http://forum.geizhals.at/feed.jsp?id=901545 Geizhals-Forum http://forum.geizhals.at/t901545,8043813.html#8043813 <a href="https://netzpolitik.org/2020/citizen-lab-dutzende-iphones-von-journalistinnen-gehackt/" rel="noopener" target="_blank">https:/<wbr/>/<wbr/>netzpolitik.org/<wbr/>2020/<wbr/>citizen-lab-dutzende-iphones-von-journalistinnen-gehackt/<wbr/></a> <br><br>Nach diesem Artikel würde ich sagen, dass ein Handy GENERELL nicht mehr verwendet werden sollte, um sich damit bei seiner "Bank" anzumelden.<br><br>Es ist/war möglich, die iPhones der Betroffenen Journalisten mit einer "simplen" iMessage zu übernehmen. Keinerlei Handlung des Nutzers war erforderlich.<br><br>Daher in Zukunft das Handy ausschließlich als MFA Device verwenden und alle Zahlungen vom PC aus durchführen. <br/> Tue, 22 Dec 2020 10:10:24 GMT http://forum.geizhals.at/t901545,8043813.html#8043813 Paulas_Papa 2020-12-22T10:10:24Z http://forum.geizhals.at/t901545,8043695.html#8043695 Meine Interpretation dessen, was da steht:<br><br>Sie konnten tausende Handys (vermutlich über eine giftige App) übernehmen und sind damit zu User & Passwort der diversen Banking Apps gekommen. Sollte die Bank zusätzliche lokale Zertifikate am Handy nutzen, um „sicherzustellen“, dass es ein legaler Client ist, wurden diese ebenso gestohlen.<br><br>Mit den Handy-Emulatoren konnten sie jetzt beliebig oft und unerkannt simulieren, dass der User sich exakt mit diesem Handy bei der App anmeldet und eine Zahlung aufgibt.<br><br>Dann passiert ein „Wunder“, indem sie die dazugehörige SMS abfangen konnten. Keine Ahnung, ob man mit guter Software auf einem Handy eine SIM dermaßen auslesen kann, dass man sie hinterher quasi „emulieren“ kann.<br><br>Und die SMS haben sie im Emulator eingespielt und damit die Zahlung autorisiert. <br/> Mon, 21 Dec 2020 18:02:36 GMT http://forum.geizhals.at/t901545,8043695.html#8043695 Paulas_Papa 2020-12-21T18:02:36Z http://forum.geizhals.at/t901545,8043691.html#8043691 Meine Interpretation dessen, was da steht:<br><br>Sie konnten tausende Handys (vermutlich über eine giftige App) übernehmen und sind damit zu User & Passwort der diversen Banking Apps gekommen. Sollte die Bank zusätzliche lokale Zertifikate am Handy nutzen, um „sicherzustellen“, dass es ein legaler Client ist, wurden diese ebenso gestohlen.<br><br>Mit den Handy-Emulatoren konnten sie jetzt beliebig oft und unerkannt simulieren, dass der User sich exakt mit diesem Handy bei der App anmeldet und eine Zahlung aufgibt.<br><br>Dann passiert ein „Wunder“, indem sie die dazugehörige SMS abfangen konnten. Keine Ahnung, ob man mit guter Software auf einem Handy eine SIM dermaßen auslesen kann, dass man sie hinterher quasi „emulieren“ kann.<br><br>Und die SMS haben sie im Emulator eingespielt und damit die Zahlung <font color="#FF00FF"><span class="piep" title="authorisiert">*TR&Ouml;T*</span></font>. <br/> Mon, 21 Dec 2020 18:02:36 GMT http://forum.geizhals.at/t901545,8043691.html#8043691 Paulas_Papa 2020-12-21T18:02:36Z http://forum.geizhals.at/t901545,8043689.html#8043689 Ja, das ist richtig.<br><br>Du mußt <br>1) User<br>2) Passwort<br>3) MFA Kanal für den User<br><br>besitzen. Dann bist du drin.<br><br>Aber leider gibt es unterschiedlich gute MFA Kanäle. SMS ist der bekannt schlechteste davon, weil er ganz leicht gespooft werden kann. Was offensichtlich hier passiert ist. <br><br>Daher atmen einige Banken gerade sehr auf, weil sie vor Jahren schon begonnen haben, die zwar leichte und angenehme aber offensichtlich unsichere SMS Variante durch zertifikatbasierte Lösungen zu ersetzen.<br><br><br/> Mon, 21 Dec 2020 17:41:46 GMT http://forum.geizhals.at/t901545,8043689.html#8043689 Paulas_Papa 2020-12-21T17:41:46Z http://forum.geizhals.at/t901545,8043625.html#8043625 Meine Erfahrung aus fast 15 Jahren Praxis. Das Problem ist meistens nicht die Technik sondern der Mensch.