comdirect

Dann bringe ich doch noch das Beispiel, wie sich ein Krimineller das Geld unter den Nagel reissen kann.

Ausgangssituation:

Das Opfer hat Wertpapiere für 10000 Euro in seinem Depot. Dieses Geld möchte der Angreifer stehlen.

Der Angreifer had Schadsoftware auf dem Computer des Opfers, mit der er die Bank-Sitzung des Nutzers übernehmen kann. Der Nutzer hat sich bei der Bank angemeldet und eine Session TAN erhalten. Damit kann der Angreifer im Opferdepot Käufe und Verkäufe durchführen.

Der Angreifer verfügt dazu noch über ein eigenes Depot bei irgendeiner Bank, über das er Transfers (über die Börse) mit dem Opferdepot abwickeln wird.

Zusätzlich hat sich der Angreifer im Vorfeld ein Wertpapier mit geringer Liquidität und hohem Spread herausgesucht.  Ein solches Papier könnte zum Beispiel das hier sein: A0N9WM steht in Frankfurt mit Geld 0,67 ct und Brief 2,7 ct im Orderbuch und Freitag kam kein einziger Handel zustande.
Damit die Zahlen schöner sind, nehme ich aber ein fiktives Beispiel: Das unten genutzte Beispielpapier kann für 3,01 Euro gekauft und für 0,99 Euro verkauft werden.

Wozu braucht das Angreifer ein solches Papier? Das Papier hat folgende Eigenschaft, die für seinen Diebstahl sehr nützlich sind:
Stellt der Angreifer eine Verkaufsorder für 3,00 Euro ein, würde die aufgrund der geringen Liquidität höchstwahrscheinlich eine ganze Weile stehen bleiben. Seine Order wäre aber durch den 0,01 Euro niedrigeren Preis die erste, die ausgeführt würde, wenn doch jemand kauft. D.h. sobald jemand das Papier billigst kauft, würde die Order des Angreifers bedient werden.
Umgekehrt könnte der Angreifer auch eine Kauforder für 1,00 Euro einstellen. Diese würde aus den gleichen Gründen stehen bleiben, aber vom nächsten bedient werden, der irgendwann sein Papier bestens verkauft.

Der Angriff:

Der Angreifer liquidiert zunächst das komplette Opferdepot. Danach hat das Opfer 10000 Euro zur Verfügung. (Gebühren lasse ich mal außen vor.)

Als nächstes kauft der Angreifer im Opferdepot 1000 Aktien des besagten Papiers von der Börse für 3,01 Euro.

Dann stellt der Angreifer in seinem Depot eine Kauforder für 1000 Stück a 1,00 Euro ein.
Dann verkauft der Angreifer die 1000 Aktien aus dem Opferdepot bestens.
(Mit einer Wahrscheinlichkeit von 99,99% wird dabei seine eigene Order bedient und die Papiere landen in seinem Depot. Schließlich handelt es sich ja um ein Papier, das an der ausgewählten Börse nur sehr selten gehandelt wird.)

Dann stellt der Angreifer die 1000 Aktien, die jetzt in seinem Depot sind wieder für 3 Euro das Stück zum Verkauf.
Dann kauft der Angreifer über das Opferdepot wieder 1000 Aktien billigst - und damit die Aktien für 3 Euro zurück.

Im Anschluss stellt der Angreifer wieder eine Kauforder für sein Depot ein für 1000 Aktien a 1 Euro.
Und verkauft sich über das Opferdepot wieder billig die Aktien.

Und so weiter und so fort...

Vereinfacht gesagt verkauft der Täter dem Opfer etwas für 3000 Euro um es danach für 1000 Euro zurückzukaufen.
Das lässt sich beliebig oft wiederholen und jedes mal verliert das Opfer 2000 Euro und der Täter macht 2000 Euro Gewinn.

Das ganze Spiel wiederholt er so lange, bis das ganze Geld vom Opferdepot abgezogen ist.

Und wenn jetzt auch noch ein Wertpapierkonto oder der neue Tages-Investment-Kredit in dem Depot besteht, kann man gleich noch mehr abschöpfen und ist nicht auf den Depotbestand limitiert.

