News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

[UNDERESTIMATED]

Die SparkassenApp hat aber mit der klassischen mTAN nix zu tun!

Richtig, ich zielte mit der Verlinkung auch nicht darauf ab, dass mTAN Verfahren als Unsicher zu erklären sondern wollte damit nur noch einmal darauf hinweisen, dass es sehr wohl machbar ist "falsche" Daten anzuzeigen aber dennoch "richtige" zu erhalten. Das funktioniert mit der mTAN genauso wie es mit der pushTAN und der photoTAN (technisch) derzeit eben auch schon funktioniert.

Wie gesagt, ich kann jemanden in seinen eigenen Räumen, zwingen, mir eine Überweisung zu tätigen, und schon ist es überlistet.

Überlistet hast du dann in der Tat genau gar nichts.

Wieso sollte ich mir respektive HBCI antun? "Besitz und Wissen" ist hier genauso wichtig wie bei mTAN, somit ist mTAN für die gemütlicheren eine gute Wahl und nicht unsicher.

Genauso wichtig ja, genauso sicher eben nein. Dein Handy kann kompromittiert werden, der Täter hat Zugang zu deinen Mails und eben den SMS, evtl. kann er dann sogar bestimmte Rufnummer blockieren und schon kriegst du wenn überhaupt das nächste mal am ATM einen Rappel weil dein Konto leer ist. Das klappt mit HBCI eben so nicht - da kannst du sowieso wenn überhaupt nur dann "überlistet" werden wenn du wissentlich eine ÜW tätigst.

@das_mav: Wie oft noch: Falsche Blinkebildchen bringen nichts, da die Auftragsdaten auf dem TAN-Generator angezeigt werden und bestätigt werden müssen, bevor die unter anderem daraus errechnete TAN ausgegeben wird und manuell am Rechner eingegeben werden muss.

Deswegen ja der verlinkte Heise-Artikel, offensichtlich kann man eben DOCH andere Daten anzeigen lassen als tatsächlich da stehen sollten. Dass das nur bei der pushTAN wie dort beschrieben so ist, ist nur Spekulation. Gefälschte oder manipulierte SMS anzuzeigen kann jedes Scriptkiddy mit den passenden Programmen - womit dann schonmal auch mTAN unsicher wäre.
Nochmal: iTAN ist unsicher, sehe ich ein - die Angriffsvektoren sind aber noch relativ überschaubar. In nahezu jedem anderem Szenario kommt nun aber noch ein weiteres Gerät dazu (Handy/Kartenleser/whatever) was ebenfalls angreifbar ist was eine Papierliste nunmal eben nicht ist.
Ich spekuliere sicher nur, aber ich könnte mir durchaus vorstellen, dass Betrag und ÜW Daten in einer Art Code übermittelt werden - der bei entsprechender Reproduktion auch irgendwie "geknackt" werden könnte um dort eben andere Daten mit aber der gewollten Adresse+Betrag zu übersenden. Dass eben das mittels MITM und einer angelegten Sammelüberweisung so schon geklappt hat wo dir dann eben nur der Gesamtbetrag, nicht aber das Empfängerkonto angezeigt wird steht so auch in den verlinkten Artikeln.

Auch waren mir zu Beginn diese Geräte, die mit den bunten Bildern arbeiten und dir Zusatzinformationen anzeigen nicht bekannt - ich kannte nur jene die einen dynamischen QR-Code verwenden um daraus NUR und ausschliesslich eine TAN zu generieren, die sind aber wohl in der Tat mittlerweile veraltet und werden so nicht mehr verwendet - laufen aber dennoch unter demselben Begriff wie die aktuelleren.

iTAN ist unsicherer als mTAN, ChipTAN oder PhotoTAN, da die TANs prinzipiell mit jedem Zielkonto und mit jedem Betrag funktionieren und du keine Möglichkeit hast zu überprüfen oder sicherzustellen, ob die Bank auch die richtigen unveränderten Daten empfängt.

Eben diese Möglichkeiten hast du mit mTAN oder photoTAN auch nur begrenzt - wie man ja nun sieht ist nicht einmal ein physischer Zugriff auf eben jene Geräte (Im Falle mTAN) notwendig um dennoch die TANs zu erhalten.
Was man da nun als "sicherer" Hinstellen möchte ist mir dann schon etwas Auslegungssache, du darfst aber natürlich gerne einer anderen Meinung sein. Natürlich habe ich aber genauso die A-Karte wenn meine Liste gestohlen wird.

Informiere dich mal anstatt so etwas Falsches zu schreiben und trotz Korrektur immer wieder zu wiederholen.

