Tag Archives: unsicher

mTan Verfahren nicht mehr sicher und damit die Multifaktor-Auth?

Seit einigen Wochen liest mal auf Blogs und in der Presse immer wieder, dass das mTan Verfahren der Banken für das Onlinebanking geknackt worden ist. Beim mTan Verfahren muss der Kunde zwei unterschiedliche Kommunikationswege nutzen, um zum Beispiel eine Onlineüberweisung zu tätigen. Der Kunde nutzt auf der einen Seite den Browser seines Laptops oder die App seiner Bank und auf der anderen Seite sein Handy, welches SMS empfangen kann. Bevor der Kunde nun die Überweisung losschicken kann, erhält er einen Token (Code/Zahlenkombination) an sein Handy per SMS und kann nach eingabe die Überweisung abschicken.

Ähnlich ist dies bei der Multifaktor Authentifizierung. Nach Eingabe des Benutzernamens und des Passwortes erhalte ich per SMS oder per Sprachansage einen Code, den ich in die Maske eingeben muss. Erst wenn der Code korrekt ist, werde ich zum Beispiel in mein Office365 Portal weitergeleitet.

 

Der Hack
Laut eines Zeitungsartikels haben es Hacker geschafft einen Kunden mittels technischer EInrichtungen, wahrscheinlich einem Trojaner, zu überwachen und Informtionen unter anderem seine Telefonnummer auszuspähen. Sie hackten mit den Informationen zunächst sein Girokonto und verschafften sich Zugang zu diesem, welches mit dem Onlinebanking verbunden ist.

Mit den Informationen aus der Ausspähaktion orderten die Täter anschließend eine Simkarte, wahrscheinlich eine Doppelte. Diese holten sie ohne den Personalausweis vorzuzeigen bei einem O2 Shop in Köln an und fingen an Überweisungen auf ein dubioses Konto zu machen. So erbeuteten Sie gut 19800 Euro in einem Fall.

 

Konsequenzen für Multi-Auth
Die Konsequenzen oder besser die Möglichkeiten, dass diese Methode über einen obenen beschriebenen Weg umgebar ist, war einigen Personen schon klar. Aber das der Hack so einfach ist und eigentlich die Schwachstellen der Mobilfunkunternehmen bzw. der lokalen Shops ausnutzt, konnte man sich in dem Ausmaß nicht denken.

Was heißt dies nun für die Multi-Auth bei Office 365? Im Grunde ist das Prinzip technisch nicht ohne weiteres hackbar, aber wer Benutzername und Passwort kennt und dazu noch die Telefonnummer des Smartphones wie wahrscheinlich auch die Vertragsnummer kann auf die Konten zugreifen.

In der Konsequenz ist die Methode wesentlich sicherer als nur den Benutzernamen und ein Passwort zu nutzen, aber wir müssen uns klar werden, dass alles hackbar ist und auch wenn es nur über den Umweg eines unvorsichtigen Angestellten eines Shops ist. Also achtet auf eure Smartphones, kontrolliert Bestellungen von Simkarten im Protal des Anbieters oder versucht die Option auszuschauten.

Fazit:
Die Multi-Faktor-Auth. ist eine Hürde, eine große, aber es ist eben nur eine Hürde. Wir müssen aufpassen und vorsichtig sein.

 

 

Beispiele für Quellen:
http://www.chip.de/news/Online-Banking-unsicher-Hacker-knacken-mTAN_69725604.html

http://www.spiegel.de/netzwelt/web/online-banking-bka-und-verbraucherschuetzer-warnen-vor-mtan-a-970003.html

http://www.faz.net/aktuell/finanzen/meine-finanzen/geld-ausgeben/nachrichten/online-banking-bankgeschaefte-uebers-handy-sind-unsicher-12678482.html

WhatsApp bleibt unsicher

 

Wie SpiegelOnline und mehrere Fachmagazine heute berichteten, ist und bleibt der SMS ähnliche Dienst WhatsApp unsicher. Immer noch können Unbefugte über das Programm Zugang zum gesamten Smartphone erhalten. Alle Bemühungen der Entwickler von WhatsApp sind fehlgeschlagen.

Betroffen sind alle großen Plattformen wie Apples AppStore, GooglePlay oder auch der WindowsPhone Store von Microsoft.

Besonders bei IOs Handy und bei Android Handys sei der unbefugte Zugang zum Smartphone besonders einfach. Es genüge deren MAC-Adresse, bzw deren IMEI Seriennummer um Zugang über die Software auf das Smartphone zu bekommen, berichtete Heise Security.

Erneut Account Klau bei Whats-App  (heise) 29.11.2012

WhatsApp geht gegen Entwickler vor (heise) 29.11.2012

WhatsApp fast ungeschützt (heise) 14.11.2012

Aus rechtlicher Sicht könnte man davon ausgehen, dass jede Nutzerin und jeder Nutzer ein aus ihrer Sicht bekanntes Risiko eingehen, wenn sie diese App auf Ihrem Smartphone installieren. Wenn bereits mehrfach auch über allgemeine Medien wie SpiegelOnline berichtet wird, ist das Sicherheitsrisiko über die Fachwelt auch an den klassischen Konsumen durchgedrungen.
Eine andere Sicht könnte es sein, dass der klassische Konsument das Sicherheitsrisiko durch fehlenden Sachverstand nicht einschätzen kann.

Interessante werden diese Fragestellungen und Meinungen, wenn man sich vor Augen führt, dass viele Anwälte, Ärzte, Polizisten und vor allem viele Unternehmen heute als Diensthandys Smartphones einsetzen. Dieser Blick eröffnet eine für Anwälte sehr lohnende Sicht. Wer möchte diesbezüglich nicht einmal die Frage vor Gericht klären lassen, wer für Schäden durch Unternehmensspionage über schädliche Apps haftet?