Sicherheitsaspeke bei Kreditkarten und Banking

[geos]

ANZEIGE

"Das Internet ist mein zweites Zuhause, mutmaßlich verbringe ich mehr Lebenszeit vor dem Bildschirm als abseits von ihm. Internetbetrug ist für mich etwas, das unbedarften Senioren passiert, aber keinem Digital Native wie mir."

Gemeint war wohl eher "digital naïve".

https://archive.is/6r1UP

Neu ist die Masche übrigens nicht.

 

[Meckie]

Spätestens bei der Sache mit der Photo-TAN wäre ich ausgestiegen. Sicher aber schon eher. Diese Quängelei wäre mir voll irgendwo hingegangen. Aber clever gemacht :/

 

[mattes77]

Genau. Bei der Photo Tan wäre ich auch stuzig geworden.

 

[geos]

Ja, allerspätestens da hätten wirklich alle Alarmglocken schrillen müssen, weil selbst dem selbsternannten Digital Native klar sein sollte, dass man TANs hier nicht benötigt und sie hier wirklich gar nichts zu suchen haben. Eigentlich schon an dem Punkt, bei dem die Angabe der Kreditkartendaten gefordert wird.
Die Angriffe dieser Art sind keineswegs neu; ich hatte mehrere genau dieser Betrugsversuche, als ich vor ein paar Monaten mal über Kleinanzeigen.de eine Kleinigkeit verkauft habe. Dass sie, wenn man darauf eingeht/reinfällt, allerdings noch mit fake-Chatbot kommen und TANs den Online-Bankings abfragen, war mir neu (vielleicht ist dieser Part ja auch neu; solche professionellen Betrüger entwickeln ihre Systeme ständig weiter). Ich bin damals davon ausgegangen, es ginge "nur" um das Abfischen von Kreditkartendaten.
Ich denke dass dahinter ein professioneller Fraud-Infrastruktur as a Service Betrieb steckt, der die passenden Fake-Domains und die Infrastruktur zum Clonen der jeweiligen Angebote auf Knopfdruck bietet. Daher hatte ich damals auch gleich mehrere "Kaufinteressenten", die es hintereinander alle mit einer ähnlichen Masche versuchten; manche etwas überzeugender als andere.

 

[Meckie]

Paypal Überweisung oder Geschäft ist erledigt. So hab ich das früher mal gemacht, als ich mal ein paar Dinge wegen Umzug bei Kleinanzeigen verkauft hatte. Jemand wollte da auf mein Girokonto überweisen, bzw. fragte ob das okay wäre. Meinte ich nur, das er von mir sicher nicht meine Bankverbindung bekommt und wie gesagt nur Paypal von mir akzeptiert wird. Er hatte das dann tatsächlich gemacht und der Verkaufsvorgang lief unkompliziert. Aber hier denke ich mir, lieber zu vorsichtig und restriktiv auch wenn man jemanden damit vielleicht „Unrecht“ tut.

 

[SeltenFliegerHH]

was bringt denn (zB beim Autokauf) PP? PPFF geht ja eigentlich nicht, und die Gebuehren fuer Mobile > dreistellig waeren mir die Gebuehren viel zu teuer...

Bankueberweisung? Gern gene ich meine TG-Nr. raus, bitte dorthin ueberweisen. Koennt gern Lastschriften probieren, dat wird nix...

 

[geos]

Und selbst Lastschriften kann man problemlos stornieren (aber natürlich ist es einfacher, wenn das Problem gar nicht erst auftritt; Tagesgeld- oder Sparkonten eignen sich somit).

 

[geos]

Die Domain klelnanzeigen.de wurde übrigens spätestens am 22.12.2021 registriert. Die vier Nameserver laufen unter der Domain ack.de.
Auf der Webseite www.ack.de werden u.a. Typesquatting-Domains als Dienstleistung angegeben sowie als einziger Kontakt eine Postfachadresse in Dubai.
Entweder die angegeben Domain im FAZ-Artikel ist nur fiktivies Beispiel (wäre meine präferierte Annahme) oder die Betrüger haben sie von Hyro FZ LCC aus Dubai gemietet.
Letztere Firma hat kleinanzeigen.de übrigens zu deren aktueller Domain verholfen (als sie nicht mehr Ebay-Kleinanzeigen heißen durften):

Ebay-Kleinanzeigen wechselt den Namen - t3n – digital pioneers

Ebay-Kleinanzeigen gehört nicht mehr zu Ebay. Daher wechselt der neue Betreiber den Namen und verspricht mehr Funktionen und bessere Sicherheit. Das Kleinanzeigen-Portal Ebay-Kleinanzeigen hat bereits im Jahr 2020 den Besitzer gewechselt – und seitdem nichts mehr mit dem E-Commerce-Riesen Ebay...

t3n.de

Dann wäre es allerdings kein guter Stil von der FAZ, eine existierende Domain als betrügerisch darzustellen, falls diese nicht wirklich im Fall Verwendung fand.

