ComputerBase Menü
Aktuelles

News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

Naja ich bin VF-Kunde und nutze kein mTAN also sollte ich doch sicher sein :D

Verstehe nicht was an mTAN sicher sein soll...die gute alte Papiervariante ist doch eigentlich am sichersten, oder nicht?
Dann haben nur die Zugriff auf die Daten, die wissen wo das Papier ist, und das muss man erst mal finden.
 
Wieso nutzt man denn auch für sowas nen Vertragshandy?

Für so Geschichten wie mTan nutzt man doch ne Prepaid Karte, dann kann sowas auch nicht passieren und die Telefon Nummer hat dann auch sonst niemand.
 
Ja blöd nur dass man das Prepaid Handy mit 15€ aufladen muss was dann ewig hält da man nichts verbraucht, aber nach einem Jahr gekündigt wird da man es nicht auflädt.

Im Haushalt wurden schon 2 Prepaid-Tarife gekündigt weil die nicht aufgeladen wurden obwohl diese aktiv benutzt wurden, nur so wenig dass nach einem Jahr immer noch 13€ von 15€ drauf waren...elendige Halsabschneider.
 
Hiess es nicht mal dass die Tarife nicht mehr gekündigt werden dürfen, wenn man kein Guthaben mehr auflädt?
Da war doch irgend was.

Find bisher nur Meldungen dass das Landgericht Kiel beschlossen hatte Guthaben rückfordern zu können.
Ich hab aber noch in Erinnerung dass man weiterhin erreichbar bleiben darf, auch wenn man kein Guthaben auflädt.
Hab aber jetzt auch keine Lust danach zu suchen :)
 
Zuletzt bearbeitet:
Mal eine Frage wozu nutzt man den so einen Mist auch ?
Wieso nutzen die nicht die EC-Karte und den Tangenerator, oder muss man jetzt überall unterwegs auch schnell Überweisungen tätigen.
Man kann den TanGenerator auch mitnehmen (wenn man nicht ohne im Urlaub etz leben kann) der ist sehr klein wozu muss man da schon wieder das Handy mit einbinden.
 
Zuletzt bearbeitet:
mTAN war auch schon davor unsicher das ist längst bekannt. Recht sicher war da überhaupt nichts!

mTAN einfach nicht nutzen, es gibt diese Bild TAN Generatoren als App Version iOS), die man gesondert aktivieren muss und selbst dann dauert es ein paar Tage bis man die verwenden kann und man bekommt eine Mitteilung über das aktivierte Gerät, so zumindest bei der Deutschen Bank. Android und Banking würde ich niemals machen, dümmer kann man nicht sein. Ansonsten muss man eben die üblichen Regeln befolgen. Sichere Passwörter einmalig nutzen, Updates installieren, mehrere Mailadressen nutzen (Einkäufe, Zahlungsverkehr, Spiele Accounts, Foren etc..) Macht aber fast niemand, deshalb sind diese Leute im Arsch wenns mal passiert.

Edit:

wobei man auch sagen muss, wirklich sicher kann das auch nicht sein. Irgendwann finden Gauner einen Weg. Vielleicht verzichtet man auch einfach auf 24/7 Onlinebanking.
Ich habe ein Gehaltskonto, da wird das Geld verwaltet, Haus, Wertpapiere etc. und da gibts weder Telefon noch Onlinebanking oder KK. Für mein Onlinebanking habe ich ein zweites Konto mit monatlichem Geld, das ich brauche und ner PPKK, damit komme ich gut klar und sollte jemand mein Konto leeren wollen auch durch meinen Fehler, kann er maximal 1000-1500 Euro abräumen.
 
Zuletzt bearbeitet:
Was mich nach dieser Geschichte beschäftigt ist, dass der gute Herr Maas sich letzte Woche im Bundestag hinstellt und damit brüstet, dass die Daten der Vorratsdatenspeicherung ja nicht vom Staat gespeichert würden, sondern von den Providern...

Na herzlichen Glückwunsch. Aber bei dem Gruppen IQ der im Bundestag in Sachen Digitaler Medienlandschaft herrscht wundert einen echt garnichts mehr. Traurig, traurig...
 