Mache ich, danke
Es ist also falsch, dass man ohne dein Wissen überweisen kann, wenn man dein Smartphone kompromittiert hat?
Es ist also falsch, dass man ohne dein Wissen (an andere)überweisen kann, wenn man dir einen anderen photoTAN Code anzeigen kann?
Es ist also falsch, dass man ohne dein Wissen (an andere)überweisen kann, wenn man dir einen falschen pushTAN anzeigen kann?
Es ist also falsch, dass man ohne meine TANListe überhaupt niemandem auch nur einen Cent überweisen kann?
Es ist also falsch, dass HBCI Kartenleser einen starken "Comfortverlust" darstellen, dafür aber auch sicherer sind?
Es ist also falsch, dass nicht jede Bank jedes System anbietet?

Wo genau siehst du denn die Fehler?

Und nur weil kein System 100%ig sicher ist heißt dass noch lange nicht, dass sie genau so sicher wie, geschweige denn unsicherer als iTANs sind. Der Aufwand der Kompromittierung macht die Sicherheit und der ist bei allen auftragsbezogenen TAN-Systemen höher als bei iTAN.

Eine Variable hast du da aber vergessen: Das maximal abgreifbare Volumen. Das ist bei mehreren ÜW über evtl. sogar mehrere Tage weitaus höher als bei meiner iTAN und die Motivation dahingehend verschoben. Ein Fahrrad zu klauen ist auch weitaus einfacher als ein Auto zu stehlen, das macht Fahrradschlösser aber auch nicht unsicherer als Türschlösser und Wegfahrsperren bei einem PKW. Ich bin daher immer noch der Meinung, dass mein Fahrradschloss für die iTAN Liste sicherer ist als deine Elektronischen Helferlein für deinen PKW. Das mag dir anders gehen - Sicherheit ist schliesslich eh nur ein Gefühl und darüber kann man sich nunmal eh nicht streiten

mTan ist nicht pushTan, über pushTan wurde bisher in diesem Thread überhaupt nicht geredet. Und mTan gilt auch schon seit Jahren als halbwegs unsicher, niemand der halbwegs was von der Materie versteht wird es als 100% sicher bezeichnen. Angriffsvektoren wurden hier schon zur genüge genannt: Social Engineering, Verlust des Handys, Virus auf Handy etc.

Ja, das war vielleicht auch mit dem kurzen Satz nicht ganz ersichtlich. Es ging gegen das immer wiederkehrende Argument, man bekäme bei den 2-Wege Systemen ja immer richtige Daten angezeigt und sei daher sicherer, was ich damit widerlegen wollte.
Darüberhinaus habe ich ja auch bereits etwas weiter oben ausgeführt, dass es ebenfalls nicht wirklich kompliziert sein dürfte auf einem Smartphone ankommende SMS in den "Spamordner" zu schubsen um sie dort zu manipulieren und verfälscht wieder auszugeben.

Falsche Blinkebildchen: Lern lesen, das bildet enorm. Ich schrieb bereits mehrfach in diesem Thread, dass man auf dem chipTan Gerät genauso wie auf dem HBCI Gerät vor der ÜW Empfänger und Betrag angezeigt bekommt. Solange ich in der Lage bin, 2 Zahlen zu kontrollieren, schiebt mir da keiner was unter. Und auch wie du bei chipTan jeder Zeit ohne mein Wissen ÜWs durchführen willst verstehe ich nicht. Die Karte ist nicht im Gerät, das Gerät ist nicht vorm Bildschirm, ich muss am Gerät selbst eine Taste drücken, damit der überhaupt die das Bildchen wahrnimmt, dann muss ich 2x bestätigen (Empfänger + Betrag) und die Tan vom Gerät abtippen und in den PC eingeben. Wie soll das ohne mein Wissen klappen? Jederzeit ohne mein Wissen geht bei chipTan und HBCI genausowenig wie bei iTan. Dafür gibt es bei iTan deutlich mehr soziale Angriffsvektoren (Phising etc.) wie auch technische (MITM), die mit mTan, HBCI und chipTan konzeptbedingt ausgeschlossen sind.

