ComputerBase Menü
Aktuelles

News Online Banking mit mTan-Verfahren nicht absolut sicher

@linksta: Natürlich geht das nicht, an der Kasse den Kontostand abzufragen oder Überweisungen tätigen. Weil an Kassen etc wird entweder mit Lastschrift (Unterschrift) oder eben mit - keine Ahnung wie das heißt... jedenfalls wird dort die Abbuchung eben in Echtzeit "durchgeführt". Aber die Bank gibt keine Auskunft über Kontostand, lediglich der Erfolg oder das Scheitern wird mitgeteilt.
 
Falls einige hier das nicht verstanden haben, bezüglich Papiertan:

Die Sicherheitslücke: Die Tan wird nicht mit den Überweisungsdaten in Verbindung gebracht.
Beim Onlinebanking heisst das : die Tan-Eingabe wird "abgegriffen", dann die Kontonummer verändert und schließlich die Überweisung ausgeführt.
Da kein Zusammenhang zwischen der Überweisung und der Tan besteht, sondern nur zwischen Tan und Kunde, ist das problemlos möglich.

Wenn die mTan mit einem speziellen Algorithmus aus den Überweisungsdaten (also Kontonummer und Betrag) generiert wird, dann ist sie auch sicher. Es bringt einem Angreifer nichts, diese Tan abzugreifen, weil sie Zielkonto und Betrag "enthält". Wenn er die Tan hat, dann muss er wissen wie Kontonummer und Betrag darin "untergebracht" sind um diese abzuändern.
Wenn die Tan natürlich einfach nur per Zufall und Verbindung zu den Daten ans Handy übermittelt wird, ist das ganze in der Tat unsicher... ebenso unsicher wie die Papiertan.

Der Sicherheitsvorteil bei SmartTan: Die Tan wird nicht nur aus Kontodaten und Betrag generiert sondern zusätzlich mit der EC-Karte, oder indem ein registriertes Tan.Gerät einen Code vom Bildschirm ablesen kann (ähnlich QR-Codes oder STrichcodes).
Heisst: Man benötigt das Tan-Gerät und ggf. die EC-Karte des Benutzers.
Klar kann jemand wirklich auf alle diese Sachen ZUgriff haben, aber das ist bei Cyberkriminalität mehr als unwahrscheinlich, da die Taten meist aus dem Ausland ausgeführt werden um Spuren zu verwischen.
 
Ist klar, problemlos möglich. Eine eingegebene PapierTAN ab zugreifen, den Empfänger und den Betrag der Transaktion zu verändern, und sie dann vom Bankserver entgegen nehmen zu lassen. Dann ist ein Schädling auf dem Handy bei weitem realistischer und man generiert sich eine eben zur Transaktion passende TAN.
 
Man kann eben mTan Verfahren auch technisch kompromittieren. Das geht bei PapierTAN nicht. Da musst Du den Zettel mit den TANs haben. Oder drei oder vier Stück auf eine manipulierte Seite eintragen...
Zum Vergrößern anklicken....

Wie kann man so einen Blödsinn verbreiten.

Ist klar, problemlos möglich. Eine eingegebene PapierTAN ab zugreifen, den Empfänger und den Betrag der Transaktion zu verändern, und sie dann vom Bankserver entgegen nehmen zu lassen
Zum Vergrößern anklicken....

DAS ist die gängige Praxis mit TAN Listen.

Lesen. Verstehen.

http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml
 
Zuletzt bearbeitet:
@hardwarekäufer: Ich verstehe nicht, warum mTAN dadurch sicherer sein sollte... hast du dir den Angriff überhaupt angeschaut? oO
Ich denke nicht... ansonsten bekomme ich von der Bank eine SMS, in der Zielkonto-Nummer und Betrag stehen, also die Bank selbst weiß durchaus, welche Daten zu meiner mTAN gehören... denke kaum, dass sich nach gestartete mTAN-Transaktion (also SMS geschickt, aber mTAN noch nicht eingegeben) eine Änderung der Daten noch möglich ist ...

Dein Angriff sieht ja vor, dass ich eine falsche Überweisung "durchwinke"... aber dann müssten mir an diversen Stellen falsche Daten auffallen...
 