---

@NichtDoch  schrieb:

Dann bringe ich doch noch das Beispiel, wie sich ein Krimineller das Geld unter den Nagel reissen kann.

 

Ausgangssituation:

 

Das Opfer hat Wertpapiere für 10000 Euro in seinem Depot. Dieses Geld möchte der Angreifer stehlen.

 

Der Angreifer had Schadsoftware auf dem Computer des Opfers, mit der er die Bank-Sitzung des Nutzers übernehmen kann. Der Nutzer hat sich bei der Bank angemeldet und eine Session TAN erhalten. Damit kann der Angreifer im Opferdepot Käufe und Verkäufe durchführen.

 

Der Angreifer verfügt dazu noch über ein eigenes Depot bei irgendeiner Bank, über das er Transfers (über die Börse) mit dem Opferdepot abwickeln wird.

 

Zusätzlich hat sich der Angreifer im Vorfeld ein Wertpapier mit geringer Liquidität und hohem Spread herausgesucht.  Ein solches Papier könnte zum Beispiel das hier sein: A0N9WM steht in Frankfurt mit Geld 0,67 ct und Brief 2,7 ct im Orderbuch und Freitag kam kein einziger Handel zustande.
Damit die Zahlen schöner sind, nehme ich aber ein fiktives Beispiel: Das unten genutzte Beispielpapier kann für 3,01 Euro gekauft und für 0,99 Euro verkauft werden.

 

Wozu braucht das Angreifer ein solches Papier? Das Papier hat folgende Eigenschaft, die für seinen Diebstahl sehr nützlich sind:
Stellt der Angreifer eine Verkaufsorder für 3,00 Euro ein, würde die aufgrund der geringen Liquidität höchstwahrscheinlich eine ganze Weile stehen bleiben. Seine Order wäre aber durch den 0,01 Euro niedrigeren Preis die erste, die ausgeführt würde, wenn doch jemand kauft. D.h. sobald jemand das Papier billigst kauft, würde die Order des Angreifers bedient werden.
Umgekehrt könnte der Angreifer auch eine Kauforder für 1,00 Euro einstellen. Diese würde aus den gleichen Gründen stehen bleiben, aber vom nächsten bedient werden, der irgendwann sein Papier bestens verkauft.

 

Der Angriff:

 

Der Angreifer liquidiert zunächst das komplette Opferdepot. Danach hat das Opfer 10000 Euro zur Verfügung. (Gebühren lasse ich mal außen vor.)

 

Als nächstes kauft der Angreifer im Opferdepot 1000 Aktien des besagten Papiers von der Börse für 3,01 Euro.

Dann stellt der Angreifer in seinem Depot eine Kauforder für 1000 Stück a 1,00 Euro ein.
Dann verkauft der Angreifer die 1000 Aktien aus dem Opferdepot bestens.
(Mit einer Wahrscheinlichkeit von 99,99% wird dabei seine eigene Order bedient und die Papiere landen in seinem Depot. Schließlich handelt es sich ja um ein Papier, das an der ausgewählten Börse nur sehr selten gehandelt wird.)

 

Dann stellt der Angreifer die 1000 Aktien, die jetzt in seinem Depot sind wieder für 3 Euro das Stück zum Verkauf.
Dann kauft der Angreifer über das Opferdepot wieder 1000 Aktien billigst - und damit die Aktien für 3 Euro zurück.

Im Anschluss stellt der Angreifer wieder eine Kauforder für sein Depot ein für 1000 Aktien a 1 Euro.
Und verkauft sich über das Opferdepot wieder billig die Aktien.

 

Und so weiter und so fort...

 

Vereinfacht gesagt verkauft der Täter dem Opfer etwas für 3000 Euro um es danach für 1000 Euro zurückzukaufen.
Das lässt sich beliebig oft wiederholen und jedes mal verliert das Opfer 2000 Euro und der Täter macht 2000 Euro Gewinn.

 

Das ganze Spiel wiederholt er so lange, bis das ganze Geld vom Opferdepot abgezogen ist.