Du scheinst selbst nicht so Recht zu lesen: Das mir vormals unbekannte, dem HBCI Verfahren aber Augenscheinlich recht ähnliche chipTAN(comfort) Verfahren habe ich bewusst ausgeklammert - sorry falls da der Eindruck entstand ich sehe dieses System als unsicher(er) als irgendwas anderes an. HBCI ist noch einmal einen Stück sicherer in meinen Augen weil da keine (technisch) verfälschten FlickerCodes verwendet werden und zudem eine Manipulation der FW sofort die Integrität der Prüfsumme verfälschen würde was das gesamte Gerät dann auch nicht mehr ÜW lässt.
Und was du sagst ist so auch nicht ganz korrekt:

Spoiler

Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. Den dann von der Bank übertragenen sogenannten Flickercode leitet der Trojaner an das Opfer weiter. Auf dessen Gerät erscheint nun die Summe, als Anzahl der Überweisung eine 1 und die TAN. Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.

Das ist mit denke ich jeder Art der hier genannten TAN Verfahren möglich, mit HBCI aber eben nicht. Angenommen du willst irgendwem 200€ überweisen kann der "Hacker" eine Sammelüberweisung mit dieser Summe erstellen und du merkst davon nur etwas wenn du dich selbst hinterfragst warum denn dort keine Empfängeradressen angezeigt werden. In mal geschätzt 90% wird aber eben doch die angezeigte TAN verwendet weil man dem System eben oftmals mehr traut als sich selbst.

Vielleicht einfach mal andersrum rangehen: Über diese Verfahren haben sich auch einige kluge Leute Gedanken gemacht. Und jede Bank hat sicher lange evaluiert, ob sie das Geld in die Hand nimmt und solche neuen Verfahren implementiert. Wenn die Konzeptbedingt deutlich schlechter wären als iTan hätte das keiner eingeführt, denn die Banken haften ja für die Schäden durch Hacker. Und wer führt ein unsichereres System ein (was viel Geld kostet) nur um noch mehr Geld zu verlieren, wenn er für die Schäden aufkommt?

Sicher, und dann kamen tolle Studien wie Praxinah das vorgeschlagene denn nun ist und was man alles entfernen sollte um den Verbraucher nicht zu überfordern. Ich kenne sowas nur zu gut. Außerdem entscheiden hier weniger die Banken als wieder der Verbraucher - durch massenhafte Berichte von Phishingangriffen und gefälschten Bankingseiten wurde eben der Unmut groß, dass sowas ja nicht sein könne. Das beste und einfachste Mittel dagegen war und ist eben dem Verbraucher nur noch EINE TAN, diese aber möglichst Zeitnah zu übergeben um seine ÜW zu verifizieren. Dass aber nunmal 5 Holztüren nicht besser sind als eine Stahltür interessiert den Verbraucher dabei keinen Meter, er fühlt sich wieder sicher, das reicht, auch der Bank. Zudem haftet die Bank eben nicht immer zu 100%. Auch da haben die ganz gute Regeln und Gesetze nach denen sie dir eine Mitschuld unterstellen dürfen.

Nichts von dem, was du schreibst, trifft auf chipTAN zu. Du musst einfach mal einsehen, dass die Sicherheit in dieser Reihenfolge ist:
chipTAN>mTAN>iTAN

Nein, aus diversen Gründen kann ich mTAN getrost auf dieselbe Sicherheitsstufe wie iTAN hiefen und wenn ich mich mit iTAN sicherer fühle weil ich einen Browser in der Sandbox auf einem Unixsystem boote bevor ich kritische Seiten aufrufe um ÜW zu tätigen und meine TANListe generell sicher unter Verschluss halte, während andere mit ihrem mTAN Empfänger in die Disco gehen, dann ist auch das meine Sache. Du teilst die dir auferlegte Ansicht der Bank - das ist nichts schlimmes, allerdings sehe ich das eben etwas anders und denke das darf ich auch

Ich werd mir auf jeden Fall mal überlegen nicht doch von mTan auf ChipTan zu wechseln.
Einmalige Anschaffung und keine Weiteren Kosten.
Muss nicht 2 Handy mit mir rum schleppen - falls man auch unterwegs online Banking betreibt - oder immer ein Lappi dabei haben.
Und es werden einem nicht jedes mal die sms-Kosten auferlegt.

Fast jedes aktuelle TAN Verfahren dürfte sicherer sein als die mTAN - wirklich sicher ist aber nur alle seine Konten aufzulösen. Du zahlst also für SMS Empfang? Finde ich auch etwas seltsam, sowas ist mir nicht bekannt.

Es gab schon Fälle wo mit gefälschten FAXen TP-Cards mit den richtigen Vordrucken bei Sparkassen bestellt wurden weil man "umgezogen" sei und seine Karten verloren hatte. Diese wird fast sofort innerhalb von 1-2 Tage ausgegeben und dient ausschliesslich für Bargeldverfügungen am Bankautomaten. Ein toter Briefkasten und ein FAX, das war dann alles was man brauchte um nahezu uneingeschränkt Konten zu leeren. Da hilft dann garnix mehr außer MA Schulen.