 

[geos]

Ist es nur Arglosigkeit oder einfach komplette Verständnislosigkeit? Sind die Konsumenten schon so konditioniert, dass sie meinen, für jeden Mist eine App zu benötigen? Vermutlich ja.

https://archive.is/xDpwP

Interessant sind auch die Kommentare hier:

GoTo Resolve – Apps bei Google Play

Dies ist eine sichere Support-App, die jedoch nur mit einem vertrauenswürdigen Agenten verwendet werden sollte.

play.google.com

Apple-Kunden dürfen natürlich nicht außen vor sein:

‎GoTo Resolve

‎!! ONLY DOWNLOAD IF DIRECTED TO DO SO BY A SUPPORT AGENT YOU TRUST !! The GoTo Resolve mobile app by GoTo allows support agents to troubleshoot a problem you are having on your device. How to Use: 1. Install the app on your mobile device. 2. Launch the app. 3. Enter the Support Key given to...

apps.apple.com

 

[SeltenFliegerHH]

Ist es nur Arglosigkeit oder einfach komplette Verständnislosigkeit? Sind die Konsumenten schon so konditioniert, dass sie meinen, für jeden Mist eine App zu benötigen? Vermutlich ja.

nein, nicht nur vermutlich. Definitiv!

Noch schlimmer, wenn die 'App' dann lediglich eine Webseitenansicht (in der App) oeffnet, entsprechende Verseuch- aeh, Datenkomfortverwaltung inclusive.

 

[geos]

Mal ein Non-IT-Sicherheitsaspekt:

https://archive.is/31J9U

 

[geos]

Inhaltlich nichts Neues, aber schön dargestellt von Heise:

Phishing-Welle von Zentralstelle Cybercrime Bayern beobachtet

Die bayerische Zentralstelle Cybercrime warnt vor einer neuen Welle einer Phishing-Masche. Täter räumen dabei schnell Konten leer.

www.heise.de

 

[Frank N. Stein]

Ja und?
Die Blödel sitzen doch nach wie vor vor dem Bildschirm,
genauso wie die Helden:Innen, die monatelang mit der hotten, nigerianischen Prinzessin oder dem charmanten Prinzen chatten
und sechsstellige Beträge überweisen.
Lernen durch Schmerz!

 

[geos]

Das folgende hat mit Sicherheit von Banking und Kreditkarten nur insofern zu tun, als dass ein erfolgreicher Angriff die Eröffnung eines Bankkontos unter der Identität eines Opfers ermöglicht:

sPACE Attack: Spoofing eID’s Password Authenticated Connection Establishment

A Critical Man-in-the-Middle Vulnerability in the German eID Scheme

ctrlalt.medium.com

Allerdings lassen sich die dort relevanten Grundsätze auch auf Angriffe auf Onlinebanking übertragen. Das gilt speziell für eine der Schwächen, die genannt wird:
"The insufficient decoupling of the two authentication factors (physical possession and knowledge/PIN), enabling an attacker to compromise both factors simultaneously"

Mit anderen Worten: 2FA auf einem einzelnen, potenziell kompromittierbaren Gerät.

 

[TheDude666]

Solange wir versuchen ein 100% sicheres Authentisierungsverfahren vorauszusetzen, solange wird es nix mit der Digitalisierung.

Verstehe bis heute bspw nicht warum andere Länder nicht auch auf das Bank ID System aus den nordischen Ländern setzen. Authentifizierung erfolgt doch bei der Bankeröffnung, danach besitzt man eine nach eIDAS Verordnung rechtssichere digitale Identität (ich glaube LOA 2). Hier in Schweden nutze ich diese zum Login bei
- Behörden
- Versicherungen
- sogar Online Shops

Gibt es Betrug damit? Sicher! Wenn jemand mich bittet die App zu starten und ich den Text ignoriere, der beschreibt was ich da eigentlich gerade mache, dem ist dann auch nicht mehr zu helfen.

