News Neue Sicherheitslücke schürt weitere Zweifel an mTAN

S

Sven

Gast
Das mTAN-Verfahren ist ein TAN-Verfahren beim Online-Banking und wird von vielen Banken statt dem unsichereren (i)TAN eingesetzt. Bei mTAN wird zur Authentifizierung des Nutzers eine TAN auf sein Handy gesendet. Diese hat eine begrenze Gültigkeit und muss direkt im Online-Banking-Portal eingegeben werden.

Zur News: Neue Sicherheitslücke schürt weitere Zweifel an mTAN
 

-Nante-

Commodore
Dabei seit
Dez. 2006
Beiträge
4.693
hab jahrelang itan genutzt . versteh eh nicht warum das so unsicher sein soll . jetzt geht das mit dem mtan wieder los .
 

D4L4!L4M4

Captain
Dabei seit
Jan. 2006
Beiträge
3.614
Am besten schützt man sich gegen so etwas mit einer gewissen Vernunft und gesundem Misstrauen. Bei so etwas würde ich sofort bei der Bankberaterin meines Vertrauens nachfragen bevor ich in irgend so ein Pop-Up-Fenster meine Handy-Nummer und IMEI eintrage.

MfG Tim
 

marcol1979

Banned
Dabei seit
Juni 2004
Beiträge
8.199

SeaEagle

Lieutenant
Dabei seit
Nov. 2004
Beiträge
515
definitiv Hirn 2.0 - Als ob der etwas, wo DAUs davor sitzen, jemals sicher zu bekommen wäre.
 

KRambo

Lieutenant
Dabei seit
Apr. 2004
Beiträge
914
Dies funktioniert, indem auf einem mit SpyEye befallenem Rechner bei Besuch der Online-Banking-Seite eine Meldung erscheint, dass ein neues Sicherheitszertifikat der Bank nötig sei und auf das Handy übertragen werden müsse. Dafür werden Handynummer und IMEI abgefragt. Auf dem Handy erscheint dann eine Meldung, welche im Hintergrund Sypware installiert.
Also da sollte ja wohl der letzte Hirnlose schnallen dass da was nicht stimmen kann. Was hat das Handy mit der Webseite der Bank zu tun? Wenn man den Schrott nicht installiert ist das Ding doch eh sicher, die Unsicherheit ist wie immer nur der Benutzer. Wenn man seinen Grips einsetzt ist das doch kein Problem.
 

SavageSkull

Fleet Admiral
Dabei seit
Mai 2010
Beiträge
11.437
Zu Modem Zeiten hat man sich in den Bank Rechner eingewählt und da war gar kein Internet dazwischen.
Warum haben wir überhaupt diesen Rückschritt gemacht?

100% Sicher ist keine Methode. Damit muß man sich mal abfinden, die Welt dreht sich immer noch.
 

Cenarius

Lieutenant
Dabei seit
Nov. 2010
Beiträge
755
J

jaichbins

Gast
Zitat von podscher:
hab jahrelang itan genutzt . versteh eh nicht warum das so unsicher sein soll . jetzt geht das mit dem mtan wieder los .

Geht mir genauso. Meine Bank (Sparkasse) zwingt quasi nun alle Kunden zum Umstieg auf chipTAN obwohl mir iTAN auch gereicht hat für meine Sicherheit. Bin mal gespannt wann der erste Epileptiker die Sparkasse verklagt :D
 

Kleiner69

Lt. Commander
Dabei seit
Mai 2008
Beiträge
2.043
Eines verstehe ich aber nicht:
Welchen Nutzen sollte der "Angreifer" haben, wenn dieser meine mTan abfängt?

Soweit mir bekannt ist die mTan
1. zeitlich limitiert,
2. funktioniert diese nur in Verbindung mit der korrekten Kontonr. des Empfängers und
dem korrekten Zahlbetrag.