 

[AnfängerEi]

Du zahlst also für SMS Empfang?

Nein nicht für den Empfang. Dafür, dass sie mir eine Schicken. Die Kosten werden quasi auf mich umgewälzt.
Glaub 8 Cent sind das.

Finde ich auch etwas seltsam, sowas ist mir nicht bekannt.

Seltsam? Die Bank?
Nutzervereinbarung evtl noch mal nachschlagen.
Ich kann nur für meine Bank sprechen.
Aber es kann ja auch möglich sein, dass manche Banken pauschal die Kontoführungsgebühren erhoben haben, seit den neuen Sicherheitsverfahren (gibts ja jetzt auch schon ein halbes Jahrzehnt). Ob man dann den Service nutzt oder nicht spielt dann keine Rolle. Oder generell (extra) Gebühren verlangen für Online-Banking.
Das war von mir jetzt natürlich nur geraten, könnte ja alles möglich sein.
Meine Bank verlangt nix zusätzlich, ausser eben die Unkosten.
Auch wenn ich längere Zeit keine Kontoauszüge hole, werden mir diese Postalisch zugeschickt und ich zahle das Porto.

Hier mal ein alter Auszug. Finde gerad nix passendes in aktuellen AGBs
https://www.sparkasse-saarbruecken.de/pdf/content/online_banking/faq_smstan.pdf

Unter dem Punkt
"Warum bietet die Sparkasse das smsTan-Verfahren nicht kostenlos an?"
Steht:
Wir bieten mit smsTAN ein innovatives Verfahren an. Für die gesendeten SMS müssen auch wir bei den Mobilfunk-anbietern bezahlen. Wir bieten unseren Kunden diese aber zu marktgerechten Preisen an.

Die Sparkasse ist nicht die einzige Bank, die dafür Geld verlangt.

 

[UNDERESTIMATED]

Die Sparkasse ist nicht die einzige Bank, die dafür Geld verlangt.

Interessant, ich bin auch Kunde bei der Sparkasse (HASPA) und habe derlei Kosten nicht.
Das kann aber auch durchaus damit zusammenhängen, wie du auch vermutest, dass ich mich vehement gegen das Verfahren gewehrt habe und weiter wie bisher meine iTANs nutzen wollte, die das aber dann doch irgendwann von sich aus geändert haben ohne dass ich dafür ein neues Dokument unterzeichnet habe. Eventuell liegt das aber auch am Kontovertrag, dass es bei mir "kostenlos" ist, ich zahle nicht gerade wenig im Monat an Kontoführungsgebühren, gemessen an den Leistungen die ich dafür erhalte aber immer noch weitaus weniger als mit eben wie bei dir etwaigen Zusatzkosten für bestimmte Services.

Grade nochmal nachgeschlagen, dazu:

Spoiler

Welche Kosten entstehen mir, wenn die smsTAN ins Ausland versendet wird?
Grundsätzlich funktioniert das smsTAN -Verfahren auch im Ausland, allerdings nur mit einem deutschen Mobilfunkvertrag.
Die Haspa berechnet Ihnen keine Kosten für die Nutzung und den Versand der smsTAN. Kosten für den Empfang der smsTAN außerhalb Deutschlands ("Roaming") erfragen Sie bitte bei Ihrem Mobilfunkprovider.

Somit dürfte das bei mir dann wohl in der Tat mit den Kontoführungsgebühren als inkludierter "Service" abgedeckt sein. Da es aber auch Konten ohne diese Gebühr dort gibt, zahle ich so gesehen für die anderen mit.

 

[AnfängerEi]

Ist wohl auch Ortsabhängig.
Bei mir sind die Gebühren niedriger
Die paar mal 8 Cent im Monat wiegt das lange nicht ab, was ihr drauf zahlt.
Ich find's schon gut so wie's bei uns hier ist.

