Forum: Netzwelt
mTan-Verfahren: BKA warnt vor Betrug beim Online-Banking
imago

Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.

Seite 6 von 15
frutsch 18.05.2014, 16:25
50.

Zitat von citizengun
Jede Bank hat ihren eigenen Algorithmus und für jeden müsste man ein Reverse-Engineering der Hardware betreiben.
Dann befassen Sie sich erstmal mit der Materie, bevor Sie sich so einen Unsinn aus den Fingern saugen. Bei starker Kryptographie hängt die Sicherheit nicht vom Algorithmus ab.

Lesen Sie mal hier: https://de.wikipedia.org/wiki/Transa...#TAN-Generator
Da ist das ohne mathematischen Hintergrund beschrieben.

Beitrag melden Antworten / Zitieren
Wololooo 18.05.2014, 16:35
51.

Zitat von sysop
Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.
Ich habe bei meiner Bank eine Kombination eines physischen Code-Sticks, der jede Minute einen neuen Code generiert und deswegen physisch bei mir ein muss und einer SMS mit TAN.

Sobald die Handynummer oder der Stick weg sind, kann man persönlich zur Bank gehen und kriegt dann Ersatz.

Beitrag melden Antworten / Zitieren
TimmThaler 18.05.2014, 16:35
52.

Zitat von tobiasettlin
Weshalb genau wird das Block-TAN-Verfahren als unsicherste Variante angesehen?
Weil das recht einfach angegriffen werden kann, wenn a) jemand sich zwischen ihren Rechner und die Bank setzt (schwierig, wenn https), oder b) Ihr Rechner kompromittiert ist.

1. Der Angreifer (Trojaner) fängt die Banking-Seite ab und präsentiert Ihnen einen gleich aussehende Seite. In die geben Sie Ihre Überweisungsdaten ein.
2. Der Angreifer fängt Ihre Überweisungsdaten ab und sendet stattdessen seine eigenen zur Bank. Die fordert eine iTan an.
3. Der Angreifer präsentiert Ihnen die für seine Überweisung angeforderte Tan-Nr, aber mit Ihren Überweisungsdaten. Sie geben die iTan ein.
4. Der Angreifer schickt die iTan zu seiner Überweisung an die Bank, die Überweisung wird ausgeführt.
5. Natürlich erscheint jetzt in der Bestätigung und der Transaktionsliste die Überweisung mit den falschen Daten. Der Angreifer fängt also die Bestätigung / Transaktionsliste ab und manipuliert die angezeigten Kontobewegungen und den Kontostand entsprechend Ihrer Überweisung. Sie merken das erst, wenn Sie auf einem anderen Gerät das Konto aufrufen oder die Auszüge holen.

Damit sind Tan und iTan angreifbar. Theoretisch sind damit auch Tangeneratoren angreifbar, aber dann erscheint in der Anzeige der falsche Betrag und die falsche Kontonummer.

Angeblich soll es Trojaner mit diesen Fähigkeiten geben. Gesehen habe ich noch keinen.

Beitrag melden Antworten / Zitieren
frutsch 18.05.2014, 16:37
53. Bitte vor dem Posten verstehen, um was es geht.

Zitat von Acela
Nur mal so zur Info. Selbst wenn meine TAN abgefangen würde, gibt es noch 2 Hürden.01. Die TAN ist nur für den gerade ausgeführte Überweisung gültig. Der Betrüger kann also nichts mit der TAN anfangen. 02. Muss der Betrüger meine Zugangsdaten kennen, das tut er aber nicht. Und Banking über das Handy mache ich nicht.
Ist das Smartphone gehackt, verfügt der Angreifer über die Zugangsdaten. Er kann also selbst beliebige Überweisungen initiieren. Da er auch Zugriff auf die SMS-Funktion hat, kann er die Überweisung dann mit der frisch für seine Überweisungen generierten MTANs absegnen. Ist das Smartphone gehackt, kann er übrigens auch verhindern, dass durch die eingehende SMS irgendein Benachrichtigungston erzeugt wird, außerdem kann er die empfangene SMS löschen. Das Opfer bemerkt also nichts.

