News Online Banking mit mTan-Verfahren nicht absolut sicher

[fethomm]

Das mTan-Verfahren der deutschen Banken gilt gemeinhin als sicher. Trotzdem wurden jetzt mehrere Fälle bekannt, bei denen Kriminelle sich Zugriff auf solchermaßen geschützte Konten verschaffen konnten. Mehr Sicherheit für den Bankkunden wäre hier mit wenig Aufwand durchaus machbar.

Zur News: Online Banking mit mTan-Verfahren nicht absolut sicher

 

[trick17]

Noch nicht genug gestraft, muss der Kunde dann bei seiner Bank erfahren, dass diese unter Verweis auf die Sicherheit des mTan-Verfahrens nicht zu haften gewillt ist

Dieses Phänomen werden wir in Zukunft leider so noch öfter zu hören bekommen.

 

[P4P800]

Der Artikel spricht mir aus der Seele.
Ich hab mir das schon so oft gedacht, dass dieses mTAN Verfahren umgehbar ist.
Klar, es gibt kein absolut 100% sicheres Verfahren.

Abgesehen davon, bekommt auch der Netzbetreiber ohne Probleme mit, wann/wieviel/ und wohin ich Geld
überweise. -> NSA!

 

[Sunehund]

Weist ein Konto ein hohes Guthaben und einen weiten Verfügungsrahmen auf, lohnt sich für die Täter der erhöhte Aufwand für den Zugriff.

Da hab ich ja nichts zu befürchten, puh

Ich denke früher oder später wird jedes System umgangen, egal wie sicher es ist. Auf jeden Fall ist der Aufwand nicht ohne, und die Sicherheitslücke ließe sich schnell stopfen. So oder so bleibt das System auf jeden Fall sicherer als viele andere andere, und dabei bequemer, weil es auch möglich ist von Unterwegs Überweisungen vorzunehmen, da man sein Handy in der Regel mit sich rumschleppt, eine Tan-Liste allerdings nicht^^

 

[makiyt]

Ich verstehe den Artikel nicht wirklich bzw. frage mich, ob da nicht eine wichtige Info fehlt:

Dazu bestellen sich die Täter beim entsprechenden Mobilfunkanbieter eine zusätzliche SIM-Karte für das Mobilfunkkonto des Opfers und lassen diese an eine abweichende Adresse liefern.

- Wie kommen die Täter an den Namen des Anbieters?
- Normalerweise wird doch eine bestehende SIM-Karte des Anbieters (also die des Opfers) deaktiviert, wenn eine bestellt wird, oder? Zumindest müsste doch der Kunde eine Nachricht über seine Bestellung erhalten und wäre entsprechend gewarnt.
- Welcher Mobilfunkanbieter nimmt Bestellungen von Person B für Person A an? Muss doch auffallen, dass unterschiedliche Namen vorliegen, oder? Schlimm genug, dass die Adresse nicht geprüft wird.

 

[LundM]

tan listen sind aber schon extreme veraltet.

ne bank die damit arbeitet würd ich mein geld nicht geben.

am besten mit einem externen tan gerät oder via sms.

 

[Gleipnir]

gab es die Probleme nicht schon kurz nachdem das eingeführt wurde

 

[PunGNU]

mTAN ist mist. Werde mich solange wie Möglich dagegen wehren. Wenn das alte TAN gehackt wird, dann übernimmt die Bank den Schaden, sofern man nicht selber grob fahrlässig gehandelt hat. Bei dem mTAN verfahren wird eine unverschlüsselte SMS gesendet. Verschafft sich der Angreifer zugriff auf diese, kommt die Bank nicht für den Schaden aufkommen.

 

[Gleipnir]

tan listen sind aber schon extreme veraltet.

ne bank die damit arbeitet würd ich mein geld nicht geben.

am besten mit einem externen tan gerät oder via sms.

hier geht es um mTAN, also wo deine TAN per SMS an die regsitrerite Nummer verschickt wurde

 

[II n II d II]

Ich frage mich gerade, ob nicht der Mobilfunkanbieter haftbar gemacht werden kann. Schließlich könnte man ihm Fahrlässigkeit unterstellen.

