iTAN vs Elektronik...

Helmut Schellong <rip@schellong.biz> schrieb:

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Bist Du Dir ganz sicher, daß diese Anfrage hier in der richtigen NG ist?

In der Regel ist es so, daß einzelne Sätze oder Absätze in einem Artikel
nur im gesamten Text den richtigen Sinn ergeben.

Dies hier ist allerdings eine Ausnahme von der Regel. In diesem Fall
erkennt man bereits an einem einzigen zitierten Satz, daß der ganze
Thread hierzugroup offtopic ist.

Ich nehme an, Du wirst ein Schlußwort wünschen (obwohl oben an sich
schon alles gesagt ist).
 
Volker Bartheld <news2022@bartheld.net> schrieb:

xp + fup2 de.etc.finanz.banken+broker

Ignoriert.

Dann halt nochmal.


Mich hat mal eine Arschgeige namens \"Markus Brunner\" [...]
um den durchaus erheblichen Geldbetrag von 250¤ geprellt.

9 Jahre her. Quod nocet, docet.

Der Forenbetreiber Rüdiger Hofner zeigte sich auch vergleichsweise
unkooperativ

Zu diesem Zeitpunkt ahntest Du bereits, daß da was faul sein könnte.
Man hätte somit ERST den Thread abphotographieren können, bevor man den
Forenbetreiber anschreibt.

Hätte man, ja. War wohl naiv.

Jepp.

Die Norisbank ist seit 2012 reine Online-Bank, war es also bereits bei
dem von Dir beschriebenen Vorfall.

Dann werden sie ja wohl vernünftige Online-Verfahren zur
Identitätsprüfung haben, oder?

Mag sein. Jedenfalls hat die Norisbank damals weder Geldautomaten, noch
Filialen unterhalten. Dein Spezialist wird somit wohl am Automaten einer
anderen Bank das Geld gezogen haben, die Norisbank dürfte aber halt
keine Zugriff auf die Bilder der Überwachungskamera gehabt haben.

Der hiesigen Staatsanwaltschaft ließ [die Norisbank] mitteilen,
Herr Brunner hätte unter falscher Identität ein Konto eröffnet

Das könnte prinzipiell Schuld der Bank sein

Das sehe ich ähnlich.

Schließlich wurde das Verfahren eingestellt, Täter nicht zu ermitteln.

250 Euro Schaden, da sieht so mancher Staatsanwalt kein öffentliches
Interesse.

Bei mir. Der umtriebige Herr Brunner hat ein gutes Dutzend Gutgläubige
um ihr Geld geprellt, nicht nur im DSLR-Forum.

Die zuständige Staatsanwaltschaft hat aber wohl dennoch kein
öffentliches Interesse gesehen.

Shit happens.

Also wenn ich mal keinen Bock mehr auf redliche Arbeit hätte, ich wüßte
schon, was ich täte. Schafe gibts ja genug, und die wollen offenbar
geschoren werden.

Anno 2013 warst Du das Schaf.

Unstrittig. Wir diskutierten ja die Lernfähigkeit. Die würde ich Schafen
aberkennen.

Außer natürlich dem Volker Bartheld, der 2013 Schaf war und geschoren
wurde. Dieses Schaf hat vermutlich etwas aus dem Vorfall gelernt.

> Ich habe meine Schlüsse gezogen und hier vorgestellt.

Siehste.
 
On Tue, 30 Aug 2022 23:38:06 +0200, Hergen Lehmann wrote:
Am 30.08.22 um 21:18 schrieb Volker Bartheld:
On Tue, 30 Aug 2022 18:23:08 +0200, Hergen Lehmann wrote:
Bislang hat es allen Unkenrufen zum Trotz keine größeren, erfolgreichen
Angriffe auf Android gegeben.
... der öffentlich bekannt wurde. Darfst davon ausgehen, daß die Dienste
ihr Köfferchen mit Zerodays gut bestückt haben.
Die US-\"Dienste\" sind sowieso außen vor. Sie senden bei Bedarf einfach
einen \"National Security Letter\" an Google/Apple/Microsoft/etc., welcher
eine Backdoor fordert und zugleich absolutes Stillschweigen darüber.
Das Risiko wirst du nur los, indem du dir a) dein Betriebssystem selbst
kompilierst, und b) mit einem ganzen Team jede einzelne ins Repository
eingecheckte Änderungen prüfst.