Beitrag melden Antworten / Zitieren
Erwin Lottemann 18.05.2014, 16:44
54.

Zitat von sysop
"Wer sichergehen will, nutzt statt des mTan-Verfahrens einen Tan-Generator." Dafür muss der Verbraucher ein kleines Gerät erwerben, in das die EC-Karte eingeschoben wird und das für jede Transaktion einen Schlüsselcode erstellt. Allerdings dürfte es nur eine Frage der Zeit sein, bis dieses Verfahren ebenfalls angegriffen wird, heißt es beim Bundeskriminalamt (BKA).
Das dürfte allerdings ungleich schwerer werden.

Zum Aushebeln des vom Ansatz her gar nicht so dummen mTAN-Verfahrens braucht es eine Schadsoftware auf einem zum Online-Banking verwendeten Smartphone.
Oder - schon schwieriger - die PIN und eine Zweit-SIM-Karte zum Abfangen der SMS.

Um das Chip-TAN-Verfahren auszuhebeln, müßte man schon im Besitz der originalen EC-Karte sein - und der PIN.

Beitrag melden Antworten / Zitieren
mlange8801 18.05.2014, 16:45
55.

Zitat von sysop
Allein im ersten Quartal 2014 habe sich die Zahl der Smartphone-Attacken mit dem geläufigsten Trojaner Faketoken im Vergleich fast versechsfacht, sagt Funk.[/url]
Gibt es dazu auch absolute zahlen?
Gab es im ersten Quartal 2014 sechs Fälle und im Quartal davor 1?

Beitrag melden Antworten / Zitieren
Acela 18.05.2014, 16:49
56.

Zitat von frutsch
Ist das Smartphone gehackt, verfügt der Angreifer über die Zugangsdaten. Er kann also selbst beliebige Überweisungen initiieren. Da er auch Zugriff auf die SMS-Funktion hat, kann er die Überweisung dann mit der frisch für seine Überweisungen generierten MTANs absegnen. Ist das Smartphone gehackt, kann er übrigens auch verhindern, dass durch die eingehende SMS irgendein Benachrichtigungston erzeugt wird, außerdem kann er die empfangene SMS löschen. Das Opfer bemerkt also nichts.
Ich befürchte das sie mein Kommentar nicht verstanden haben. Erwähnte ich nicht, dass ich kein Onlinebanking über mein Smartphone mache? Wie soll also der Angreifer über mein Smartphone an meine Bankdaten kommen?

Beitrag melden Antworten / Zitieren
Radlermass 18.05.2014, 16:51
57. TAN hin oder her

ein IT Profi einer Bank hat mir neulich gesagt: "online Banking, iiich?? einen Teufel werde ich tun!".

Beitrag melden Antworten / Zitieren
gorkamorka 18.05.2014, 17:00
58.

Zitat von sysop
Vorsicht bei Online-Bankgeschäften: Wer sich sogenannte mTan aufs Handy schickten lässt, könnte Opfer von Kriminellen werden. Im neuen SPIEGEL raten Experten zu anderen, sichereren Verfahren.
Einfach Hbci mit Chipkarte machen. Das ist nicht zu überlisten.

Beitrag melden Antworten / Zitieren
Erwin Lottemann 18.05.2014, 17:07
59.

Zitat von manicmecanic
Soll besonders unsicher sein?Mit der Aussage hat sich der Mensch disqualifiziert.Das ist immer noch die sicherste Methode außer man macht Blödsinn wie die Tans irgendwo zu speichern.
...was man beim iTAN-Verfahren aber tun muß, wenn man nicht immer die ganze Liste in der Tasche stecken haben will. Das ganz alte TAN-Verfahren war da besser, weil es genügte, zwei, drei TANs als solche unkenntlich gemacht, aufzuschreiben....

Beitrag melden Antworten / Zitieren
Seite 6 von 15