Stichwort Tan Generator.
Ich weiß ja nicht wie genau das abläuft aber die eingegebene Pin wird ja über den (womöglich kompromittierten) PC geschleust und via Inet verifiziert.
Na ich weiß net ob das sicherer sein kann.
Wenn man da die PIN irgend wie bekommen kann, der hätte ja dann noch leichteres Spiel, wenn er auch noch in Besitz miener Karte käme
 
Die generierte TAN ist aber nur für die eine Transaktion gültig und welche Transaktion das ist zeigt einem der TAN Generator auch an. Wer da natürlich nicht drauf schaut und sich modifizierte Transaktionen unterschieben lässt ist selber schuld. gegen Doofheit hilft keine Technik ;-)
 
WhiteShark schrieb:
Für SMS-Tan braucht es aber einen Trojaner auf dem PC und dem Smartphone (oder einen unfähigen Provider).
iTan reicht ein Trojaner auf dem Desktop.
Zum Vergrößern anklicken....

Aha. Und wie soll das funktionieren? Die Verbindung zur Bank ist doch gesichert und die Identität wird im Browser bestätigt. Die könnten zwar über einen keylogger die Tan mittloggen, aber bevor sie diese einsetzen könnten wäre sie wertlos. Sowas kann doch nur einen Dau treffen der auf eine manipulierte seite reinfällt. Und in dem fall wäre es auch egal ob die Tan nun aus einer Liste oder vom Handy kommt. iTan ist sicher. Das Problem sitzt immer vor dem Rechner.
 
Ich sags ja immer wieder: Social Engineering ist die gefährlichste Hacker-Attacke.

Beste Sicherheitstechnik hilft wenig, wenn der Faktor Mensch als Einfallstor ein zu leichtes Ziel darstellt.
 
@ wahlmeister selbst wenn diese die Tan mitloggen bringt das nicht da diese nicht verwendbar ist, und nur für die bestimmte Transaktion generiert wird, und nicht für was anderes verwendet werden kann, da ja die Empfängerdaten nicht getauscht werden können da können die Tans abfangen was die wollen.
Ohne die EC-karte geht garnichts, selbst wenn die die Zugangsdaten erfasst hätten zum Banklogin. Und wenn einer nur die Karte klaut oder kopiert was auch schon schwer ist bei normalen Leuten mit etwas Grips, fehlen ihm die Zugansdaten zur Bank immer noch, ich sehe nicht wie das umgangen werden kann, und falls doch sollte der Aufwand imens sein, da der Bankzugang nach drei fehlerhaften Logins gesperrt wird.
 
AnfängerEi schrieb:
Stichwort Tan Generator.
Ich weiß ja nicht wie genau das abläuft
Zum Vergrößern anklicken....
Ich logge mich mit Benutzerkennung und Passwort auf der Bank-Seite ein, gebe die Überweisungsdaten ein, stecke die EC-Karte ins Lesegerät, das die Daten am Bildschirm per Flickercode empfängt, und bekomme dann zum Abgleich noch einmal Kontonummer und Geldbetrag angezeigt. Erst dann wird der TAN-Code ausgegeben, mit dem ich die Überweisung am PC abschließen kann.

Selbst wenn Daten geloggt oder sonstwie abgefangen werden: Ohne die EC-Karte geht nix.
 
Zuletzt bearbeitet:
wahlmeister schrieb:
Aha. Und wie soll das funktionieren? Die Verbindung zur Bank ist doch gesichert und die Identität wird im Browser bestätigt. Die könnten zwar über einen keylogger die Tan mittloggen, aber bevor sie diese einsetzen könnten wäre sie wertlos. Sowas kann doch nur einen Dau treffen der auf eine manipulierte seite reinfällt. Und in dem fall wäre es auch egal ob die Tan nun aus einer Liste oder vom Handy kommt. iTan ist sicher. Das Problem sitzt immer vor dem Rechner.
Zum Vergrößern anklicken....

Bei mTAN bringt ein Trojaner nur auf dem Desktop oder eine Phishing-Attacke nichts. Denn in der SMS steht auch der Betrag. Da merkt man es wenn die Überweisung manipuliert ist.
Bei iTAN muss nur ein System manipuliert sein, bei mTAN zwei. Folglich ist mTAN deutlich sicherer.
 
Wie ich einfach schon vor dem Klick wusste, dass es im Artikel dann doch wieder ganz anders (und nicht so schlimm) steht wie die Überschrift wieder suggeriert.