Ich glaube, mit einem Open-Source-Betriebssystem wie z. B. Linux bist Du
schon auf einem ganz guten Weg. Dann noch Inkscape, Libre Office, Pan,
Audacity obendrauf. Ja, bei der Browser-Monokultur wirds zunehmend
schwerer und wenn Dein Chrome verwanzt ist, nutzt Dir auch ein
blitzsauberes Ubuntu/Linux Mint kein Bißchen. Und selbst wenn Du den
Brave Browser oder vielleicht Pale Moon hernimmst, empfiehlt Dir die
NIST einfach schwache Startwerte für Deinen Zufallszahlengenerator und
der Drops ist gelutscht:

https://www.schneier.com/essays/archives/2007/11/did_nsa_put_a_secret.html

Ich bin da mit Schneier einer Meinung, daß unsere Gesellschaft auf
Gedeih und Verderb von Menschen abhängt, denen solche Machenschaften
stinken und sie unter enormem Risiko an die Öffentlichkeit tragen.

Whistleblower also.

Schlaufernsprecher das Adreßbuch nach Facebook exportieren, mache ich
mir über die total ausgefuchsten Zeroday-Exploits von irgendwelchen
Israelis, FBI, BKA, BND und LMAA vergleichsweise wenig Sorgen.
Kritischer in Sachen Facebook sind Cambridge Analytica und Nachfolger.
Da befördern kleine Lobbygruppen über gezieltes Targeting von
beeinflussbaren Personengruppen ganze Regierungen ins Amt. Facebook
liefert gegen Einwurf von Geld genau die dafür benötigen Infos.

Das eh. Ich hatte mehr an die zahllosen Datenlecks der jüngeren
Vergangenheit gedacht, wo immer mal wieder zehntausende Nutzerdaten
veruntreut wurden. Z. T. komplett mit Paßworten im Klartext oder
schwachen Hashes.

Aber bei den ganzen empathieverkrüppelten Zombies, die wie
ferngesteuert draußen rumlaufen [...], ist es vielleicht auch nicht
besonders schade.

Das Blöde ist: Auch die dürfen wählen, und sie wählen bevorzugt extrem.

Und selbst, wenn gerade keine Zeit zum Wählen ist, weil sie unbedingt
noch einen Like dalassen müssen, beeinflussen sie durch ihr Verhalten
doch unsere Konsumlandschaft: Schnell muß es gehen, einfach und
smartphonetauglich muß es sein, möglichst wenig Nachdenken ist gefragt.

Volker
 
Hergen Lehmann <hlehmann.expires.5-11@snafu.de> wrote:
Am 30.08.22 um 14:57 schrieb Marc Haber:
That being said, die Security, die Apple auf dem iPhone realisiert
hat, ist insbesondere im Vergleich zu einem handelsübliche Windows-PC
_richtig_ gut. Im Gegensatz dazu stinkt Android aus jeder
Gehäuseöffnung.

Deine Informationen sind stark veraltet.

Halbwegs aktuelle Android-Versionen (10+) arbeiten mit exakt dem selben
Sicherheitskonzept wie Apple, d.h.
- jede App läuft streng isoliert in einer Sandbox.
- jede App hat ihr eigenes, streng isoliertes Datenverzeichnis im Flash,
auf das nur diese App Zugriff hat.
- Datenaustausch ist für normale Apps nur über Medienobjekte (Bilder,
Videos, Musik, Dokumente) möglich. Nur Apps mit Sondergenehmigung von
Google dürfen noch auf das Dateisystem zugreifen, in welchem diese
Objekte liegen.

