News Online Banking mit mTan-Verfahren nicht absolut sicher

[Onlinehai]

Der Angreifer könnte sich auch von meiner Bank eine neue TAN-Liste schicken lassen... An eine neue Adresse, und vielleicht auch einen neuen Namen?

Nee das geht nicht,du kannst dir nicht einfache ne Tan Liste an irgendeine Adresse schicken lassen,das wäre ja nun auch zu einfach.
Ich benutze wie schon 10 Jahre weiterhin so eine "alte " Tan Liste und hab da keine Sicherheitsbedenken und meine Bank ( Diba) auch nicht .

 

[-Ps-Y-cO-]

Also das beste an der News ist ja dass sich die Banken direkt mal abgesichert haben und nicht für einen Wirtschaftlichen Schaden aufkommen !

Nutze ein Tan gerät wo meine Karte rein kommt, wird an den Monitor gehalten, gerät pipst kurz fragt nach der Richtigkeit des Betrages und der "Prüfnummer" ... dadurch wird eine zufällige TAN generiert die ich dann eingeben muss und fertig!
Halte das ganze für Akzeptabel und funktioniert sehr schnell das ganze! Der gang zum Portemonnaie dauert dabei am längsten um die Karte zu holen....

Als mir die Bankangestellte eine von 3 möglichkeiten für eine neues verfahren "verkaufen" wollte wurde ich bei dem mTAN verfahren mit SMS aufs Handy schon damals stutzig... Nun hab ich's Schwarz auf Weiss!

 

[hrafnagaldr]

Als mir die Bankangestellte eine von 3 möglichkeiten für eine neues verfahren "verkaufen" wollte wurde ich bei dem mTAN verfahren mit SMS aufs Handy schon damals stutzig... Nun hab ich's Schwarz auf Weiss!

M.E. liegt hier wenn überhaupt die Schuld beim Mobilfunkanbieter, sollte es tatsächlich jmd. geben, der SIM-Karten so leichtfertig verschickt. Ansonsten habe ich zumindest schon mehrere hundert Überweisungen per mTAN tätigen können, ohne dass mein Konto leer geräumt wurde. Und davor auch schon mit der TAN-Liste und sogar schon, als das Onlinebanking noch über BTX lief.

 

[wazzup]

Wer hätte es gedacht?
Ist doch klar das SMS ansich unsicherer sind als die alten TAN Listen die ich übrigens sehr mochte. Die waren sehr sicher da man zum aktivieren die alte und neue Liste brauchte. Wenn man seine TAN Liste zuhause gut versteckt hatte und KEINE Kopie auf dem PC speicherte war das Verfahren absolut sicher.

Ich persönlichnutze jetzt den TAN Generator den man vor den Bildschirm hält. Immer noch besser als die SMS. Trotzdem trauere ich den alten TAN Listen nach.

 

[Pizzataxi]

Ich nutze smsTan selber. Ich benutze für den Empfang der SMS und dem Onlinebanking verschiedene Geräte, von daher halte ich das Verfahren für relativ sicher.

Bei dem Verfahren empfinde ich persönlich das Handy als die Schwachstelle, insbesondere wenn es ein Android ist und Software aus unseriösen Quellen installiert wurde.

Darüberhinaus ist die Überschrift schwachsinnig. Es gibt kein einziges Verfahren, das absolut sicher ist.
Auch die altmodischen Tanlisten sind nicht sicher. Wenn der Hacker den Login meines Bankaccounts hat, brauch er nur noch in meine Wohnung einbrechen und nach der Liste suchen, schon kann er das Konto leerräumen.

 

[Holy Work Bomb]

Dann bist du auch in der Beweispflicht, das du angerufen hast bzw. nicht angerufen hast und auch nicht anderweitig Kontakt zu deinem Mobilfunkanbieter aufgenommen hast bzgl. einer anderen SIM.