Zuletzt bearbeitet:
@smuper, das sind ja keine Neuigkeiten. Auch nicht in diesem Thread. Und widerlegen meinen Blödsinn auch nicht.
 
Wenn die mTan mit einem speziellen Algorithmus aus den Überweisungsdaten (also Kontonummer und Betrag) generiert wird, dann ist sie auch sicher. Es bringt einem Angreifer nichts, diese Tan abzugreifen, weil sie Zielkonto und Betrag "enthält". Wenn er die Tan hat, dann muss er wissen wie Kontonummer und Betrag darin "untergebracht" sind um diese abzuändern.
Zum Vergrößern anklicken....

Ist ebenfalls unsicher. Angriffspunkt sind hier die Smartphones.

Vereinfacht dargestellt -> Trojaner auf dem PC, Trojaner auf dem Smartphone. Nun wird noch die Verlinkung zwischen beiden Geräten hergestellt und eine normale Man in the Middle Attacke durchgeführt.
Ergänzung ()

@smuper, das sind ja keine Neuigkeiten. Auch nicht in diesem Thread. Und widerlegen meinen Blödsinn auch nicht.
Zum Vergrößern anklicken....

Belege deinen Satz, dass iTAN oder TAN technisch nicht zu kompromittieren sind.
 
@smuper: Sogar der Angriff, der hier in der news gezeigt ist, würde das von hardwarekäufer geschilderte Verfahren aushebeln...
Aber warum sollte man auch ein Artikel lesen, um dann mitzudiskutieren...
 
smuper schrieb:
Belege deinen Satz, dass iTAN oder TAN technisch nicht zu kompromittieren sind.
Zum Vergrößern anklicken....

Die (Papier)TANs sind es nicht. Nur die Übertragung. Und das gilt für alle TANs.

mTANs können schon durch kompromittierte Systeme generiert werden.
 
@BlubbsDE: Und ein Geheimnis in einem Brief ist sicher, nur der Postweg ist unsicher...^
Die Tür ist sicher, aber das Schloss nicht...
 
Die (Papier)TANs sind es nicht. Nur die Übertragung.
Zum Vergrößern anklicken....

Fakt ist: mTAN auszuhebeln ist deutlich komplexer als TAN oder iTAN, dafür braucht es nur einen herkömmlichen simplen Trojaner.

TAN oder iTAN sind Generalschlüssel, so etwas ist nie gut.


Versteh mich nicht falsch, mTAN ist ebenfalls ein tragischer Trend.
 
Klar geht das mit mTAN auch. Gegenüber papier TANs halte ich es dennoch für einen Sicherheits- und Komfortgewinn.
Und für die paar Krötten auf meinem Konto reicht mir mTAN...
 
Noch ein kleiner Denkanstoss. PapierTAN gibt es, seit dem es Online Banking gibt. Die waren vor 20 Jahren genau so sicher oder unsicher wie heute. Einzig der Nutzer hat mehr an Technik an die Hand bekommen. Was er offensichtlich oft nicht im Griff hat. Zu BTX Zeiten gab es kein Mißbrauch von Online Banking. Oder doch, aber dann nur von Freunden und Bekannten...

Jetzt geht man einen anderen Weg. Durch die Komplexität der Rechnersysteme heute, und der recht offenen Kommunikation bei Online Banking, haben Kunden das PapierTAN Verfahren unsicher werden lassen. Und ja, ich Spreche hier von Kunden. Weil es eben zum absolut größten Teil Fehler der Kunden sind, die das System haben unsicher werden lassen. Jetzt will man Probleme, die durch die gestiegene Komplexität entstanden sind, durch weitere unsichere technische Systeme ersetzen. mTAN konnte man schon kurz nach Veröffentlichung wieder rechtlich genieren.
 
Welche Rolle spielt es, wodurch die Tan/ITan unsicher wurde?
Entscheidend ist, dass Du das aktuell unsicherste Verfahren nutzt.

BlubbsDE schrieb:
mTANs können schon durch kompromittierte Systeme generiert werden.
Zum Vergrößern anklicken....

Was meinst damit, wer sollte eine mTan generieren und wie sollte sie dann funktionieren?
 
Zuletzt bearbeitet:
Zuviele Wenn bei der ganzen Geschichte.
 