Hab gelesen, dass es wohl Banken gibt die pro Monat 5 sms-Tan frei stellen.
Das ist wohl alles von Ort zu Ort und Bank zu Bank unterschiedlich.
Da finde ich eine Pauschalabgabe mit das schlimmste wenn nicht sogar schon unverschämt. Da zahlt man für Service den man evtl gar nicht benutzt.
Dät ma bös stinke

 

[S.Longus]

Nochmal: iTAN ist unsicher, sehe ich ein - die Angriffsvektoren sind aber noch relativ überschaubar. In nahezu jedem anderem Szenario kommt nun aber noch ein weiteres Gerät dazu (Handy/Kartenleser/whatever) was ebenfalls angreifbar ist was eine Papierliste nunmal eben nicht ist.
[...]
Nein, aus diversen Gründen kann ich mTAN getrost auf dieselbe Sicherheitsstufe wie iTAN hiefen und wenn ich mich mit iTAN sicherer fühle weil ich einen Browser in der Sandbox auf einem Unixsystem boote bevor ich kritische Seiten aufrufe um ÜW zu tätigen und meine TANListe generell sicher unter Verschluss halte, während andere mit ihrem mTAN Empfänger in die Disco gehen, dann ist auch das meine Sache. Du teilst die dir auferlegte Ansicht der Bank - das ist nichts schlimmes, allerdings sehe ich das eben etwas anders und denke das darf ich auch

Du hast es leider immer noch nicht verstanden:
Um mTAN zu überlisten muss man, wie du ja erkannt hast, das Handy mit Schadsoftware "ausstatten". Aber zusätzlich auch den PC.
Wenn der PC aber kompromittiert ist, dann ist auch das iTAN System überlistet.
Um mTAN zu knacken: Schadsoftware auf Handy UND PC.
Um iTAN zu knacken: Schadsoftware nur auf PC.

Also kann iTAN NIE sicherer sein, als mTAN.

 

[AnfängerEi]

Ich muss jetzt auch mal was zu der "was ist sicherer Debatte" beitragen

In nahezu jedem anderem Szenario kommt nun aber noch ein weiteres Gerät dazu (Handy/Kartenleser/whatever) was ebenfalls angreifbar ist was eine Papierliste nunmal eben nicht ist.

Das klingt mir mehr nach einer Meinung.

Ein Kartenleser (TAN-Generator) kann nicht überlistet werden und ist auch nicht angreifbar, da dieses die Überweisungsdaten nur wieder gibt und mit Hilfe der EC-Karte dann eine TAN generiert. Das Gerät speichert keine wichtigen Daten und ist auch weder mit dem PC noch mit dem Internet verbunden. Weiter benötigt man ja auch noch die EC-Karte.

Man könnte genauso gut bei mTAN seine SIM-Karte einfach nur dann ins Handy einsetzen wenn man auch eine TAN anfordern muss / will. Oder man nutzt dafür ein Handy welches nicht internetfähig ist und man auch nicht am PC anschließt. Dann wäre es zwar nicht auf Niveau eines Kartenlesegerätes aber sehr viel näher. Wie aus dem Artikel hier zu entnehmen ist, ist man zumindest mit Vertragskarten nicht unbedingt gefeit.
Mit einer Prepaid aber müsste man schon ziemlich auf Niveau eines Kartenlesers sein.

Warum aber dann "so umständlich" und nicht gleich ein Kartenleser holen^^
Also ich finde mTAN, je nach Umgang damit natürlich, sehr sicher.
Aber das ist auch nur eine Meinung, nämlich die meine.

 

[Autokiller677]

Ja, das war vielleicht auch mit dem kurzen Satz nicht ganz ersichtlich. Es ging gegen das immer wiederkehrende Argument, man bekäme bei den 2-Wege Systemen ja immer richtige Daten angezeigt und sei daher sicherer, was ich damit widerlegen wollte.

Dieses Argument hat so pauschal hier kaum jemand gesagt, wenn es überhaupt gesagt wurde, und es war auch nicht der vorherrschende Ton. mTan wurde von vielen als Unsicher bezeichnet, selbst als 2-Wege Verfahren, eben weil SMS gefälscht (da unverschlüsselt) und Smartphones gehackt werden können.

Du scheinst selbst nicht so Recht zu lesen: Das mir vormals unbekannte, dem HBCI Verfahren aber Augenscheinlich recht ähnliche chipTAN(comfort) Verfahren habe ich bewusst ausgeklammert - sorry falls da der Eindruck entstand ich sehe dieses System als unsicher(er) als irgendwas anderes an.

Du hast in einem Satz etwas von manipulierten Flackerbildchen geschrieben und direkt im Anschluss, dass mit jedem System jederzeit ohne mein Wissen eine ÜW eingeleitet werden kann. Daher der Eindruck, dass du ChipTan dazu zählst.

HBCI ist noch einmal einen Stück sicherer in meinen Augen weil da keine (technisch) verfälschten FlickerCodes verwendet werden und zudem eine Manipulation der FW sofort die Integrität der Prüfsumme verfälschen würde was das gesamte Gerät dann auch nicht mehr ÜW lässt.