Hier ist ganz klar die Bank haftbar zu machen!

Unsinn. Der Anbieter hat nachzuweisen, dass du die andere SIM beauftragt hast. Und wenn er das nicht kann, dann kann er auch für die Folgen haftbar gemacht werden. Warum sollte in diesem Fall auch die Bank haftbar gemacht werden, die hat doch alles richtig gemacht.

 

[Smockil]

Och bei der Norisbank geht das einfacher...

brauchst du nur den telefon-pin schon schalten die jede beliebige handynummer für das mtan verfahren frei

 

[karod3]

Tja, als meine Bank iTan abgeschafft hat vor einigen Monaten, gab es als Wechselmöglichkeit nur mTan oder smartTan plus (mit so einem Decoder Gerät).
Da das Gerät 10€ gekostet hätte, bei mTan aber 5 Überweisungen pro Monat frei sind und ab der 6. jede weitere nur 9cent kostet. Habe ich mTan genommen. Das kommt einfach günstiger, wenn man nicht so viel überweist.

 

[Pjack]

Und deswegen kann ich nur jedem davon abraten, zu viel Geld auf dem Girokonto zu horten. Was man da manchmal erlebt, dass Leute Anfang 20 knapp fünfstellige Beträge drauf haben, will mir nicht in den Kopf.
Und wenn man schon drauf steht, dass sein Geld durch Inflation weniger wird, kann man es doch wenigstens auf ein klassisches Sparbuch bei der Hausbank legen. Aber nein, die Banken wollen den Kunden ja nur Böses und einem selbst passiert sowas nicht.
Ich sag nur: so blöd kann man gar nicht denken...

 

[Gleipnir]

@ karod3

hast Du bei deinem Konto keine Grundgebühren?


Das man das mTAN Verfahren ausgehebelt hat wurde schon Ende 2009 berichtet

 

[testuser58]

Nun wird die Multi-SIM so konfiguriert

verstehe ich das richtig, dass der Original-besitzer keine SMS erhält? -> Sperranruf!

Und wie konfiguriert man eigentlich Multi-SIM?!

 

[karod3]

Nein, zahle keine Gebühr. Nur 2 € wenn man nicht die Kontoauszüge jeden Monat abholt (bzw online abruft, hab es auf online umgestellt). (quasi Bearbeitungsgebühr, weil sie einem dann den Auszug per Post zusenden)

 

[TNM]

Ich verstehe den Artikel nicht wirklich bzw. frage mich, ob da nicht eine wichtige Info fehlt:

Dazu bestellen sich die Täter beim entsprechenden Mobilfunkanbieter eine zusätzliche SIM-Karte für das Mobilfunkkonto des Opfers und lassen diese an eine abweichende Adresse liefern.

- Wie kommen die Täter an den Namen des Anbieters? VORWAHL lässt auf den Mobilfunkanbieter schließen. Mitgenommene Nummern sind nicht sooo verbreitet, also kriegt man höchstens am Telefon zu hören "sie sind doch gar nicht bei uns Kunde" -> auflegen, 0 Konsequenzen. Kann man beliebig wiederholen.
- Normalerweise wird doch eine bestehende SIM-Karte des Anbieters (also die des Opfers) deaktiviert, wenn eine bestellt wird, oder? Zumindest müsste doch der Kunde eine Nachricht über seine Bestellung erhalten und wäre entsprechend gewarnt. -> NEIN, Multisim ist völlig legal. Für einen monatlichen Aufpreis von 3€ kann ich hier bis zu 3 Handies clonen lassen.
- Welcher Mobilfunkanbieter nimmt Bestellungen von Person B für Person A an? Muss doch auffallen, dass unterschiedliche Namen vorliegen, oder? Schlimm genug, dass die Adresse nicht geprüft wird. Man hat doch den Onlinezugang geknackt. Damit hat man Name und Bankverbindung. Done.

...