 

[SeltenFliegerHH]

das wird nicht passieren, weil es jeder besser machen will als der andere - wie Du schon schriebst, es gibt keine 100%ige Sicherheit, aber die hochtechnisierten Neulaender wollen ja alles zu 130% besser machen...

Schaut mal bei den Verwaltungssoftwaren in Foederalistan - jede Polizei kocht ihre eigene Suppe, da ist nix mit laenderuebergreifend :/

 

[JFI]

Dieser Blogbeitrag passt möglicherweise zum Thema, da es wohl gelungen ist, in fremden Namen ein "Konto bei einer großen Bank" zu eröffnen.

 

[TheDude666]

Dieser Blogbeitrag passt möglicherweise zum Thema, da es wohl gelungen ist, in fremden Namen ein "Konto bei einer großen Bank" zu eröffnen.

Passierte bei der N26 doch ständig und das beim Video Ident. So zumindest das Ergebnis meiner Anzeige bei der Polizei als ich mal was gekauft habe und per Überweisung an ein N26 Konto überwiesen habe.

Betrachtet man die unterschiedlichen Risiken wird doch deutlich das es ohne eId deutlich mehr Betrugsmöglichkeiten gibt als mit eID

 

[geos]

Solange wir versuchen ein 100% sicheres Authentisierungsverfahren vorauszusetzen, solange wird es nix mit der Digitalisierung.

Es gibt keine 100%ige Sicherheit, nirgendwo, nie. Das hat auch erstmal mit Digitalisierung nichts zu tun.

Verstehe bis heute bspw nicht warum andere Länder nicht auch auf das Bank ID System aus den nordischen Ländern setzen. Authentifizierung erfolgt doch bei der

Weil die Banken in Deutschland vermutlich nicht genug lobbyiert haben.

Vermutlich möchte in Deutschland der Staat eine rechtssichere digitale Identität bieten und das nicht an irgend eine Wirtschaftsbranche auslagern, und das macht er mit dem ePerso ja auch.
Das Verfahren ist ja auch sehr sicher, und ich gebe dem BSI recht, wenn sie darauf hinweisen, dass nicht etwa das Verfahren selbst angegriffen worden ist, sondern das spezifische System bestehend aus Smartphone mit eingebautem NFC-Leser und App(s) darauf.
Dabei stellt ein solches System einen Kartenleser der niedrigsten (Basis) Sicherheitstufe dar. Das Thema ist nicht neu; hier ist z.B. ein beliebiger Artikel von 2018:

Personalausweis: Nur empfohlene Lesegeräte nutzen

Der elektronische Personalausweis ist nicht nur kleiner als sein Vorgänger. Mit ihm kann man sich auch online ausweisen - sofern die richtige Technik eingesetzt wird.

www.fnp.de

Im Forschungspapier unter https://www.dropbox.com/scl/fi/2pow....pdf?rlkey=nx0ffmmbq3hffgxsuqwf0f45z&e=1&dl=0 schaue man sich z.B. die Tabelle in VII mit den verschiedenen Angriffsszenarien und den dagegen wirkenden Maßnahmen an. Hätte das Opfer C1 umgesetzt (also einen Kartenleser mit PIN-Pad und Display eingesetzt), wäre keines der diskutierten Angriffsszenarien erfolgreich.

Bankeröffnung, danach besitzt man eine nach eIDAS Verordnung rechtssichere digitale Identität (ich glaube LOA 2). Hier in Schweden nutze ich diese zum Login bei
- Behörden
- Versicherungen
- sogar Online Shops

Gibt es Betrug damit? Sicher! Wenn jemand mich bittet die App zu starten und ich den Text ignoriere, der beschreibt was ich da eigentlich gerade mache, dem ist dann auch nicht mehr zu helfen.

Die in dem Artikel skizzierten und wohl auch demonstrierten Angriffsszenarien waren allerdings andere.

 

[selaf]

Mit anderen Worten: 2FA auf einem einzelnen, potenziell kompromittierbaren Gerät.

Das Problem ist hier, dass die Kontoeröffnung mit Basic-Lesern (wie z.B. Smartphones) möglich ist, obwohl diese keinerlei Sicherheit bieten. Zur Einführung des nPA wurden Standard-Leser (mit sicherem PIN-Pad und E2E-Verschlüsselung) steuersubventioniert für 27€ verkauft - trotzdem hat die damals offenbar kaum jemand erworben. Und nun stehen Staat und Wirtschaft halt vor der Wahl: 1) Wir verlangen mindestens Standard-Leser und nur ein Bruchteil der Bevölkerung wird eID nutzen oder 2) wir lassen unsichere Lesegeräte zu.