Dafür hängt das Gerät über USB am PC, was deutlich mehr Möglichkeit zum Kompromittieren oder verfälschte Daten übermitteln bietet als ein paar Blinkebildchen. Du redest immer von gefälschten Blinkecodes, die trotzdem die richtigen Daten auf dem Gerät anzeigen - hast du mal ein Beispiel dafür, dass so ein Angriff (in irgendeiner in der Realität durchführbaren Form) erfolgreich war? Mir wäre nichts bekannt.
In der Theorie mag HBCI ein paar mehr Überprüfungsmechanismen haben, ich sehe aber dadurch keinen Vorteil in der Praxis, d.h. ich sehe nicht, dass irgendwelche Angriffsvektoren geblockt werden, die bei chipTan vorhanden wären.

Und was du sagst ist so auch nicht ganz korrekt:

Spoiler

Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. Den dann von der Bank übertragenen sogenannten Flickercode leitet der Trojaner an das Opfer weiter. Auf dessen Gerät erscheint nun die Summe, als Anzahl der Überweisung eine 1 und die TAN. Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.

Was ich geschrieben habe stimmt. Ich muss in der Lage sein, 2 Zahlen zu kontrollieren. Und wenn da statt dem Empfängerkonto plötzlich nur eine 1 steht, sollte ich wohl mal stutzig werden.
Zudem zitierst du dir den Artikel ein wenig zurecht. Einige Banken (möglicherweise auch mehr als da stehen, keine Ahnung wie aktuell wikipedia da ist) haben diese Lücke schon lange geschlossen:

Spoiler

Nachdem dies bekannt wurde^[32][33], haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.

Das ist mit denke ich jeder Art der hier genannten TAN Verfahren möglich, mit HBCI aber eben nicht. Angenommen du willst irgendwem 200€ überweisen kann der "Hacker" eine Sammelüberweisung mit dieser Summe erstellen und du merkst davon nur etwas wenn du dich selbst hinterfragst warum denn dort keine Empfängeradressen angezeigt werden. In mal geschätzt 90% wird aber eben doch die angezeigte TAN verwendet weil man dem System eben oftmals mehr traut als sich selbst.

Naja, wie gesagt, chipTan setzt voraus, dass ich 2 Zahlen vergleichen kann. Wer sich das nicht zutraut, sollte HBCI benutzen. Aber wie schon gesagt ist dieser Angriffsvektor bei einigen (vielen) Banken eh nicht mehr möglich.
Oder wer oft Sammelüberweisungen macht (ist HBCI da sicherer?), wobei ich nicht mal weiß, ob ich das als Privatperson kann. Habe ich zumindest noch nie wahrgenommen.

Nein, aus diversen Gründen kann ich mTAN getrost auf dieselbe Sicherheitsstufe wie iTAN hiefen und wenn ich mich mit iTAN sicherer fühle weil ich einen Browser in der Sandbox auf einem Unixsystem boote bevor ich kritische Seiten aufrufe um ÜW zu tätigen und meine TANListe generell sicher unter Verschluss halte, während andere mit ihrem mTAN Empfänger in die Disco gehen, dann ist auch das meine Sache. Du teilst die dir auferlegte Ansicht der Bank - das ist nichts schlimmes, allerdings sehe ich das eben etwas anders und denke das darf ich auch

Einerseits benutzt du da ja nicht nur iTan sondern noch einige andere Sicherheitsmaßnahmen, also ist das Verfahren iTan + x.
Und dazu bleibt, das iTan durch einen simplen MITM knackbar ist (auch bei Unix von LiveCD) - dieser Vektor ist bei mTan sofort raus. Einfach nur die Verbindung abzufangen (Honeypot z.B.) reicht in keinem Fall, du musst mindestens das Gerät hacken oder zusätzlich noch die SMS abfangen und fälschen - selbst wenn du vom Handy aus online banking machst.
Ich bleibe dabei, da gibt es nicht viel zu diskutieren. Dadurch das bei mTan mindestens 2 Übertragungswege, im Idealfall sogar 2 Geräte, kompromittiert werden müssen, ist es sicherer als iTan wo das simple abfangen der Internetverbindung bereits reicht.