 

[Der Puritaner]

Die Idee mit der mTan war eigentlich gar nicht mal so schlecht, das Problem ist nur das den Banken irgendwie die Motivation fehlt sich neuere Sicherheitsoptionen einfallen zu lassen, man kann in der heutigen Zeit nicht einfach auf der Stelle Treten und weil es gestern Funktioniert hat muss es Morgen auch noch Sicher sein.

Das mTan-Verfahren der deutschen Banken gilt gemeinhin als sicher.

Was ich jedoch nicht ganz verstehe ist wer diese Behauptung überhaupt aufgestellt hat?

Mittlerweile verzichte ich ganz auf Online Banking, das ist zwar etwas Arbeitsintensiver aber Früher ohne Internet und Online Banking habe ich auch meine Überweisungen hin bekommen.

Die Idee mit der smartTan plus finde ich auch OK jedoch verstehe ich nicht wieso ich als Sparer dafür Geld Bezahlen soll das ich dann eventuell Sicherer bin.

 

[Gleipnir]

Nein, zahle keine Gebühr. Nur 2 € wenn man nicht die Kontoauszüge jeden Monat abholt (bzw online abruft, hab es auf online umgestellt). (quasi Bearbeitungsgebühr, weil sie einem dann den Auszug per Post zusenden)

so kann die Bank natürlich auch Geld machen. Ich muss die nur alle 3 Monate abrufen und habe das 1x verpasst was mich dann 50cent gekostet hat.

 

[Verwirrter]

verstehe ich das richtig, dass der Original-besitzer keine SMS erhält? -> Sperranruf!

Und wie konfiguriert man eigentlich Multi-SIM?!

Mit einer Multi-SIM kannst du zwar mit jeder Karte telefonieren, bei SMS musst du dich aber für eine Karte entscheiden.

Bei Vodafone z.B. schickst du einfach von dem Gerät (bzw Sim) aus den MMI-Code *133# ab und bekommst ab diesem Zeitpunkt alle SMS an diese SIM. Und kannst auch nur von diesem Gerät aus SMS versenden.

Bei den anderen Netzbetreibern sind die Codes vermutlich andere, aber das Prinzip ist das gleiche.

 

[Bloodie24]

Bei dem mTAN verfahren wird eine unverschlüsselte SMS gesendet. Verschafft sich der Angreifer zugriff auf diese, kommt die Bank nicht für den Schaden aufkommen.

Woher hast die Information?

Ich benutze wie schon 10 Jahre weiterhin so eine "alte " Tan Liste und hab da keine Sicherheitsbedenken und meine Bank ( Diba) auch nicht .

Offiziell hat die Bank keine Sicherheitsbedenken, aber inoffiziell sicher.

Wer hätte es gedacht?
Ist doch klar das SMS ansich unsicherer sind als die alten TAN Listen die ich übrigens sehr mochte.

Das stimmt so nicht. Die alten Tanlisten sind sehr anfällig für bestimmte Trojaner.

 

[1668mib]

EC-Karten sind unsicher. Der Betrüger braucht nur meine EC-Karte und meinen PIN ...

 

[M@rsupil@mi]

Warum überhaupt mTAN und nicht ChipTAN bzw. gleich HBCI?

Weil du dann nicht, wie es modern ist, in Bus, Bahn oder in der Warteschlange an der Kasse deinen Kontostand abfragen oder noch schnell "wichtige Überweisungen" tätigen kannst.

 

[seebear]

Das m-Tan nicht sicher ist, ist schon seit letztem Jahr bekannt. Ein selbständiges Bankprogramm, nicht online über die Bankseite, und ein Tan-Generator für/mit der EC-Karte (Chip-Tan). Wüsste nicht, wie man da etwas manipulieren kann.

@ M@rsupilxxxx

Wer das in Bus, Bahn oder in der Warteschlange an der Kasse macht, dem gehört es nicht anders.