Forum: Netzwelt
mTan-Verfahren: BKA warnt vor Betrug beim Online-Banking
imago

Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.

Seite 10 von 15
frutsch 18.05.2014, 23:06
90.

Zitat von jesúsmalverde
was würde denn konkret beim abfangen einer solchen mTan passieren? Ich nutze dieses Verfahren, d.h. ich will eine Überweisung tätigen, gebe alle erforderlichen Daten ein, fordere dann die mTan an, welche binnen Sekunden auf meinem Gerät eintrifft, ich gebe sie ein, sende die Überweisung ab und damit ist die einmalig generierte Nummer verbraucht und nicht mehr nutzbar. Der Betrüger müsste doch vor genau der selben Eingabemaske meines Onlinebankings sitzen, mit den selben von mir eingegebenen Daten und diese dann blitzschnell ändern, um die Überweisung zu seinen Gunsten umzulenken bevor die mTan verfällt? Ich sehe da also keine wirkliche Gefahr, oder hab ich hier nen Brett vorm Kopf?
Nochmal: Wenn Ihr Smartphone gehackt ist, kennt der Angreifer Ihre Zugangsdaten und kann beliebige Überweisungen initieieren. Die TAN geht auch auf Ihr Handy, wird vom Angreifer mitgelesen und verwendet.

Beitrag melden Antworten / Zitieren
zikky 18.05.2014, 23:09
91. Ich mache jetzt

seit über 20 jahren onlinebanking, damals noch über btx. noch nie probleme gehabt und wer onlinebanking und sms über ein und das selbe gerät macht, sprich smartphone, hat es in meinen augen auch nicht anders verdient als abgezogen zu werden. oder noch besser, tans in irgendwelche websites einzugeben, weil man dazu aufgefordert wird, obwohl seit "100" jahren davor gewarnt wird.

Beitrag melden Antworten / Zitieren
frutsch 18.05.2014, 23:18
92.

Zitat von citizengun
Das hab ich nie behauptet aber dokumentiert ist der Algorithmus auch nicht. (Falls sie ihn kennen, dann bitte posten!) Es gibt beim Chip-Tan ganz unterschiedliche Implementationen. (Gute und schlechte, jede Bank hat ihr eigenes.) ... Falls sie anders denken, dann erläutern sie mir bitte ihren Weg.
Jetzt wiederholen Sie erneut diesen Müll. Ich habe den Link auf den Wikipedia-Artikel als Antwort auf Ihren Beitrag hier gepostet, dort sind die Referenzen gelistet. Lesen und verstehen. Im Zweifel fragen Sie bei Ihrer Bank nach.

Beitrag melden Antworten / Zitieren
JaIchBinEs 19.05.2014, 00:03
93. Pin-Nr bei Online-Banking!

Zitat von TimmThaler
Weil das recht einfach angegriffen werden kann, wenn a) jemand sich zwischen ihren Rechner und die Bank setzt (schwierig, wenn https), oder b) Ihr .....
Ohne Pin-Nr kann niemand etwas mit meinem Online-Konto anstellen.
Bei dreimal falscher Eingabe wird das Online-Banking sofort gesperrt.

Beitrag melden Antworten / Zitieren
Ernie 19.05.2014, 03:35
94. Alte Tan

Waren die alten Tan-Nummern auf Papier anfälliger für Betrug oder warum wurde das abgeschafft?

Beitrag melden Antworten / Zitieren
hansgustor 19.05.2014, 05:33
95. @Apple Fanboys

Können Sie mir mal erklären, was bei einem Android Handy unsicherer sein soll als bei einem IPhone? Es ist zwar mehr Schadsoftware für Windows und Android unterwegs, dass liegt aber an deren Marktführerschaft und sagt erstmal nichts über die Sicherheit aus.