Du darfst da gerne denken was auch immer du willst, und kannst auch falsche Unterstellungen in den Raum werfen, dass ich einfach auf die Bank höre. Davon wird das aber alles nicht weniger falsch. Fakten sind nicht zu diskutieren, und die Komplexität des Minimalangriffs ist bei mTan höher als bei iTan (wie gesagt: Eine Verbindung kapern (WLAN-Honeypot (recht simpel und bei praktisch jedem Consumer Gerät in 5 Min erledigt)) gegen Gerät hacken (Geräteabhängig von halbwegs einfach bis fast unmöglich) oder 2 Verbindungen kapern (ka wie einfach Mobilfunk zu kapern ist)). Davon, dass das Gerät in der Disko ist hast du ja noch nix. Wenn du es stiehlst, ist ein Passwort auf der App und dann muss nochmal das Online-Passwort eingegeben werden (zumindest bei der Sparkasse), d.h. ich muss vorher mindestens noch Passwörter ausspionieren und hab auch wieder eine höhere Komplexität als bei der iTAn.

 

[derGrimm]

Vor Jahren hatte ich auch mal das Homebanking genutzt; aber nun nicht mehr.
Ich bekam mal eine Mail, die aussagte, fast 400 € werden von meinem Konto abgebucht. Ich hatte nur den Betreff gelesen - und ich lief Amok!

Bekomme solche Nachrichten auch auf mein Mail Konto allerdings PGP verschlüsselt, so dass ich weiß das sie echt sind

Somit dürfte das bei mir dann wohl in der Tat mit den Kontoführungsgebühren als inkludierter "Service" abgedeckt sein. Da es aber auch Konten ohne diese Gebühr dort gibt, zahle ich so gesehen für die anderen mit.

Kontoführungsgebühren...

Habe schon vorher hohe Grundgebühren bezahlt, aber ebend auch alles offline gemacht und war zu Faul und zu ängstlich für Offline und dann kam die Sparkasse. Entweder 13€ pro Monat oder Online mit mindestens 1,75€/monat.

Dann dachte ich dass ich auch gleich wechseln kann und bin zur 1822 direkt gewechselt damit ich noch an Sparkassen kostenfrei geld abheben kann.

Dafür hängt das Gerät über USB am PC, was deutlich mehr Möglichkeit zum Kompromittieren oder verfälschte Daten übermitteln bietet als ein paar Blinkebildchen.

Deswegen nutze ich Online-Banking nur unter Linux

 

[hrafnagaldr]

Also ich weiß nur, dass mich bei der Postbank das alles nix kostet. Sparkasse verlangt knapp 6€ für Kontoführung, aber dann auch nix extra für SMS und Co.
Onlinebanking mache ich wie gesagt seit ich 14 bin (per BTX damals), da kostete das wirklich noch extra soweit ich mich erinnere.

 

[Peter_Shaw]

Ich zahl bei der Sparkasse nix außer dem Porto fürs Zuschicken der Kontoauszüge. Ach ja: Der TAN-Generator hat einmalig 10 € gekostet.

 

[woodpeaker]

Wenn ich mir die Schlüssellänge von Fin-Ts anschaue, dann frage ich mich wer den denn so mal auf die Schnelle knacken will?

Fin-TS 3,0 Schlüssellänge (1024 bis 2048 Bit).

Kostet natürlich - Kartenleser, Karte.

Wie lang ist den die Schlüssellänge von irgendwelchen TAN Verfahren?

Und für die, die es genau wissen wollen:

http://www.hbci-zka.de/dokumente/diverse/fints40_kompendium.pdf

 

[Lar337]

Es ist also falsch, dass man ohne dein Wissen überweisen kann, wenn man dein Smartphone kompromittiert hat?
Es ist also falsch, dass man ohne dein Wissen (an andere)überweisen kann, wenn man dir einen anderen photoTAN Code anzeigen kann?
Es ist also falsch, dass man ohne dein Wissen (an andere)überweisen kann, wenn man dir einen falschen pushTAN anzeigen kann?
Es ist also falsch, dass man ohne meine TANListe überhaupt niemandem auch nur einen Cent überweisen kann?
Es ist also falsch, dass HBCI Kartenleser einen starken "Comfortverlust" darstellen, dafür aber auch sicherer sind?
Es ist also falsch, dass nicht jede Bank jedes System anbietet?

1.) Man benötigt zumindest gewisse Rechte, um die TAN abzugreifen. Im Gegensatz zu normalen PCs haben Smartphones eine Gewisse Zugriffskontrolle zwischen denn Apps. Bei pushTAN bräuchte die Schadsoftware wahrscheinlich Rootzugriff. Und dafür bedarf es einer Sicherheitslücke im Betriebssystem. Sonst kannst du dir die Malware wahrscheinlich installieren, ohne dass irgendwas passiert.
2.) kA, mit dem Verfahren habe ich mich nie geschäftigt.
3.) Wie gesagt, braucht die Schadsoftware wahrscheinlich Rootzugriff für, also ein Betriebssystem mit einer recht kritischen Sicherheitslücke
4.) Das ist völlig falsch. Eine iTAN-Liste bietet fast garkeinen Schutz - ist also kaum sicherer als komplett auf TANs zu verzichten
5.) Wüsste nicht, warum HBCI sicherer als ChipTAN sein sollte.
6.) Ja und?