 

[Compo]

Heutzutage gibt es ja nicht viele sinnvolle Onlinebanking-alternativen. Ich selber nutze photoTAN und bilde mir ein es wäre sicherer als mTAN ^^

 

[l3L4CKY]

Also ich persönlich nutze den TAN-Generator und bin damit absolut zufrieden. Natürlich ist sms tan noch komfortabler, da man dafür nur sein Handy braucht. Aber mit dem TAN-Generator kann ich bequem von Zuhause überweisen

 

[ConiKost]

Warum überhaupt mTAN und nicht ChipTAN bzw. gleich HBCI?

 

[Pascha77]

Ich frage mich gerade, ob nicht der Mobilfunkanbieter haftbar gemacht werden kann. Schließlich könnte man ihm Fahrlässigkeit unterstellen.

Dann bist du auch in der Beweispflicht, das du angerufen hast bzw. nicht angerufen hast und auch nicht anderweitig Kontakt zu deinem Mobilfunkanbieter aufgenommen hast bzgl. einer anderen SIM.

Hier ist ganz klar die Bank haftbar zu machen!

 

[GTR]

Ich benutze SmartTan was ich als modern und sicher halte. Deutlich besser als das alte Tan System und komfortabel zu bedienen.

 

[KainerM]

Wir fassen zusammen:
Wenn ein Angreifer meine Verfügernummer, meine PIN, meine Telefonnummer, eine Kopie meiner Sim-Karte und einige persönliche Daten hat, dann kann er von meinem Konto Überweiseungen tätigen.
Sorry, aber NA KLAR KANN ER DAS! Wie blöd muss man sein, um zu glauben dass es absolute Sicherheit gibt? Der Angreifer könnte sich auch von meiner Bank eine neue TAN-Liste schicken lassen... An eine neue Adresse, und vielleicht auch einen neuen Namen?

Darüber hinaus geben sehr viele Betreiber keine zweit-SIMs heraus, sondern sperren die Originale. Viel Kritischer sind da Android-Handys: Es gibt reichlich Schädlinge, die eine SMS empfangen und verbergen können. In dem Fall muss der Angreifer meine SIM nicht kopieren, und ich bekomme die SMS nie zu sehen. Da kann er in Seelenruhe tun und lassen was er will...

Das größte Problem ist aber, dass viele Leute viel zu "lasch" mit Phishing umgehen. Und auf die Art kommen die Diebe erst mal an Verfügernummer und PIN ran, und eventuell führt man dann noch eine "Testüberweisung" durch...

mfg

 

[hrafnagaldr]

OK, dann braucht der Angreifer ja nur noch meinen Login bei meinem Mobilfunkanbieter inkl. Passwort, dann noch eine zusätzliche PIN um eine zweite SIM-Karte anzufordern und muss es noch schaffen, dass ich die SMS und Emailnachricht, die ich nach Anforderung einer Multi-SIM bekomme, übersehe oder nicht erhalte. Natürlich kann ich mir noch vorstellen (hatte den Fall bisher nicht), dass ich den Brieg mit der SIM nur gegen Vorlage meines Ausweises bekomme.

Dazu kommt natürlich noch, wie schon vom Vorredner erwähnt, eben noch der Login fürs Onlinebanking.

Da muss der Mobilfunkanbieter mit dem SIM-Versand schon sehr lax umgehen.

 

[can320]

Selbst wenn beim OnlineBanking nicht die Telefonnummer angezeigt wird, so kann man den Namen des Kontoinhabers sehen und dann die großen Mobilfunkanbieter anrufen - mit Glück bekommt man paar SIM Karten zugeschickt

 

[hrafnagaldr]

Selbst wenn beim OnlineBanking nicht die Telefonnummer angezeigt wird, so kann man den Namen des Kontoinhabers sehen und dann die großen Mobilfunkanbieter anrufen - mit Glück bekommt man paar SIM Karten zugeschickt

Selbst wenn das ein Anbieter einfach macht würde ich das leider auch direkt in meiner Onlinerechnung sehen können, wenn da 15€ für ne weitere SIM-Karte stehen. Abgesehen von der schon erwähnten SMS und Email, die ich dann bekommen würde.

Natürlich ist es generell möglich, aber der Aufwand ist wirklich sehr hoch. Und setzt einen entsprechend doofen Nutzer und Mobilfunkanbieter voraus.

 

[b1nb4sh]

Dann ist das Verfahren zwar sicher aber der Mobilfunkanbieter die Sicherheitslücke.
Wobei, bei meinen Mobilfunkanbieter kann man sich nicht einfach eine zweite Simkarte zusenden lassen, da diese nur per RSA Schreiben kommt, wenn ich nicht den Ausweis vorlege, gibts auch keine Karte