• Banken bieten Kunden an, Überweisungen über das Smartphone zu tätigen. Dazu wird unter anderem das Photo-Tan-Verfahren als App angeboten.

• Dabei werden Auftragsdaten in einer bunten Grafik verschlüsselt.
• Zwei IT-Sicherheitsforschern ist es nun gelungen, auf die Überweisungen zuzugreifen - und Geld auf ein fremdes Konto zu überweisen. Der Kunde bekommt davon nichts mit.

Schnell, einfach und sicher. Mit diesem Marketing-Spruch versucht die Deutsche Bank Kunden davon zu überzeugen, dass deren per Smartphone überwiesenes Geld geschützt ist.
Alles, was Kunden brauchen, sind demzufolge zwei Apps. In der Banking-App werden die Daten eingegeben, also Empfängerkonto und Geldbetrag. Anschließend kann der Kunde eine Tan generieren - diese wird über eine zweite App per Photo-Tan-Verfahren errechnet.


"Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagt Haupert. Erst wenn Nutzer ihren Kontostand auf dem Rechner überprüfen, fällt der Betrug auf. Mit einem separaten Gerät, zum Beispiel per Überweisung über einen Web-Browser, wäre dieser Angriff nicht möglich, da die manipulierte Tan auffliegen würde.

Der Angriff der beiden Sicherheitsforscher ist an eine Bedingung geknüpft. Auf dem Smartphone der Betroffenen muss bereits eine mit Viren infizierte App installiert sein. Das ist nicht so ohne weiteres möglich. Allerdings gab es bereits Fälle, dass erfolgreich Schadsoftware installiert wurde. Manche wurden, als andere App getarnt, sogar zwischenzeitlich im Google-App-Store angeboten und hätten auf 90 Prozent aller Android-Smartphones funktioniert.
"Momentan ist es für Kriminelle noch einfacher, auf andere Art und Weise an Geld zu kommen", sagt Haupert. Aber er geht davon aus, dass sich Cyberkriminelle in Zukunft auf Banking-Apps fokussieren werden. Schließlich werde der Markt größer, das Smartphone ersetzt zunehmend die Bankfiliale.
"Online-Banking wird immer mobiler"


Bank gebe zudem auf ihrer Webseite Sicherheitshinweise..
Üblicherweise präsentieren Hacker, deren Ziel hohe Sicherheit ist, Forschungsergebnisse betroffenen Unternehmen. Diese können die Lücken schließen, so dass die Kunden nicht mehr betroffen sind, wenn die Schwachstellen publik werden.
Haupert und Müller haben sich dagegen entschieden. "Das ist kein technisches, sondern ein konzeptionelles Problem. Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten", behauptet Haupert. Anders gesagt: Das Verfahren sei unsicher, auch wenn man es richtig anwende.


Du hast Fragen zu diesem Video?
Bei Fragen - einfach fragen: k.roemisch@mfp24.de


MFP Manufaktur für Finanzplanung
Schubert Straße 22a
55271 Stadecken-Elsheim

Tel.: 06136 75415 96
E-Mail: service@mfp24.de
[ Ссылка ]

Registrierungsnummer gem. § 11a GewO: D-PNTA-ZCQBO-32
Ich bin Versicherungsmakler im Sinne des § 34dGewO und unter der Nummer D-PNTA-ZCQBO-32 bei der IHK e. V.,
Breite Straße 29, 10178 Berlin, Telefon 0-180-500 585-0 registriert.
Registerabruf: www.vermittlerregister.info


Ich unterhalte keine unmittelbare oder mittelbare Beteiligung von mehr als 10% der Stimmrechte oder des Kapitals an einer Versicherungsgesellschaft. Keine Versicherungsgesellschaft hält eine unmittelbare oder mittelbare Beteiligung von mehr als 10% der Stimmrechte oder des Kapitals an meiner Unternehmung.

Schlichtungsstellen:

Versicherungsombudsmann e. V.
Postfach 08 06 32
10006 Berlin

Ombudsmann für private Kranken- und Pflegeversicherung
Kronenstraße 13
10117 Berlin

свернуть