Zeig mir bitte ein Android-Telefon, bei dem man herausfindet, ob ein
Secure Enclave wie bei Apple vorhanden ist oder ob das nur in Software
simuliert wird, damit die Apps zufrieden sind.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
On Wed, 31 Aug 2022 13:16:30 +0200, Marc Haber wrote:
Hergen Lehmann <hlehmann.expires.5-11@snafu.de> wrote:
Am 30.08.22 um 14:57 schrieb Marc Haber:
That being said, die Security, die Apple auf dem iPhone realisiert
hat, ist insbesondere im Vergleich zu einem handelsübliche Windows-PC
_richtig_ gut. Im Gegensatz dazu stinkt Android aus jeder
Gehäuseöffnung.
Halbwegs aktuelle Android-Versionen (10+) arbeiten mit exakt dem selben
Sicherheitskonzept wie Apple, d.h.
- jede App läuft streng isoliert in einer Sandbox.
- jede App hat ihr eigenes, streng isoliertes Datenverzeichnis im Flash,
auf das nur diese App Zugriff hat.
- Datenaustausch ist für normale Apps nur über Medienobjekte (Bilder,
Videos, Musik, Dokumente) möglich. Nur Apps mit Sondergenehmigung von
Google dürfen noch auf das Dateisystem zugreifen, in welchem diese
Objekte liegen.
Zeig mir bitte ein Android-Telefon, bei dem man herausfindet, ob ein
Secure Enclave wie bei Apple vorhanden ist oder ob das nur in Software
simuliert wird, damit die Apps zufrieden sind.

Da hätte ich eine Frage: Wie sichert man eigentlich seine Daten aus so
einem Fort Knox heraus? Ist ja auch bestimmt alles verschlüsselt und
deswegen außerhalb ebendieses Smartphones unlesbar. Gibts da dann eine
Backup-App, die doch wieder mit Sondergenehmigung Zugriff erhält? Oder
schiebt einfach jede App ihre eigenen Daten in die große,
halbdurchsichtige Wolke, weil Datensicherung auf vom User
bereitsgestellte Speichersystem ja sowas von oldschool ist?

Volker
 
On Wed, 31 Aug 2022 13:16:30 +0200, Marc Haber wrote:
Zeig mir bitte ein Android-Telefon, bei dem man herausfindet, ob ein
Secure Enclave wie bei Apple vorhanden ist oder ob das nur in Software
simuliert wird, damit die Apps zufrieden sind.

Im Zweifel holt man sich einfach den Schlüssel raus:

https://bits-please.blogspot.com/2016/06/extracting-qualcomms-keymaster-keys.html

.. Aber auch bei Apple scheint es das eine oder andere Thema zu geben:

https://www.nowsecure.com/blog/2017/08/18/ios-secure-enclave-processor-security-risk/

Nein, das bedeutet natürlich (noch) nicht, daß man jetzt deswegen die
Daten aus dem geschützen Speicherbereiche extrahieren könnte.

Angesichts von...

https://security.googleblog.com/2021/03/announcing-android-ready-se-alliance.html
https://www.blog.google/products/pixel/titan-m-makes-pixel-3-our-most-secure-phone-yet/

.... und \"[...] with Pixel 3, weÿre advancing our investment in secure
hardware with Titan M, an enterprise-grade security chip custom built
for Pixel 3 to secure your most sensitive on-device data and operating
system [...] With Android 9, apps can now take advantage of StrongBox
KeyStore APIs to generate and store their private keys in Titan M
[...]\" sollte Dein Wunsch m. M. n. weitestgehend erfüllt sein.

Nein, Röntgenbilder von dem Ding und einen Code Review habe ich
natürlich nicht. Aber das Versprechen, daß es auch hier Layer-8-Issues
geben wird, die die ganze Mühe wieder zunichte machen.

Volker
 
Helmut Schellong, 2022-08-26 23:38:

On 08/26/2022 22:40, Arno Welzel wrote:
Helmut Schellong, 2022-08-25 18:25:

On 08/25/2022 18:17, Wolfgang Martens wrote:
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.


Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.

Das gilt für Smartphone-Lösungen ebenso.



Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.

Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.
Erforderte einen Anruf bei der Bank, dass ich ein neues Smartphone habe
und das gerne nutzen würde. War dann in ca. 15 Minuten erledigt. Auf dem
selben Weg hätte ich es auch sperren lassen können. Weiterhin efordert
auch die Nutzung des Smartphone, dass der Angreifer Benutzernamen,
Passwort und Pin für die Smartphone-App kennt.

> Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.

Du musst dann eine neue anfordern.

--
Arno Welzel
https://arnowelzel.de
 
Marc Haber, 2022-08-30 14:57:

\"Bernd W.\" <lesichnicht@gmx.com> wrote:
Am 26.08.22 um 15:09 schrieb Hans-Peter Diettrich:
Speziell die Postbank macht mir das Online-Banking schwer. Alle paar
Wochen wird mein Account gesperrt und ich muß mir eine neue PIN per Post
schicken lassen. Will mich vielleicht jemand ärgern und loggt sich mit
meiner ID und (natürlich) falschem Passwort so oft ein, bis mein Account
gesperrt wird? So eine Art DoS Attacke? :-(

bin auch bei der Postbank und nutze BestSign. Da muss ich den LogIn über
die BestSign App auf meinem iPhone mit meinem Fingerabdruck bestätigen.
Ist für mich komfortabel und kommt mir sicher vor.
Jede Aktion/Überweisung muss ich ebenso mit dem Fingerabdruck bestätigen.

Und wenn Dein Telefon kompromittiert ist, freut sich der Angreifer.

That being said, die Security, die Apple auf dem iPhone realisiert
hat, ist insbesondere im Vergleich zu einem handelsübliche Windows-PC
_richtig_ gut. Im Gegensatz dazu stinkt Android aus jeder
Gehäuseöffnung.

Hast Du dazu ein paar weiterführende Quellen? Insbesondere zur
Kompromittierung von Apps, die für Banking genutzt werden und dem
Abgreifen von TANs etc. bei den Apps durch Angreifer?


--
Arno Welzel
https://arnowelzel.de
 
Marcel Mueller, 2022-08-27 17:42:

Am 25.08.22 um 22:49 schrieb Thomas Einzel:
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Eigentlich nicht. Es bestimmen aber nicht primär Leute, die in _meinem_
Interesse handeln.


Die meisten Banken sind daher schon vor Jahren davon abgekommen.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

iTAN ist _wesentlich_ sicherer als TAN, denn eine per gefälschter
Webseite abgegriffene iTAN ist für alles außer der Transaktion, für die
sie gedacht war, wertlos. Eine einzelne TAN hingegen reicht, um das
Konto zu räumen.

Außer der Man-in-the-Middle schafft es, Dir anzuzeigen, dass Du 50 EUR
auf Konto X überweist, während er selbst tatsächlich 5000 EUR auf ein
anderes Konto schiebt und sich das durch die iTAN bestätigen lässt, die
Du auf der Fake-Website eingibst.

Die iTAN-Liste auf Papier zeigt Dir halt nicht an, welche Transaktion
damit genehmigt wird und Du musst darauf vertrauen, dass die Website
echt ist.

Bei vielen anderen Verfahren schickt die Bank selbst die vorgesehene
Transaktion über einen *anderen* Kanal als die Website, damit Du sie
nochmal prüfen kannst, bevor sie freigegeben wird. Und die
Wahrscheinlichkeit, dass ein Angreifer gleichzeitig Man-in-the-Middle
auf zwei Kanälen ist *und* sich auch noch gegenünber dem TAN-Generator
als legitimer Server für die Übermittlung von Transaktionsdaten
ausweisen kann, ist doch sehr gering.


--
Arno Welzel
https://arnowelzel.de
 
On 08/31/2022 15:48, Arno Welzel wrote:
Helmut Schellong, 2022-08-26 23:38:

On 08/26/2022 22:40, Arno Welzel wrote:
Helmut Schellong, 2022-08-25 18:25:

On 08/25/2022 18:17, Wolfgang Martens wrote:
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.


Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.

Das gilt für Smartphone-Lösungen ebenso.



Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.

Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.

Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.

Erforderte einen Anruf bei der Bank, dass ich ein neues Smartphone habe
und das gerne nutzen würde. War dann in ca. 15 Minuten erledigt. Auf dem
selben Weg hätte ich es auch sperren lassen können. Weiterhin efordert
auch die Nutzung des Smartphone, dass der Angreifer Benutzernamen,
Passwort und Pin für die Smartphone-App kennt.

Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.

Du musst dann eine neue anfordern.