Wir nähern uns hier sehr bald Bild-Niveau liebe CB-Redaktion :freak:
 
Peter_Shaw schrieb:
Ich logge mich mit Benutzerkennung und Passwort auf der Bank-Seite ein, gebe die Überweisungsdaten ein, stecke die EC-Karte ins Lesegerät, das die Daten am Bildschirm per Flickercode empfängt, und bekomme dann zum Abgleich noch einmal Kontonummer und Geldbetrag angezeigt. Erst dann wird der TAN-Code ausgegeben, mit dem ich die Überweisung am PC abschließen kann.

Selbst wenn Daten geloggt oder sonstwie abgefangen werden: Ohne die EC-Karte geht nix.
Zum Vergrößern anklicken....

Alles was in den "trojanisierten" PC eingelesen oder eingegeben wird ist unsicher, Die Daten Deiner EC-Karte können schon beim puren Einlesen schneller automatisiert an einen Rechner/eine Fake-Seite gesendet werden wie die Login Daten und das Ergebnis Deines Tan-Generators, bevor es an die "richtige" Seite weiter-/zurückgesendet wird.

In dem Fall ist eigentlich die mTan sicherer, zumindest wenn man nicht so blöd ist gleichzeitig auf dem Handy das Banking zu betreiben oder die Bank so blöd ist Deine Handynummer unverfälscht im Bankingbereich anzuzeigen. Anders konnten die Hacker eigentlich nicht an Deine Handynummer beim Banking kommen um die Betrügerei bei der Telekom anzustellen.

Witzig ist, dass ausgerechnet die Postbank als Bild hier hergehalten muss, welche keine unverfälschte Telefonnummer im Bankingbereich anzeigt.

Solange es eine Hackingssoftware schafft sich "zwischen" Deiner Bank und Deinem Rechner einzuklinken kann Dein Geld beim letztendlichem Abschicken schon weg sein. Da nützt auch eine Verschlüsselung nichts, wenn der Trojaner deinen Bildschirminhalt scannt.
 
Zuletzt bearbeitet:
Pr0gramm schrieb:
Android und Banking würde ich niemals machen, dümmer kann man nicht sein.
Zum Vergrößern anklicken....

und noch dümmer sind die, die glauben ios wäre sicher!
Erst letzten Monat wurden mindestens 40 Apps aus dem Store entfernt, die mit einem Wurm infiziert waren! Darunter eine App, welche 200millionen Nutzer hatte! soviel dazu...
 
Das mTan-Verfahren beruht da drauf dass man eben ZWEI Geräte benutzt, wer dann noch sein Smartphone fürs Banking benutzt hat es nicht anders verdient. (Außer er hat ein Zweithandy für die TANs.)
 
Klasse Artikel, nur dass es (mal wieder) Absolut 0 mit der "Schlagzeile" zu tun hat.
Hier wurde nicht mTAN "überlistet" sondern der unterbezahlte CallcenterAgent eines Telkos.

Des weiteren bedarf es schon sehr ausgeprägter SE Kenntnisse, dass man denen erklären kann die SimKarte nicht an den Rechnungsinhaber sondern den Shop zu senden - ich würde mich nicht ein bisschen wundern, wenn diese CallCenter Menschen durchaus etwas vom "Kuchen" abbekommen haben - bzw. eben von oben die Anweisung erhalten haben mitzumachen (unwissend).

Aufgrund der hier zugrundeliegenden Logik könnte man ebenso behaupten, dass jedes KFZ geknackt wurde, jedes Haus unsicher verschlossen ist oder jede Kreditkarte kompromittiert wurde. Mehr als 500€ muss man nämlich nicht dafür ausgeben um eben all diese Vorgänge durchzuführen, eher sogar weniger.
 
Taigabaer schrieb:
zumindest wenn man nicht so blöd ist gleichzeitig auf dem Handy das Banking zu betreiben
Zum Vergrößern anklicken....

Zustimm.
Das ist zumindest durch die Bestimmungen untersagt, was die Sparkasse anbelangt. Ich gehe einfach mal davon aus, dass es jede Bank so handhabt.
Wobei das wiederum nichts nützt, wenn der Kunde, wie so oft, bei allem auf ja klick und blind Wegs akzeptiert und somit gar nicht weiß, dass es der Sicherheit wegen solche Klauseln gibt die dann natürlich auch einzuhalten sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Sicherheit eines WLAN Routers beim Online Banking ? Besser LAN verwenden?
Antworten
13
Aufrufe
1.388
h00bi
h00bi
fethomm
News Online Banking mit mTan-Verfahren nicht absolut sicher
8 9 10
Antworten
180
Aufrufe
22.297
LinuxMcBook
LinuxMcBook
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz