Fremde TANs landen per SMS auf meinem Handy !?

Sicherheitslücke Fidorbank

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2015
Betreff:

Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 30.04.2015 - 20:56 Uhr  ·  #1
Liebe Leute,
im vergangenen Jahr bekam ich teils mehrfach am Tag von der Fidorbank fremde mTans auf mein Handy geschickt (für Goldankauf, Freischaltung von Smart Prepaid Mastercard oder zur Handynummer-Verifizierung) , und jetzt seit gestern wieder - obwohl ich gar kein Kunde bei der Fidorbank bin. :bandit:

Meine Vermutung: Ich habe eine sehr eingängige "Max Mustermann" Handynummer (mit kompletter Zahlenreihe) also sehr leicht merkbar und diese Nummer ist vermutlich als Platzhalter bei der Fidorbank irgendwo eingetragen. Anrufe bei Fidors Hotline verliefen damals fruchtlos. Man sagte mir, man könne da nichts machen.... erst die Kontaktaufnahme mit dem Landesamt für Datenschutz in München brachte im vergangenen Jahr - bis gestern - Ruhe.

Gestern kam wieder eine SMS mit einer mTan von Fidor.

Das darf doch nicht sein! :'(


Übrigens, das gleiche Problem gab es bei Volkswagen/ Wolfsburg: Im Sept.-Okt.14 Ich erhielt wildfremde Reservierungs- und Buchungsnummern für Fahrzeuge. Das Problem wurde nach einem Anruf in Wolfsburg geklärt. Von dort kam bislang nichts mehr.
Benutzer
Avatar
Geschlecht:
Beiträge: 6692
Dabei seit: 06 / 2008
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 01.05.2015 - 06:40 Uhr  ·  #2
Es handelt sich nicht um eine Sicherheitslücke, denn du hast ja keinerlei Zugriff auf die entsprechenden Konten.
(vergleichbar mit einem "herkömmlichen Schlüsselbund", wenn du nicht die Adresse der Immobilie hast)

schreib die Fidor an, diese sollen dies erneut prüfen
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2015
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 01.05.2015 - 08:21 Uhr  ·  #3
Danke für die schnelle Antwort.
Es ist zwar richtig, dass ich bei der mTAN keine weiteren Daten erhalte, nur bin ich mir nicht sicher, ob nicht mit entsprechend krimineller Energie Unfug getrieben werden kann. Ich würde es jedenfalls nicht gutheißen, wenn meine Bank die TANs nicht nur mir zuschickt.
Nun, ich werde erneut Kontakt zur Fidorbank aufnehmen.
Benutzer
Avatar
Geschlecht:
Beiträge: 6692
Dabei seit: 06 / 2008
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 01.05.2015 - 10:22 Uhr  ·  #4
evtl. screenshots der SMS (mTAN) mit einreichen

Zitat geschrieben von Musik
Unfug getrieben werden kann.

wie soll das funktionieren?
geht man von einem "normalen Ablauf" aus, benötigt man doch folgendes:

a.) Benutzerkennung
b.) Passwort
c.) Dateneingabe (Zahlungsdaten), auf Grund dessen die mTAN generiert wird
c1.) mTAN Übersendung
c2.) die mTAN ist idR lediglich ca. 5 Minuten gültig

selbst wenn man die gleichen Daten nochmals parallel ins System eingeben würden, würde die vom System gewünschte < > übersandte mTAN nicht passen.

Unfug wäre möglich, in der Form, dass die Daten a+b ausgespäht wurden (bspw. Unachtsamkeit, phishing, Internet-Cafe) und ein Sim-Clone bestellt wurde.
Denn somit wären alle Daten im Besitz einer Drittenperson und das EDV System, kann ja nicht feststellen ob rechtmäßiger User = eingebender User ist.


Grundsätzliche würde ich jedoch evtl. überdenken die Rufnummer zu wechseln, zumal heutzutage ja sowieso viel über "internes Telefonbuch" gewählt wird und die Rufnummer/Ziffern-Folge kaum noch relevant ist.
Nicht dass ein Identität-Diebstahl erfolgt, der dann tiefgreifender wäre.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2015
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 02.05.2015 - 00:46 Uhr  ·  #5
Gut, die Aussagen sind für mich nachvollziehbar. Über Möglichkeiten und Gefahren, die ein Hacker birgt um an die anderen relevanten Bestandteile heranzukommen kenne ich mich nicht aus.
Da die Handynummer eine veröffentlichte Geschäftsnummer ist, kommt ein Wechsel nicht in Frage. Für mich war die Anfrage hier auch eher eine Sicherheitsfrage und die Verwunderung des laxen Umgangs, den mir die Hotline im vergangenen Jahr vermittelte.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 02.05.2015 - 02:24 Uhr  ·  #6
Hallo Musik,
solange die mTAN keine Daten enthält, dann ist es ja eher eine Belästigung. Ich frag mich nur, warum hier offensichtlich als Platzhalter deine Nummer verwendet wird. Offensichtlich mag das Fidor-System keine leeren Felder...
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2015
Betreff:

Re: Fremde TANs landen per SMS auf meinem Handy !?

 · 
Gepostet: 02.05.2015 - 13:57 Uhr  ·  #7
Das ist richtig, mir war's eher eine starke Belästigung. Eine Anfrage beim Provider ergab, dass eine Absendernummer für SMS nicht gesperrt werden kann.
Aufgrund der veröffentlichten einprägsamen Geschäftsrufnummer kommt ein SIM-Kartenwechsel auch nicht infrage.

Übrigens ist es bei der SMS mit mTAN am Mittwoch geblieben und es folgten nicht wie damals x weitere. Vielleicht (hoffentlich) ist's diesmal nur ein Einzelfall....ich warte die Antwort der Fidorbank ab.
Gewählte Zitate für Mehrfachzitierung:   0