Beitrag melden Antworten / Zitieren
felisconcolor 19.05.2014, 06:14
96. Aha

Zitat von ColynCF
... Das ist leider kein Hindernis. Erst kapert man den PC, dann bestellt man über den PC im Service Portal des Telefonanbieters die 2. SIM.
und sie meinen das der Kunde nicht merkt das zwar auf seinem Konto aber unter anderem Namen eine Zweitsim gebucht wurde?

Beitrag melden Antworten / Zitieren
peter.patent 19.05.2014, 06:38
97. Auch die Erklärung ist nicht ausreichend!

Zitat von Fwh1
Beim Tan-Block-Verfahren ist die Tan in keinster Weise an die Transaktion gekoppelt. Das bedeutet, dass mit Kenntnis einer Tan jede beliebige Transaktion ausgelöst werden kann. Wenn nun beispielsweise Schadsoftware auf dem Rechner oder auch durch einen Man-in-the-middle-Angriff die TAN abgegriffen wird kann sie dazu verwendet werden, einen beliebigen Betrag auf ein beliebiges Konto anzuweisen. Beim mTan und Tan-Generator-Verfahren ist die TAN an die Transaktion gekoppelt, durch die sie generiert wurde. Zwar ist es möglich, bei der Anforderung diese Parameter zu verändern, jedoch kann diese unabhängig (!) auf dem Tan-Generator-Display oder in der mTan-SMS vor Eingabe der Tan nochmals kontrolliert werden. Dies muss natürlich auch konsequent getan werden, damit das Verfahren sicher ist. iTan liegt diesbezüglich sicherheitsmässig in der Mitte, das Abfangen einer iTan nach Bekanntgabe von Zeile und Spalte hilft nichts, solange nicht auch beim Absenden der Transaktionsparameter (Zielkonto, Betrag) eingegriffen werden konnte. Falls ein MITM-Angriff erfolgt kann jedoch auch hier beliebiger Schaden angerichtet werden.
Ja, die TAN ist nicht an eine Transaktion gebunden, aber die Transaktion an eine TAN!

Die Bank fragt ja nicht nach irgendeiner TAN von den 100 zur Verfügung stehenden, sondern die Bank möchte von mir z.B. die Eingabe der 58. TAN.

Es ist also nicht so, dass beim TAN-Blockverfahren grundsätzlich durch die Kenntnis einer TAN jede beliebige Transaktion ausgeführt werden kann.

Das macht es entscheidend komplizierter.

Einfacher ist es meiner Einschätzung nach, die Handy-TAN-Methode zu knacken.
Denn seien wir mal ehrlich, wenn jmd. die "Kontrolle" über meinen Rechner hat, dann hat er in der Regel auch Zugriff auf meine Handynummer, um mir eine gefakte SMS schicken zu können. Ein Blick ins Adressbuch genügt in der Regel.
Darüber hinaus steht die Rufnummer in den meisten Fällen auch in den persönlichen Daten innerhalb des Bankzuganges (bei mir ist es z.B. so), auf den derjenige sowieso den Zugriff benötigt – egal ob Handy-TAN oder Block-TAN.

Von daher kann in 99% der Fälle eben nicht wirklich von 2 getrennten Systemen geredet werden, weil diese heutzutage stark verbunden sind.

Beitrag melden Antworten / Zitieren
women_1900 19.05.2014, 06:54
98.

Zitat von gxman228
die gute alte Tanliste oder bar einzahlen wäre ein Alternative
für Bareinzahlungen verlangen die Banken Gebühren, selbst wenn man zu der Bank geht, bei der das empfangende Konto geführt wird :-(
Da aber gehen die Eurokraten nicht ran, weil die eher Bargeld abschaffen wollen.

Beitrag melden Antworten / Zitieren
fiutare 19.05.2014, 07:19
99.

Zitat von wyborne72
Die Gefahr kann man gänzlich ausschalten, indem man ausschließlich für den mTan-Empfang ein simples, günstiges Handy ohne Schnickschnack mit Prepaid SIM verwendet.
Oder ein Blackberry, das über einen abgeschotteten Firmenserver läuft.
;-)

Beitrag melden Antworten / Zitieren
Seite 10 von 15