TAN-Betrug? Projektarbeit

[Yamado]

Hallo alle zusammen!

Ich schreibe demnächst mein Projektarbeit. Das ist eine Abschlussarbeit und geht über das Thema:

"Gefahren im Internet an ausgesuchten Beispielen - Schwerpunkt Smartphones"


Kurz zur Sache. Ich wurde letztens von einer alten Freundin angeschrieben. Sie wollte meine Nummer haben und ich habe mir dabei nichts gedacht.
Jedoch kam nach 2 Minuten eine Sms in dem folgendes drauf stand:

"Um EUR 29,99 für Ihren Service ZONG payments zu bezahlen, verwenden Sie bitte nachfolgende TAN....

Sie wollte das ich ihr die TAN nummer schicke, was ich natürlich nicht gemacht hab.

Es hat sich herausgestellt, das Ihr Facebook Account gehäckt worden ist und das da Betrüger am Werk waren.




Meine Frage:

Wie und Was könnten Sie mit diesen TAN für diese Rechnung machen? Wäre ich nur mit 30€ weniger oder könnten
sie mir noch mehr Geld abziehen? Ich meine für jede Rechnung die man online macht gibt es doch immer eine andere TAN Nummer?

Und wie kann man eine Rechnung zahlen OHNE das man meine email-adresse hat?


Es wäre super wen ihr mir bisschen helfen könntet. Am besten mit Quellen.

Natürlich informiere ich mich, jedoch fehlen mir genaue Stichpunkte nach dene ich im Internet suchen muss.

Mit freundlichen Grüßen

[Ektoplazm]

Sobald du die TAN eingegeben hast, wissen sie dein Wohnort. Sobald du irgend eine App runterlädst, wissen sie dein Standort.
Ganz einfach: Rechnung an die angesagte Adresse schicken. Punkt. Deswegen halte ich mich auch von Smartphones fern.

[DMW007]

Eine TAN dient zur Verifizierung einer Aktion, meist einer Zahlung. In deinem Fall soll im Internet irgendetwas per Handy bezahlt werden. Der Nutzer gibt also seine Handynummer ein, um die Zahlung durchzuführen. Natürlich könnte nun direkt der Vertrag bzw. das Prepaid-Konto der angegebenen Nummer belastet werden. Dann könnte jemand aber auch einfach irgendeine Handynummer die ihm nicht gehört dort angeben, die Leistung bzw. das Produkt erhalten, und der Inhaber der Rechnung würde auf den Kosten sitzen bleiben, ohne etwas erhalten oder gar bestellt zu haben. Um das zu verhindern, wird nach Eingabe der Nummer eine einmalige Transaktionsnummer (TAN) generiert. Diese kann aus Zahlen und Buchstaben bestehen. Diese wird per SMS an die angegebene Rufnummer gesendet. Der Nutzer muss diese am PC eingeben um zu bestätigen, dass er Inhaber dieser Nummer ist. Eine einzelne TAN gilt normalerweise immer nur für eine Transaktion. Hättest du die TAN also weitergegeben, wären dir maximal 30€ berechnet worden. Außer natürlich, du hättest dich überreden lassen, das Spiel noch weitere male mitzumachen.

Dein Beispiel ist nicht unbeliebt unter Betrügern, da der Aufwand relativ gering ist und man mit etwas Glück gleich mehrere Leute mit einem geklauten Account findet, die das mitmachen. Gibt auch klügere Varianten wo die Betrüger vorher etwas Smalltalk betreiben und irgendeine Geschichte erfinden, z.B. dass sie das Geld geliehen haben möchten oder so. Wobei das Smartphone hier ja eigentlich nur eine untergeordnete Rolle spielt. Die eigentliche Gefahr liegt darin, dass viele Leute nicht mit so einer Situation rechnen. Oder einfach naiv genug sind, eine TAN rauszugeben, wo sogar drunter steht wie viele Kosten dadurch verursacht werden. Jeder der nur ein bisschen Verstand besitzt, müsste spätestens hier stutzig werden und mindestens nachfragen, was das ganze soll. Ein zusätzlicher Kontrollanruf beim Inhaber des Accounts wäre natürlich noch besser. Am PC könnte man dasselbe Prinzip nutzen, und dem Opfer etwa einen Link mit Schadsoftware schicken. Oder ihn bitten, eine Paysafecard zu kaufen.