Kurz zusammengefasst, kann man es so darstellen:

Um überhaupt Unfug machen zu können, benötigt man Schadsoftware auf dem Onlinebanking-PC. Man muss ja die Login-PIN abgreifen (eine Kamera zuhause würde es vll auch tun, oder ein Zuschauer unterwegs ).

iTAN: Bringt wie gesagt fast garnichts. Außer gegen die Kamera- und Zuschauerangriffe. Aber die sind ja wohl eher selten. Hat man eine Banking-Schadsoftware auf dem Rechner (die man je eh haben muss, sonst würde die PIN nicht geklaut), dann kann sie auch die Formulardaten im Browser abfangen und ändern - kA welche Rechte sie genau braucht, aber auf dem PC haben deutlich mehr Programme Adminrechte. Man kann das Verfahren durch "Abschirmung" der Browsers sicherer machen, aber trotzdem ist es "nur" ein Softwareschutz. Und man muss der https Verbindung 100%ig drauen.
Zusätzliche Sicherheit durch iTAN: Quasi Null (wenn man nicht den Browser aufwändig Sandboxt) - außer, dass der Angreifer nicht täglich, sondern nur bei Benutzerüberweisung das Tageslimit stehlen kann.
Das großem Abstand unsicherste TAN Verfahren - welches deshalb auch dringend abgeschafft gehört.

mTAN: Weiterhin muss das Onlinebanking Gerät eine Schadsoftware haben, um die PIN abzugreifen. Ist dies das Smartphone, so ist der Vorteil gegenüber iTAN eher gering. Es besteht sogar der Nachteil, dass ohne Zutun des Nutzers täglich das Limit ausgenutzt wird. Das geht bei iTAN nicht. Außerdem haben Smartphones eine stärkere Trennung zwischen den Programmen, weshalb möglicherweise Rootrechte benötigt werden, damit die Schadsoftware aktiv werden kann. Bin ich mir aber nicht sicher.
Außerdem besteht die Gefahr, die in diesem Artikel beschrieben wird - und auch hier kann täglich das Limit genutzt werden.
-> Nutzt man Onlinebanking nicht auf dem Handy, so ist es recht sicher. Es müssten PC + Handy gleichzeitig vom selben Angreifer. Problem ist aber das in dem Artikel beschriebene. Würde ich also auch eher nicht nutzen.

pushTAN: Nur angreifbar, wenn Bankinggerät und Smartphone gleichzeitig betroffen sind und das Smartphone OS eine eher kritische Lücke aufweist, mit der die Schadsoftware Rootrechte erlangt. Nutzt man das Smartphone als Bankinggerät, so ist es deutlich unsicherer, aber immernoch wird eine kritische Lücke im OS benötigt (gilt aber möglicherweise auch für iTAN - zumindest auf dem Smartphone oder bei anderen System mit entsprechend ausreichendem Rechtemanagement).
-> Nicht empfehlenswert, wenn man Banking auf dem Smartphone macht, sonst sicher. Vielleicht sollte man drauf verzichten, das Handy an den PC anzuschließen.

chipTAN: Solange man die Daten auf dem TAN-Generator (Empfänger + Betrag) überprüft, so ist dieses Verfahren vollständig sicher und somit absolut empfehlenswert.

 

[AnfängerEi]

Mal was anders. Was für Banken sollen das sein, durch die man an die Handy Nummern gekommen ist?
Also bei der Sparkasse - sollte jemand auf mein Bankkonto Zugang bekommen - sieht man nur die letzten 3 Ziffern meiner Handynummer.

Ist ja ein Armutszeugnis eigentlich, dass gewisse Bankkonten die Telefonnummern, welche für mTAN reserviert sind, frei ersichtlich sind?

 

[SB94]

Wenn der PC infiziert ist können die Angreifer wahrscheinlich auch Emails und Co lesen. Wenn man sich dann z. B. eine Pizza bestellt und da eine Handynummer angibt reicht das.

 

[Autokiller677]

Es gibt tatsächlich auch Banken, bei denen die Handynummer für mTan komplett im Online-Interface steht. Das ist nicht das erste Mal, dass ich einen Bericht lese, wo so die Nummer abgegriffen (oder sogar geändert) wurde.