<br>Die Systeme werden hochgerüstet nur damit dann später bereitwillig übers Telefon sämtlich Daten abgephisht werden.<br/> Mon, 21 Dec 2020 12:13:17 GMT http://forum.geizhals.at/t901545,8043625.html#8043625 mb_82 2020-12-21T12:13:17Z http://forum.geizhals.at/t901545,8043600.html#8043600 <blockquote><em>Nur die Bank-Zugangsdaten.</em></blockquote><br><br>Und die musst du erstmal haben. Die kriegst du aus einer SMS nicht raus.<br><br>Verstehst du überhaupt, was eine 2FA ist? Ich habe nicht den Eindruck.<br><br>Du brauchst die Zugangsdaten UND einen Authentifizierungscode. Wenn beides von/auf einem Gerät übertragen wird, ist das schlecht. Sind es zwei getrennte Geräte, ist das gut.<br/> Mon, 21 Dec 2020 10:28:54 GMT http://forum.geizhals.at/t901545,8043600.html#8043600 hellbringer 2020-12-21T10:28:54Z http://forum.geizhals.at/t901545,8043602.html#8043602 <blockquote><em>Nur die Bank-Zugangsdaten.</em></blockquote><br><br>Und die musst du erstmal haben. Die kriegst du aus einer SMS nicht raus.<br><br>Verstehst du überhaupt, was eine 2FA ist? Ich habe nicht den Eindruck.<br><br>Du brauchst die Zugangsdaten UND einen Authentifizierungscode. Wenn beides von/auf einem Gerät übertragen wird, ist das schlecht. Sind es zwei getrennte Geräte, ist das gut.<br><br>Also wenn richtig verwendet, musst du die Zugangsdaten von z.B. dem PC stehlen, als auch den Authentifizierungscode vom Handy. Du musst zwei Geräte angreifen.<br><br>Wenn allerdings die Banking-App am Smartphone verwendet wird, an das auch der Authentifizierungscode geschickt wird, brauchst du nur ein einziges Gerät erfolgreich angreifen.<br/> Mon, 21 Dec 2020 10:28:54 GMT http://forum.geizhals.at/t901545,8043602.html#8043602 hellbringer 2020-12-21T10:28:54Z http://forum.geizhals.at/t901545,8043601.html#8043601 <blockquote><em>Nur die Bank-Zugangsdaten.</em></blockquote><br><br>Und die musst du erstmal haben. Die kriegst du aus einer SMS nicht raus.<br><br>Verstehst du überhaupt, was eine 2FA ist? Ich habe nicht den Eindruck.<br><br>Du brauchst die Zugangsdaten UND einen Authentifizierungscode. Wenn beides von/auf einem Gerät übertragen wird, ist das schlecht. Sind es zwei getrennte Geräte, ist das gut.<br><br>Also wenn richtig verwendet, musst du die Zugangsdaten von z.B. dem PC stehlen, als auch den Authentifizierungscode vom Handy. Du musst zwei Geräte angreifen.<br><br>Wenn allerdings die Banking-App am Smartphone verwendet wird, an das auch der Authentifizierungscode gechickt wird, brauchst du nur ein einziges Gerät erfolgreich angreifen.<br/> Mon, 21 Dec 2020 10:28:54 GMT http://forum.geizhals.at/t901545,8043601.html#8043601 hellbringer 2020-12-21T10:28:54Z http://forum.geizhals.at/t901545,8043599.html#8043599 <blockquote><em>Nur die Bank-Zugangsdaten.</em></blockquote><br><br>Und die musst du erstmal haben. Die kriegst du aus einer SMS nicht raus.<br><br>Verstehst du überhaupt, was eine 2FA ist? Ich habe nicht den Eindruck.<br/> Mon, 21 Dec 2020 10:28:54 GMT http://forum.geizhals.at/t901545,8043599.html#8043599 hellbringer 2020-12-21T10:28:54Z http://forum.geizhals.at/t901545,8043598.html#8043598 <blockquote><em>Nur die Bank-Zugangsdaten.</em></blockquote><br><br>Und die musst du erstmal haben. Die kriegst du aus einer SMS nicht raus.<br/> Mon, 21 Dec 2020 10:28:54 GMT http://forum.geizhals.at/t901545,8043598.html#8043598 hellbringer 2020-12-21T10:28:54Z http://forum.geizhals.at/t901545,8043595.html#8043595 Ich fürchte, das ist wurscht.<br/> Mon, 21 Dec 2020 10:18:51 GMT http://forum.geizhals.at/t901545,8043595.html#8043595 hhetl 2020-12-21T10:18:51Z http://forum.geizhals.at/t901545,8043593.html#8043593 Nur die Bank-Zugangsdaten. Einen PC (bzw. Browser) kann ich dann schon emulieren, da brauche ich keinen Zugriff auf den echten PC des Opfers. Es reicht, den MFA-Kanal abzufangen, der zu den Bank-Credentials passt.