Gefahren im Internet ist ein sehr umfangreiches Thema, da kannst du angefangen von Datenschutz bis hin verseuchten Apps fast alles nehmen. Selbst das sind noch relativ große Unterthemen. Beim Thema Datenschutz beispielsweise kannst du dir die großen mobilen Betriebssysteme anschauen. Bei Android gibts ein Google-Konto das mit allen anderen Google-Diensten verknüpft ist, bei Apple verfügst du z.B. automatisch über die iCloud, die datenschutztechnisch eine Katastrophe ist (siehe AGB), und so weiter. Dann verbreitete Apps wie WhatsApp, das ist ein sehr gutes Negativbeispiel wo du gleich auf das Thema Sicherheit generell und Datenschutz eingehen kannst: WhatsApp greift Unmengen an Daten ab, wie beispielsweise das komplette Adressbuch jedes Nutzers. Als wäre das nicht schon schlimm genug, landet der ganze Kram auf Server in den USA. Da WhatsApp ein US-Unternehmen ist, gilt hier US-Recht. Für die Daten der Nutzer ist das so ziemlich die Hölle auf Erden: Stichwort Patriot Act, ganz aktuell die NSA, und so weiter. Desweiteren ist WhatsApp selbst sicherheitstechnisch katastrophal: Bis vor kurzem wurde alles unverschlüsselt übertragen was Abhörung und Manipulation Tür und Tor öffnet, zur Behebung dieser Lücke hat WhatsApp über ein (!) Jahr gebraucht, dann ist der 'Fix' eher ein alibimäßiger ohne Wirkung da die eingesetzte Verschlüsselung seit Ewigkeiten als geknackt gilt, immer mal wieder gibt es Sicherheitslücken wie z.B. dass man den Statustext von jedem x-belibigen WhatsApp User ändern kann (hier kannst du gut auf die Folgen eingehen) und so weiter und so fort. Auch war bis vor kurzem gar nicht bekannt, wer eigentlich hinter dem Dienst steckt. WhatsApp ist beim Thema Sicherheit also in so ziemlich jeder Hinsicht ein top Beispiel, wie man es nicht machen sollte. Trotzdem ist es der Handy-Messenger mit der größten Verbreitung zurzeit, was man angesichts dieser katastrophalen Umstände nicht vermuten würde. Im Gegenzug dazu ist laut diverser Umfragen dem Großteil der Deutschen der Schutz ihrer Daten wichtig. Auf dieses Paradoxon kannst du auch sehr gut eingehen.

Bei den Apps gehts weiter: Viele Apps haben Berechtigungen, die sie gar nicht brauchen. Oder sie verfügen über eine Berechtigung, die nur teilweise benötigt wird, aber deren Funktion die App permanent nutzen kann. Ein Beispiel wäre wieder WhatsApp, wobei das aber auch auf sämtliche andere Messenger mit ähnlicher Funktion zutrifft: Durch das Aufnehmen von Sprachnachrichten genehmigen sich solche Apps Zugriff auf das Mikrofon. Beim Rechtesystem von Android verfügen die Apps permanent über die jeweiligen Rechte. Das heißt, WhatsApp etwa kann nicht nur dann auf das Mikrofon zugreifen wenn du eine Sprachnachricht aufnimmst, sondern permanent. Da WhatsApp permanent im Hintergrund läuft um dich über neue Nachrichten zu informieren, könnte diese App theoretisch dein Mikrofon anzapfen und alles aufnehmen. Da moderne Smartphones ziemlich gute Mikrofone haben und man sein Smartphone in der Regel immer dabei hat, wäre dies ein ziemlich erschreckendes Szenario.

Dann natürlich klassische Schadsoftware, die oft in harmlosen Apps verpackt ist. Hier gibt es ja so ziemlich alles: Die einen missbrauchen dein Handy um irgendwelche Klicks auf Links zu generieren, andere klauen persönliche Daten, wieder andere missbrauchen es um z.B. Werbe-SMS zu verschicken, alternative Tastaturen schneiden gleich sämtliche Texteingaben auf dem Handy mit und besitzen somit alle eingegebenen Zugangsdaten, Nachrichten usw, also es gibt fast nichts was es nicht gibt. Auch hier können wieder verschiedene Plattformen verglichen werden.

Ich hoffe du hast nun einen kleinen Einblick wie umfangreich das Thema ist. Ich weiß ja nicht welcher Umfang für die Arbeit angesetzt ist und wie Tief ins Details gegangen werden soll. Da du auch schon von mehreren Beispielen sprichst gehe ich davon aus, dass du eher etwas gröber an die einzelnen Themen herangehen wirst anstatt dich auf eines zu beschränken, sodass eine Art Gesamtüberblick entsteht, welche verschiedenen Gefahren auf Smartphones möglich sind.

Und wie kann man eine Rechnung zahlen OHNE das man meine email-adresse hat?

Per Überweisung beispielsweise. Prepaid-Zahlungsmittel wie Paysafecard oder uKash wären auch eine Möglichkeit. Kommt ganz drauf an wo etwas gekauft wird. Die klassische Überweisung ist auch eine Alternative. Wobei ich in der Frage nicht so viel Sinn sehe: Viele Shops bei denen etwa eine Zahlung per Überweisung möglich wäre, erfordern eine Anmeldung, die wiederum eine eMail-Adresse voraussetzt.

[Yamado]

Danke für die Super Antwort!

Das Thema handelt an ausgesuchten Beispielen, und das ist mehr als genug!

Nochmals Danke, ist sehr hilfreich