum nächsten ist einer Studie zufolge passé. Verbraucher nutzen ihre Smartphones immer länger - in Europa im Schnitt 40 Monate

Anhang anzeigen 1693368748349.png

Die Nutzer nehmen das von dir angesprochene Problem anscheinend selbst in die Hand.

Die 5 Jahre Update-Pflicht ist ein guter Schritt, aber die gilt natuerlich ab Markteinfuehrung. Die entscheidende Frage ist daher nicht, wie lange das Smartphone genutzt wird, sondern bis zu welchem Zeitpunkt nach Markteinfuehrung. Da wuerde mich mal eine Umfrage interessieren wie alt die Smartphones sind, wenn sie gekauft werden. Es gibt viele Schnaeppchenjaeger, die ein Smartphone kaufen, wenn es besonders billig ist z.B. als Second Hand Ware. Wer kauft schon ein Smartphone direkt nach Markteinfuehrung? Bestimmt nicht die Masse. Der Trend geht ja auch zur laengeren Nutzung der Smartphones. Da wirkt sich das Schrumpfen der Mittelschicht voll aus.

Im Englischen gibt es zwei weit verbreitete Meinungen

• if it ain't broke why fix it
• it it ain't broke why junk it

Die meisten haben leider keine Vorstellung, ab wann ihr Smartphone "broke" ist. Ich bin also eher skeptisch, dass die Nutzer das selbst in die Hand nehmen.

 

[Member]

Der Trend geht ja auch zur laengeren Nutzung der Smartphones. Da wirkt sich das Schrumpfen der Mittelschicht voll aus.

Ja wie ich dir gezeigt habe sind wir momentan bei 40 Monaten angekommen.
Also noch keine 4 Jahre.

Habe noch etwas bei Statista - Das Statistik-Portal gefunden. Eigentlich sagen alle Umfragen mehr oder weniger das gleiche. Bedingt durch die jetztige Situation steigt die Nutzungsdauer. Aber wie gesagt immer noch unter 4 Jahre. Damit bekommen fast alle noch Updates.

Anhang anzeigen phone.JPG

Es gibt viele Schnaeppchenjaeger, die ein Smartphone kaufen, wenn es besonders billig ist z.B. als Second Hand Ware.
Allerdings würde ich mir kein Gerät kaufen für das es keine Updates mehr gibt. Und auf keinen Fall würde ich das für Bankgeschäfte nutzen. Das gilt natürlich auch für einen Computer mit einem veralteten Betriebssystem für das es keine Updates mehr gibt.

Ja das stimmt. Ich kaufe meisten Vorjahres Modelle.

Wer kauft schon ein Smartphone direkt nach Markteinfuehrung? Bestimmt nicht die Masse.

Leider habe ich dazu nichts gefunden. Ich kann mir aber vorstellen das gerade unter den Jungen Leuten der Anteil sehr hoch ist.

Die meisten haben leider keine Vorstellung, ab wann ihr Smartphone "broke" ist. Ich bin also eher skeptisch, dass die Nutzer das selbst in die Hand nehmen.

Auch hierbei stimme ich dir zu. Genau das trifft aber auch auf Computer zu.
Jeder der so eine Technik nutzt um damit Bankgeschäfte zu erledigen kann aber nicht erwarten das ihnen das jemand abnimmt.

Ich kann deine Bedenken wie schon erwähnt nachvollziehen. Aber mir fällt nicht wirklich ein wie man das verhindern soll.
Es wird immer Menschen geben die auf solche Dinge nicht achten. Deshalb können wir uns doch aber nicht gegen den Fortschritt entscheiden.

 

[Member]

Wenn wir von sicheren Anwendungen, wie z.B. Banking reden, dann hängt die Sicherheit dieser Anwendungen nicht direkt von den Updatezyklen der Smartphones ab. Das hatte ich versucht mit der sicheren Architektur zu erklären. Baue ich ein Haus mit 5 Türen, 7 Fenstern und dünnen Wänden, dann ist der Aufwand dieses Haus sicher zu halten wesentlich größer als bei einem Haus aus dickem Beton und nur einer einzigen Stahltür. Eine schlechte Sicherheitsarchitektur einer Banking-App bedeutet laufende Patcherei. Ist die Architektur hingegen sicher, dann stellen Sicherheitsmängel an anderen Stellen nicht unbedingt eine Gefahr dar.

Ist ein notwendiges Sicherheitslevel am Smartphone unterschritten, sollte die Banking-App das feststellen können und ihren Dienst verweigern.

Würde die Sicherheit einer Banking-App davon abhängen, dass einem Angreifer es nicht gelingt die Kontrolle mit den Berechtigungen eines Users auf dem Smartphone zu erlangen, dann wäre dieses System unsicher. Es gibt Zero-Day-Schwachstellen, dagegen können wir gar nicht patchen. Mit dieser Gefahr müssen wir leben können und die Banking-Apps müssen trotzdem sicher bleiben.

 

[Member]

Du setzte dich mit dem Thema auseinander siehst aber eher die Gefahren. Vielleicht täusche ich mich auch. In unserer Kommunikation zu verschiedenen Themen habe ich aber auch den Eindruck gewonnen das du dich schnell gegängelt fühlst von Auflagen. Das kann ich sogar verstehen auch wenn ich es nicht immer nachvollziehen kann. Bitte werte die beiden letzten Sätze nicht als Angriff auf deine Person.

Da hast du zu 100% recht. Ich sehe das auch nicht als Angriff. Als unabhaengiger selbstdenkender Mensch ist das fuer mich eine Anerkennung. Mein Avatar ist da Program.