Habe ich seit Jahren liegen.
Muß ich aktivieren, sobald ich das will.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Arno Welzel wrote:
Bei vielen anderen Verfahren schickt die Bank selbst die vorgesehene
Transaktion über einen *anderen* Kanal als die Website,

Hat sie bei der SMS Tan auch gemacht, mit Hinweis auf das Ziel der
Transaktion, und trotzdem war\'s unsicher.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Volker Bartheld <news2022@bartheld.net> wrote:
On Wed, 31 Aug 2022 13:16:30 +0200, Marc Haber wrote:
Zeig mir bitte ein Android-Telefon, bei dem man herausfindet, ob ein
Secure Enclave wie bei Apple vorhanden ist oder ob das nur in Software
simuliert wird, damit die Apps zufrieden sind.

Da hätte ich eine Frage: Wie sichert man eigentlich seine Daten aus so
einem Fort Knox heraus?

Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt. Das macht man
z.B. für private Schlüssel (neu eingeben bzw ein neues Schlüsselpaar
generieren und den öffentlichen Schlüssel neu zertifizieren lassen),
verschlüsselte Passworte (Passwort neu setzen) oder die
Vergleichsdaten für biometrische Identifikationsverfahren (neu
anlernen).

Im Verlustfall macht man die Aktion die in Klammern steht. Ein Backup
ist (a) unnötig und (b) kontraproduktiv.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Arno Welzel <usenet@arnowelzel.de> wrote:
Hast Du dazu ein paar weiterführende Quellen? Insbesondere zur
Kompromittierung von Apps, die für Banking genutzt werden und dem
Abgreifen von TANs etc. bei den Apps durch Angreifer?

Leider nein, ich kann nur die Konzepte bewerten. Ich bin alles andere
als ein Fan von Apple, aber die haben hier wirklich solide
konzeptionelle Arbeit abgeliefert.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
On Wed, 31 Aug 2022 19:36:40 +0200, Marc Haber wrote:
Arno Welzel <usenet@arnowelzel.de> wrote:
Hast Du dazu ein paar weiterführende Quellen? Insbesondere zur
Kompromittierung von Apps, die für Banking genutzt werden und dem
Abgreifen von TANs etc. bei den Apps durch Angreifer?
Leider nein, ich kann nur die Konzepte bewerten.

Hab irgendwann mal einenunterhaltsamen Def Con Talk gesehen, wo jemand
eine Android App entsprechend instrumentiert hat. Schien mir - als
bekennender Android- und Java-Laie - gar nicht so extrem kompliziert zu
sein. Leider spuckte mir jetzt eine schnelle Suche nach \"hack android
app trojan\" nichts darauf Passendes aus, die Resultate trotzdem sehr
aufschlußreich.

Nach Blick auf...
https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html
.... würde ich beim Google Play Store jedenfalls ziemlich vorsichtig
sein, etliche deutsche Banken unter den Zielen.

Volker
 
On Wed, 31 Aug 2022 19:31:12 +0200, Marc Haber wrote:
Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt. Das macht man
z.B. für private Schlüssel (neu eingeben bzw ein neues Schlüsselpaar
generieren und den öffentlichen Schlüssel neu zertifizieren lassen),
verschlüsselte Passworte (Passwort neu setzen) oder die
Vergleichsdaten für biometrische Identifikationsverfahren (neu
anlernen).

Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Volker
 
On Wed, 31 Aug 2022 19:36:40 +0200, Marc Haber wrote:
Arno Welzel <usenet@arnowelzel.de> wrote:
Hast Du dazu ein paar weiterführende Quellen? Insbesondere zur
Kompromittierung von Apps, die für Banking genutzt werden und dem
Abgreifen von TANs etc. bei den Apps durch Angreifer?
Leider nein, ich kann nur die Konzepte bewerten.

Hab irgendwann mal einen unterhaltsamen Def Con Talk gesehen, wo jemand
Android Apps entsprechend instrumentiert hat. Schien mir - als
bekennender Android- und Java-Laie - gar nicht so extrem kompliziert zu
sein. Leider spuckte mir jetzt eine schnelle Suche nach \"hack android
app trojan\" nichts darauf Passendes aus, die Resultate trotzdem sehr
aufschlußreich.

Nach Blick auf...
https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html
.... würde ich beim Google Play Store jedenfalls ziemlich vorsichtig
sein, etliche deutsche Banken unter den Zielen.