<br/> Mon, 21 Dec 2020 10:18:16 GMT http://forum.geizhals.at/t901545,8043593.html#8043593 hhetl 2020-12-21T10:18:16Z http://forum.geizhals.at/t901545,8043592.html#8043592 Deswegen schreibt man den PIN auch auf ein Post-it und pickt den auf die Karte. Noob <img src="teeth.gif" width="16" height="19" align="absmiddle" alt="|-D"/><br/> Mon, 21 Dec 2020 10:16:52 GMT http://forum.geizhals.at/t901545,8043592.html#8043592 ein Kritiker 2020-12-21T10:16:52Z http://forum.geizhals.at/t901545,8043589.html#8043589 banking auf dem Device zu machen, wo man den PIN hinbekommt, ist etwa so intelligent, wie dich den Bankomatcode auf die Bankomatkarte zu schreiben!<br/> Mon, 21 Dec 2020 10:09:00 GMT http://forum.geizhals.at/t901545,8043589.html#8043589 AVS_reloaded 2020-12-21T10:09:00Z http://forum.geizhals.at/t901545,8043587.html#8043587 <blockquote><em> Was hindert mich, auf einem "PC" eine Überweisung anzuleiern und sie<br>anschliessend mit gespooftem Handy zu autorisieren?<br></em></blockquote><br><br>Du musst auch die Zugangsdaten vom PC bekommen, also zwei Geräte angreifen.<br/> Mon, 21 Dec 2020 10:06:16 GMT http://forum.geizhals.at/t901545,8043587.html#8043587 hellbringer 2020-12-21T10:06:16Z http://forum.geizhals.at/t901545,8043579.html#8043579 Hmja, grundsätzlich hast Du Recht. Aber eigentlich ist es aber egal, auf welchem Gerät/Kanal die Überweisung durchgeführt wird (kann auch ein PC mit Browser sein), wenn das MFA Device/Kanal kompromittiert ist.<br><br>Was hindert mich, auf einem "PC" eine Überweisung anzuleiern und sie anschliessend mit gespooftem Handy zu autorisieren?<br/> Mon, 21 Dec 2020 09:52:43 GMT http://forum.geizhals.at/t901545,8043579.html#8043579 hhetl 2020-12-21T09:52:43Z http://forum.geizhals.at/t901545,8043574.html#8043574 Das sehe ich genauso! Ohne Air Gap zwischen den Geräten ist der MFA Zauber relativ wertlos.<br/> Mon, 21 Dec 2020 09:46:19 GMT http://forum.geizhals.at/t901545,8043574.html#8043574 Paulas_Papa 2020-12-21T09:46:19Z http://forum.geizhals.at/t901545,8043572.html#8043572 Beeindruckend. Mehr technische Details würden mich auch interessieren.<br><br>Da steht etwas mehr, aber fehlt auch noch einiges: <a href="https://securityintelligence.com/posts/massive-fraud-operation-evil-mobile-emulator-farms/" rel="noopener" target="_blank">https:/<wbr/>/<wbr/>securityintelligence.com/<wbr/>posts/<wbr/>massive-fraud-operation-evil-mobile-emulator-farms/<wbr/></a> <br/> Mon, 21 Dec 2020 09:41:01 GMT http://forum.geizhals.at/t901545,8043572.html#8043572 mko 2020-12-21T09:41:01Z http://forum.geizhals.at/t901545,8043559.html#8043559 <blockquote><em> Bestätigt mich jedoch in der Erkenntnis, dass SMS kein sicherer Kanal für 2FA<br>ist.</em></blockquote><br><br>Das bestätigt IMHO hauptsächlich, dass 2FA mehr oder weniger wertlos ist, wenn alles auf dem selben Gerät passiert. Wenn das Gerät kompromittiert ist, kann jede Form von Authentifizierungscode abgefangen werden, nicht nur SMS-Nachrichten.<br/> Mon, 21 Dec 2020 09:17:47 GMT http://forum.geizhals.at/t901545,8043559.html#8043559 hellbringer 2020-12-21T09:17:47Z http://forum.geizhals.at/t901545,8043556.html#8043556 <a href="https://arstechnica.com/information-technology/2020/12/evil-mobile-emulator-farms-used-to-steal-millions-from-us-and-eu-banks/" rel="noopener" target="_blank">https:/<wbr/>/<wbr/>arstechnica.com/<wbr/>information-technology/<wbr/>2020/<wbr/>12/<wbr/>evil-mobile-emulator-farms-used-to-steal-millions-from-us-and-eu-banks/<wbr/></a> <br><br>Leider lässt der Artikel sehr wenig darüber aus, woher die anscheinend verwendeten Credentials stammen (alles Phishing?), noch, wie die SMS abgefangen wurden.<br><br>Bestätigt mich jedoch in der Erkenntnis, dass SMS kein sicherer Kanal für 2FA ist. Neu (für mich) ist dabei, dass das offensichtlich auch ohne SIM-Swap funktioniert.<br/> Mon, 21 Dec 2020 08:59:10 GMT http://forum.geizhals.at/t901545,8043556.html#8043556 hhetl 2020-12-21T08:59:10Z