Was kann also jemand mit der abgefangenen mTan anfangen - außer evtl ein Buch mit schreiben?

MfG
 
J

jaichbins

Gast
Wenn bereits "falsche" Überweisungsdaten bei der Bank ankommen (vor mTAN Versand), dann kommt die mTAN auch mit einer korretenTAN aufs Handy, aber für die "falschen" Überweisungsdaten. Er kann also trotzdem Geld auf sein Konto überweisen.
 

Zeroflow

Lt. Commander
Dabei seit
Juli 2006
Beiträge
1.971
@kleiner69: Der PC-Trojaner kann dann eine neue Überweisung generieren, der Handy-Trojaner fängt die SMS ab und leitet die TAN dan den PC-Trojaner weiter. Ding die überweisung des Hackers ist durch...
 

Kleiner69

Lt. Commander
Dabei seit
Mai 2008
Beiträge
2.043
Zitat von jaichbins:
Wenn bereits "falsche" Überweisungsdaten bei der Bank ankommen (vor mTAN Versand), dann kommt die mTAN auch mit einer korretenTAN aufs Handy, aber für die "falschen" Überweisungsdaten. Er kann also trotzdem Geld auf sein Konto überweisen.

Man kann eine Überweisung auch noch nach ein paar Tagen, wenn man einen Fehler bemerkt, wieder rückgängig machen.

Das ist absolut kein Thema!

MfG
 
J

jaichbins

Gast
Zitat von Kleiner69:
Man kann eine Überweisung auch noch nach ein paar Tagen, wenn man einen Fehler bemerkt, wieder rückgängig machen.

Das ist absolut kein Thema!

MfG

Nur solange die Gutschrift beim Empfänger noch nicht erfolgt ist. Insbesondere ist das problematisch, wenn so etwas am Wochenende übers Internet erfolgt. Den Auftrag zum Überweisungsrückruf erteilt der Kunde im Normalfall vor Ort in der Filiale seiner Bank. Bis dahin ist der Betrag oftmals schon gutgeschrieben.
 

TopAce888

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
492
Zitat von podscher:
hab jahrelang itan genutzt . versteh eh nicht warum das so unsicher sein soll . jetzt geht das mit dem mtan wieder los .

Meine Bank will jetzt auch zum 1.Juli umstellen, auf smsTAN und chipTAN. Das gute alte iTAN wird abgeschaltet. Auf die Nachfrage, warum umgestellt würde, hieß es nur, iTAN sei zu unsicher. Aber warum iTAN unsicher sein soll konnte man mir nicht genau erläutern, nachdem ich dargelegt hatte, dass niemand außer mir Zugriff auf den TAN-Bogen hat. Da wurde dann herumgeredet, dass es aber doch sein könnte, dass jemand meinen TAN-Bogen in die Hände bekommt. Auch war der Bankangestellte recht sprachlos, als ich ihn fragte, was denn passieren würde, wenn jemand ec-Karte und TAN-Generator in die Hände bekommen würde. Tja, dann ist die Sicherheit auch futsch

Ich persönlich hatte nie Probleme mit iTAN und mache schon bestimmt seit 10 Jahren Online-Banking. Das größte Sicherheitsrisiko sitzt immer noch vor dem Rechner, da helfen auch angeblich sichere TAN-Verfahren nicht. Und die große Frechheit ist doch auch, dass für die Umstellung zur Kasse gebeten werden. Der TAN-Generator kostset einmalig 10€ und bei smsTAN kostet nach der 10. TAN im Quertal jeder weitere SMS 10 Cent.

Die einzige Alternative wäre nun die Bank zu wechseln, aber bei anderen Banken ist es auch nur eine Frage der Zeit, bis dort umgestellt wird.
 

jopjip

Ensign
Dabei seit
Juni 2008
Beiträge
233
Haha mein Handy ist so alt, da läuft kein Trojaner drauf, ich denke mal, dass das der beste Schutz ist.
 
Top