 

---

Würde das nicht recht schnell bei der Handelsüberwachung auffallen, wenn da immer zwei Handelspartner gegenseitig miteinander handeln?

Die Situation, die ab 3:15 beschrieben wird, lässt sich wohl sinngemäß auf obiges Beispiel übertragen:

https://www.youtube.com/watch?v=KZu0m437iwg

---

@Tastenhauer  schrieb:

---

---

Würde das nicht recht schnell bei der Handelsüberwachung auffallen, wenn da immer zwei Handelspartner gegenseitig miteinander handeln?

 

Die Situation, die ab 3:15 beschrieben wird, lässt sich wohl sinngemäß auf obiges Beispiel übertragen:

https://www.youtube.com/watch?v=KZu0m437iwg

---

Das kann durchaus sein, dass das auffällt. Und ja, formal ist das wahrscheinlich auch illegale Marktmanipulation - aber illegale Dinge zu tun, ist nunmal der Beruf der Kriminellen. 😉

Um nicht gleich aufzufallen könnten sie zB. die Position so groß machen, dass ein Großteil des Gelds aus dem Depot auf einmal auf die Reise geht, und sich mit einem Durchlauf begnügen. Oder immer wieder andere Wertpapiere und Depots benutzen. Und wenn es dann auffällt, sind die Kriminellen mit dem Geld typischerweise längst über alle Berge und übrig bleibt nur die Frage, wer für den Schaden aufkommt.

Man könnte jetzt an der Stelle ein gedankliches Katz-und-Maus-Spiel beginnen, wie die Kriminellen sich tarnen und die Behörden sie doch erwischen können, aber das geht in meinen Augen am Kern der Sache vorbei: Es sind durchaus lukrative Szenarien denkbar, die Angriffe auf Depos für Kriminelle interessant machen. Über die konkrete Ausgestaltung und die Raffinesse der Gauner können wir dann staunen, wenn darüber in der Zeitung berichtet wird.

Die comdirect schafft hier ohne jede Not ein signifikantes Risiko für ihre Kunden, indem sie einen sehr guten bestehenden Schutzmechanismus (FotoTAN mit Gerät) für Depot-Transaktionen abschafft. (Und wie der Screenshot oben zeigt, ist sie sich des Risikos sogar selbst bewusst.)

---

@Tastenhauer  schrieb:

Würde das nicht recht schnell bei der Handelsüberwachung auffallen, wenn da immer zwei Handelspartner gegenseitig miteinander handeln?

---

Sofern der Angreifer sein Depot bei einer deutschen oder EU-Bank hat, würde die Handelsüberwachung dem sicher recht schnell einen Riegel vorschieben. Für den betroffenen Kunden bliebe dann immer noch der Aufwand, den entstandenen Schaden erstattet zu bekommen, gegebenenfalls sogar über den gerichtlichen Weg.

Sitzt der Angreifer im (Nicht-EU-)Ausland, dürfte dieser sehr viel schwerer zu fassen sein, gerade auch, weil der Betrug indirekt über eine Börse stattfinden würde.

Viele Grüße

Weinlese

Hallo zusammen,

um die Session TAN zu aktivieren muss ich mindestens einmal eine Tan eingegeben haben als entweder beim Login und bei einer anderen Transaktion.

Nur dann ist die Session Tan aktiv. 

Also der Angreifer muss mindestens einmal eine valide Tan eingeben.

Evtl kann das ja das @SMT_Service das nochmal genauer erläutern.

Grüße

eckhard

---

@eckhardschnell  schrieb:

Nur dann ist die Session Tan aktiv. 

Also der Angreifer muss mindestens einmal eine valide Tan eingeben.

 

Jein. Vor der Erklärung noch eine grundsätzliche Überlegung:

Böte die Session TAN genügend Sicherheit, warum erfordert dann die PSD2 bei jeder Konto-Transaktion eine weitere dynamische TAN?