Volker
 
Helmut Schellong, 2022-08-31 16:08:

On 08/31/2022 15:48, Arno Welzel wrote:
Helmut Schellong, 2022-08-26 23:38:
[...]
Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.

Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.

Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.

Ja und? Die Namen der Zitierten standen dabei.

[...]
Du musst dann eine neue anfordern.


Habe ich seit Jahren liegen.
Muß ich aktivieren, sobald ich das will.

Ja - vermutlich hast Du gleich 5 Stück angefordert, damit Du immer
Ersatz bis zum Lebensende hast.

Wie auch immer - mein Smartphone ist eines der Geräte, dass ich täglich
nutze und daher auch *sofort* merke, wenn es weg ist. Also nicht erst
nach 8-12 Stunden sondern in der Regel innerhalb von 1 Stunde oder
weniger. Selbst wenn ich es wirklich verlieren sollte (was mir in meinem
ganzen Leben noch nie passiert ist mit keinem meiner mobilen Geräte oder
Schlüssel) oder es mir gestohlen werden sollte (was mir auch noch nie
passiert ist), wäre das maximal ein Anruf bei der Bank. Und mit dem
Smartphone könnte ein Dieb oder Finder auch nicht viel anfangen, weil er
mindestens eine Pin benötigt, um es zu entsperren und dann innerhalb der
Bank-relevanten Apps nochmal Fingerabdruck *und* eine andere Pin *und*
er müsste sich online mit einem weiteren Benutzernamen *und* einer einem
anderen Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme
ich außerdem eine Benachrichtigung per E-Mail und kann der
selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.

--
Arno Welzel
https://arnowelzel.de
 
Volker Bartheld, 2022-09-01 01:18:

On Wed, 31 Aug 2022 19:31:12 +0200, Marc Haber wrote:
Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt. Das macht man
z.B. für private Schlüssel (neu eingeben bzw ein neues Schlüsselpaar
generieren und den öffentlichen Schlüssel neu zertifizieren lassen),
verschlüsselte Passworte (Passwort neu setzen) oder die
Vergleichsdaten für biometrische Identifikationsverfahren (neu
anlernen).

Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Gerade bei Banking-Apps mache ich mir am wenigsten Sorgen. Für Angreifer
ist das komplett uninteressant, da viel zu aufwendig. Und dass eine Bank
im Ernstfall *nicht* glaubt, dass man nicht vorhatte, sein komplettes
Guthaben samt Dispo-Verfügungsrahmen auf irgendwelche dubiosen Konten zu
transferieren, ist doch eher unwahrscheinlich.


--
Arno Welzel
https://arnowelzel.de
 
Volker Bartheld, 2022-09-01 01:19:

[...]
Nach Blick auf...
https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html
... würde ich beim Google Play Store jedenfalls ziemlich vorsichtig
sein, etliche deutsche Banken unter den Zielen.

Na ja - das übliche Muster halt. Malware wird bevorzugt in \"Free XYZ
Supertolle App\" verpackt, die dann von so \"seriösen\" Anbietern wie
\"Supertolle App Free LLC\" angeboten wird. Oder Apps, die den echten Apps
sehr ähnlich sehen, aber zusätzlich Malware enthalten.

Weiterer Weg sind vermeintliche Ankündigungen via E-Mail oder Messenger
für Paketzustellungen oder vermeintliche Kontosperren, auf die man
unbedingt reagieren soll.

Wer auf sowas reinfällt, hat Pech, ja - aber das ist alles nicht neu und
keine Smartphone-spezifische Problematik.


--
Arno Welzel
https://arnowelzel.de
 
Axel Berger, 2022-08-31 17:54:

Arno Welzel wrote:
Bei vielen anderen Verfahren schickt die Bank selbst die vorgesehene
Transaktion über einen *anderen* Kanal als die Website,

Hat sie bei der SMS Tan auch gemacht, mit Hinweis auf das Ziel der
Transaktion, und trotzdem war\'s unsicher.

Ja, weil man sich eine zweite SIM-Karte ergauenern konnte, so dass nicht
mehr Du die SMS bekommst, sondern der Angreifer, der sich vorher schon
die anderen Zugangsdaten beschafft hatte.


--
Arno Welzel
https://arnowelzel.de
 

Welcome to EDABoard.com

Sponsor

Back
Top