Dazu bestellen sich die Täter beim entsprechenden Mobilfunkanbieter eine zusätzliche SIM-Karte für das Mobilfunkkonto des Opfers und lassen diese an eine abweichende Adresse liefern.
Zum Vergrößern anklicken....

Das ist ja wohl der eigentliche Skandal an der Sache!

Wie kann es denn sein, dass sich einfach irgend jemand eine zweite SIM Karte von meinem Telefon bestellen kann, und diese auch ohne weiteres bekommt?

Das wäre ja so, als ob man sich einfach eine Kopie des Haustürschlüssels von seinem Nachbarn irgendwo bestellen könnte!

Manchmal fasst man sich echt an den Kopf, wie Unternehmen mit der Sicherheit/Privatsphäre ihrer Kunden umgehen!

Aber die Banken sind oft nicht besser... die DKB zum Beispiel bietet zum Login für das Online-Banking ein fünfstelliges (!) Passwort ohne (!) Sonderzeichen. Mehr Stellen als fünf gehen nicht!

Auf meine Anfrage, ob das ein Witz sein soll, oder ob die DKB in den frühen Neunzigern stecken geblieben sei, wurde mir sehr seriös geantwortet, dass dieses Passwort doch sehr sicher sei, da man ja Buchstaben und Zahlen benutzen könne. Kein weiterer Kommentar dazu... :freak:
 
Zuletzt bearbeitet:
Lieber BlubbsDE, es gibt Verfahren die seit Jahren sicher sind und du versuchst mit Hängen und Würgen dein genutztes Verfahren als sicher darzustellen.

Fang dir einen simplen OB Trojaner und erkläre dann vor Gericht doch noch mal wie sicher doch eigentlich dein geliebtes Verfahren ist.

ChipTAN, wenn der User die angezeigten Daten der Überweisung vergleicht. Und HBCI inkl. Reader Class 3
 
M@rsupil@mi schrieb:
Weil du dann nicht, wie es modern ist, in Bus, Bahn oder in der Warteschlange an der Kasse deinen Kontostand abfragen oder noch schnell "wichtige Überweisungen" tätigen kannst.
Zum Vergrößern anklicken....
Kontostand abfragen geht (zumindest bei der Sparkasse) auch ganz ohne mTan. App starten, dann kommt ein Passwort für die App. Dann sieht man die "alten" Daten. Will man aktualisieren, muss man ein weiteres Passwort eingeben (kann man sogar so machen, dass das nicht dasselbe wie beim Online Banking ist) und ich sehe meinen Kontostand. Überweisen kann ich aus der App auch, aber dann muss ich den SmartTan Generator mit meiner Karte davorhalten und den Code scannen.


BlubbsDE schrieb:
Ist klar, problemlos möglich. Eine eingegebene PapierTAN ab zugreifen, den Empfänger und den Betrag der Transaktion zu verändern, und sie dann vom Bankserver entgegen nehmen zu lassen. Dann ist ein Schädling auf dem Handy bei weitem realistischer und man generiert sich eine eben zur Transaktion passende TAN.
Zum Vergrößern anklicken....
Ok, halten wir mal fest: Von der technischen(!) Seite sind alle Verfahren sicher, solange nicht jemand den Bankserver knackt. Bei allen Verfahren ist das Problem der Mensch - der Unachtsam mit seiner Tanliste umgeht, auf Phishing reinfällt, sich dubiose Apps samt Trojaner aufs Handy zieht oder sonstwas.

Aber bei Tanlisten ist es halt wesentlich einfacher, mit geringem Aufwand und einem menschlichen Fehler (den brauchts halt überall) an Tans zu kommen. Du baust dir eine Phising Seite, lässt das Opfer eine Überweisung ausführen (das muss nichtmal auf dem Bankserver laufen, kann alles bei dir sein), speicherst die Tan die eingegeben wird und kannst dann in aller Ruhe mit der Tan eine andere Überweisung beim Bankserver ausführen.

Hat sich das Opfer unbemerkt einen Trojaner auf dem PC eingefangen, der die Host Datei manipuliert, hat es gar keine Möglichkeit, zu erkennen, dass etwas falsch läuft (d.h. Brain.exe hilft auch nicht). Man hat keine Links in Mails angeklickt, nicht die halbe Tanliste abgetippt, nix. Alles normal.