Die Antwort ist einfach: Die Session TAN ist kein Sicherheitsfeature, sondern ein Bequemlichkeitsfeature, das viel Sicherheit kaputt macht. Insbesondere hebelt sie den Mehrwert von modernen dynamischen TAN-Verfahren wie FotoTAN aus. Details dazu finden sich oben schon zur Genüge.

Muss der Angreifer wirklich eine korrekte TAN eingeben? 

In meinem Angriffsbeispiel nicht. Da lässt er das einfach sein Opfer machen und übernimmt dann dessen Sitzung. (Über die Schadsoftware, die er auf dem Rechner des Opfers installiert hat.)

Aber das war auch nur ein Beispiel. Es gibt sicher viele Spielvarianten für einen solchen Angriff. Selbst mit Phishing, was ja eine gängige Masche ist, könnte man es schaffen:

Der Angreifer erstellt wie eh und je eine Fake-Website, die der comdirect ähnelt und lockt unbedarfte Nutzer auf diese. Dort lässt er sich die Nutzer erstmal klassisch anmelden (user/passwort) und leitet im Hintergrund die Anmeldung an die echte comdirect weiter.

Danach erhält der Angreifer den FotoTAN Code von der Bank und wird von dieser aufgefordert, die TAN einzugeben. (Ich Unterstelle hier mal die Verwendung von FotoTAN.) Den Code zeigt er dann auf seiner Fake-Website dem Opfer an, welches ihn brav scannt.  Das FotoTAN Gerät des Opfers zeigt an, dass es sich bei der Transaktion um den Login auf der Website handelt. Da das Opfer ja glaubt, sich an der Website anzumelden, wird es keinen Verdacht schöpfen und die TAN auf der Fake-Website eingeben. Diese TAN schickt die Fake-Website dann an die echte comdirect Website. Da die TAN die echte TAN vom Opfer für die Anmeldung ist, ist die Anmeldung erfolgreich und eine Session TAN wird generiert.

An der Stelle wird das Opfer nicht mehr gebraucht und die Fake-Website kann irgendeinen Quatsch anzeigen. Zum Beispiel: Aufgrund von Wartungsarbeiten sind unsere Server im Moment nicht erreichbar. Bitte kommen sie morgen wieder.

Der Angreifer hat jetzt eine gültige Session TAN und kann frei über das Depot des Opfers verfügen.

Evtl kann das ja das @SMT_Service das nochmal genauer erläutern.

---

Da bin ich gespannt...

Eigentlich ist die ganze Diskussion sinnlos. Was die Comdirect macht, ist IMO schlicht illegal. Die PSD2 gibt es hier zu lesen:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389

Starke Authentifizierung wird bei allen Zahlungsvorgängen prinzipiell gefordert. Es gibt Ausnahmen (geringe Beträge, Kontoübertrag, etc..), aber Aktienkauf sollte nicht darunter fallen. Wo sollte überhaupt der Unterschied sein, ob ich nun Aktien an der Börse kaufe oder irgendwas bei Amazon?

---

@dsmr  schrieb:

Eigentlich ist die ganze Diskussion sinnlos. Was die Comdirect macht, ist IMO schlicht illegal. Die PSD2 gibt es hier zu lesen:

 

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389

 

Starke Authentifizierung wird bei allen Zahlungsvorgängen prinzipiell gefordert. Es gibt Ausnahmen (geringe Beträge, Kontoübertrag, etc..), aber Aktienkauf sollte nicht darunter fallen. Wo sollte überhaupt der Unterschied sein, ob ich nun Aktien an der Börse kaufe oder irgendwas bei Amazon?

---

Aktienkauf fällt nicht unter "Zahlungsdienst" (und nur darum geht es), damit ist der ganze Brocken weg. Daher sind z.B. reine Broker (onvista, ebase, ...) von PSD2 auch nicht betroffen.

Nachtrag: Vom schnellen Blick: PSD2 basiert auf Richtlinie (EU) 2015/2366. Dort in Art. 3 lit. i) sind WP-Geschäfte imho ausgenommen. (Wobei der Satz wieder grottenschlecht formuliert ist... Schachtelung der 'oder's ist unklar, genau wie Rückbezüge wie 'deren')