 

[geos]

Übertragen auf die Bankenbranche ist die Situation allerdings noch ein gutes Stück krasser, da viele (nicht alle) Banken hier mittlerweile Onlinebanking mit 2FA auf einem Gerät aktiv bewerben und forcieren und in einigen Fällen dem Kunden gar keine Möglichkeit lassen, die Möglichkeit für sich nicht zu aktivieren bzw. es zu verhindern (selbst wenn der betreffende Kunde es nicht selbst nutzt). Vor einigen Jahren noch haben etliche Banken explizit vor 2FA auf einem Gerät gewarnt, es z.T. in ihren Bedingungen ausgeschlossen und z.T. m.W. sogar versucht, es mit technischen Mitteln zu unterbinden (was natürlich nicht wirklich erfolgreich sein kann).

Ich fürchte dass dies in die weitere Kategorie "convenience beats everything" einzuordnen ist.

 

[SeltenFliegerHH]

Und nun stehen Staat und Wirtschaft halt vor der Wahl: 1) Wir verlangen mindestens Standard-Leser und nur ein Bruchteil der Bevölkerung wird eID nutzen oder 2) wir lassen unsichere Lesegeräte zu.

...und werden mehr als nur einen Bruchteil Betrugsfaelle haben.

Oder kurz: Regen vs. Traufe.

 

[TheDude666]

Wer Sicherheit will kann doch dafür bezahlen. Sparkassen und Volksbanken bieten ein Filialnetz und Überweisungsträger können dort gegen Gebühr abgegeben werden. Auch die Kontoeröffnung ohne eID und VideoIdent ist ebenfalls möglich.
Ich denke die Generation die nicht mit IT und PC aufgewachsen ist und sich nicht dafür interessiert ist halt prädestiniert für solchen Betrug.

Kompromittierte Apps? Die meinen vermutlich den Google PlayStore, oder?

Alles in allem frage ich mich wer von der negativen Presse profitiert. Da wird die aktuell einzige digitale Möglichkeit Online Verträge abzuschließen schlecht geredet und das Risiko unnötig aufgebläht. Will man allen ernstes nun die eID komplett kaputt machen? Eine Chance hatte sie ja leider nie.

 

[geos]

In dem konkreten Fall erfolgte der Angriff laut Angaben in der Veröffentlichung auf ein iPhone und damit über den App-Store von Apple. Technischer Hintergrund ist u.a. die Art, wie die entsprechende "Ausweis-App" aus einer (mobilen) Webseite heraus aufgerufen wird.

Ich würde dem Autor hier kein grundsätzliches Interesse, den ePerson schlecht zu machen, unterstellen. (OK, ein bisschen BSI-Bashing geht wohl immer...)
Wenn Leute keine Schwächen mehr offenlegen und benennen und den Finger in die Wunde legen, wird sich nichts verbessern. Dazu ist Forschung da.
Das gilt bei weitem nicht nur in der Informationssicherheit (sondern z.B. auch in der Politik), aber dort ganz entscheidend (in der Luftfahrtsicherheit übrigens ähnlich).

Das ganze ist jetzt auch nicht super neu oder überraschend. Der Autor hat sich viel Mühe gemacht, das zu implementieren, dafür alle Anerkennung, und er hat dazu ein paar konkrete Designschwächen (die aber auch ihre Begründung besitzen) genutzt, aber vom Grundsatz ist es keine Überraschung, dass Angriffe so möglich sind. Deswegen gibt es ja die Unterscheidung der Lesegeräte in Kategorien. Und Smartphones gehören eben technisch bedingt der untersten Kategorie an.

 

[ive]

ANZEIGE

Habe ich das jetzt vereinfacht richtig verstanden?
Die Informationen vom Perso wurden auf das Smartphone übertragen, und dann wurde das Smartphone gehackt?
Also analog zum Fall, wo die Karteninformationen (KK/GC) auf das Smartphone übertragen werden (eWallet) und das Smartphone gehackt wird?

Falls ich das richtig verstanden habe, dann ist nicht der ePerso (bzw. die GC/KK) die Schwachstelle, sondern das Smartphone (Apple-Pay/Google-Pay/...) ?