So. Versuch das mal bei den anderen Verfahren. Da brauchst du das Phishing auch. Damit kommst du aber nur an das Passwort vom Account. Dann musst du noch das Handy kompromittieren / SMS abfangen. SmartTan ist noch schwieriger. Hier musst du Karte und Gerät klauen, bzw. eine zweite Karte von der Bank bekommen und die gibts nur gegen Ausweis (und bei Sparkasse persönlich abholen oder mit Vollmacht und Perso).

SmartTan kann man z.B. nur mit Phishing gar nicht aushebeln. Klar könnte man auch hier die Host manipulieren, auf eine andere Website umleiten, und dann das Blinkbildchen vom Opfer mit dem von deiner Überweisung ersetzen und in die Website einbinden und dem Opfer präsentieren. Aber leider zeigt der Code Generator sowohl Betrag als auch Zielkonto an bevor er die Tan generiert - und da sieht das Opfer dann "oh, dass ist das falsche Konto". Und aus.

Fazit: Das Aushebeln einer TanListe ist wesentlich einfacher als eines der anderen Verfahren, braucht weniger menschliche Fehler etc. Also ist es in der praktischem Umsetzung (!) unsicherer. Und das ist alles was zählt, theoretische Spekulationen was in einer Welt mit perfekten Menschen oder so passieren würde, sind hier nicht anwendbar.

BlubbsDE schrieb:
Die (Papier)TANs sind es nicht. Nur die Übertragung. Und das gilt für alle TANs.

mTANs können schon durch kompromittierte Systeme generiert werden.
Zum Vergrößern anklicken....
Klar. Aber wenn der Angreifer die Bank soweit kompromittiert hat, dass er den Algorithmus zur Tan-Generierung hat (ich hoffe mal, dass der Quellcode dazu nur auf air-gaped systems liegt), kann er auch gleich im Banksystem die Überweisungen veranlassen, ohne Tan und sonstwas. Da braucht er keinen Umweg mehr über den Kunden gehen.
 
Zuletzt bearbeitet:
ich sag´s mal so - das problem sitzt immer noch vor den bildschirm.

der so fahrlässig handelt; das die betrüger an so viele privaten daten kommen, der gehört sowieso bestraft und sein konto leergeräumt ;)
 
smuper schrieb:
Lieber BlubbsDE, es gibt Verfahren die seit Jahren sicher sind und du versuchst mit Hängen und Würgen dein genutztes Verfahren als sicher darzustellen.

Fang dir einen simplen OB Trojaner und erkläre dann vor Gericht doch noch mal wie sicher doch eigentlich dein geliebtes Verfahren ist.

ChipTAN, wenn der User die angezeigten Daten der Überweisung vergleicht. Und HBCI inkl. Reader Class 3
Zum Vergrößern anklicken....

Endlich jemand der verstanden hat, was das sicherste Verfahren ist (bei Benutzung einer Offlinesoftware).

Ich verstehe nicht, wie man seitenlang über Onlinebanking mit Handys diskutieren kann. Sicherheit ist am PC , mit der richtigen Vorgehensweise , am sichersten. Der Handyzeitgeist ist nur ein Sicherheitsrisiko. Kein Mensch mit Verstand macht Onlinebanking mit dem Handy, nur Möchtegernangeber die ihre Zahlungen zu Hause nicht auf die Reihe bekommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

iNFECTED_pHILZ
Leserartikel GPU verstehen und optimal nutzen
2 3
Antworten
52
Aufrufe
9.137
cele
cele
R
  • Angepinnt
  • Artikel
Leserartikel Wie viele Monitore kann ich wie an mein Notebook anschließen?
2 3
Antworten
43
Aufrufe
16.155
SgtIcetea
SgtIcetea
Baal Netbeck
Leserartikel Baal auf der Suche nach den Energiefressern im PC
3 4 5
Antworten
99
Aufrufe
18.079
renaldo
renaldo
T
News Online-Banking: Betrüger überlisten mTAN-Authentifizierung
6 7 8
Antworten
154
Aufrufe
20.141
Autokiller677
Autokiller677
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
158.725
Boogeyman
Boogeyman
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz