1
1668mib
Gast
Und wie groß ist das Risiko?
News Online Banking mit mTan-Verfahren nicht absolut sicher
- Ersteller fethomm
- Erstellt am
- Zur News: Online Banking mit mTan-Verfahren nicht absolut sicher
Vivster
Commodore
- Registriert
- Juli 2011
- Beiträge
- 4.233
1668mib schrieb:
Es geht hier um eine Sicherheitslücke, die auftritt NACHDEM sowieso schon alles verloren ist. Wenn kriminelle die PIN und Kontonummer schon haben dann könn sie damit auch am Bankautomaten Geld abheben oder damit einkaufen gehen. Was interessiert mich ob sie nachdem sie schon die größte Sicherheitshürde geknackt haben noch gemütlich von zuhause Geld abheben können oder nicht. Zumal in dem Zeitraum in dem sie die Sache abziehen genug Zeit ist die Pin zu ändern.
Genauso wie diese schrecklichen Sicheheitslücken auf dem PC, die erst passieren nachdem man sich freiwillig einen Trojaner geladen hat.
Es kotzt mich einfach an, dass sowas als News gebracht wird und die Leute, die wie die meisten hier nicht richtig lesen, noch paranoider macht.
Der größte abgeschossene Vogel kommt ja noch.
Ist hier nicht eher der Kunde, der freiwillig seine PIN rausrückt die größte Schwachstelle?
Zuletzt bearbeitet:
Bloodie24
Commodore
- Registriert
- Juli 2006
- Beiträge
- 4.176
Freiwillig rückt der Kunde wohl nicht die PIN raus. Die Betrüger sind schon geschickt und einfallsreich dabei. Da kann man teilweise schon drauf reinfallen.
Aber sag mal, wo kann man mit der Onlinebanking PIN und der Kontonummer Geld am Automaten abheben? Welche Bank macht sowas?
Aber sag mal, wo kann man mit der Onlinebanking PIN und der Kontonummer Geld am Automaten abheben? Welche Bank macht sowas?
1
1668mib
Gast
@Vivster: Natürlich wird ständig Paranoia geschürt. Aber die Menschen stehen ja drauf.
Das schlimme ist ja, dass die selektive Wahrnehmung des Menschen sowieso dazu führt, dass die Informationen, die das eigene Vorurteil stützen, stärker gewichtet werden, wie gegenteilige Informationen.
Egal wie sehr so ein Angriff an den Haaren herbeigezogen ist, diejenigen, die Zweifel an der Sicherheit sehen, fühlen sich bestätigt und fordern gleich noch die Abschaffung des Internets.
Ich kann auch sagen: Sämtliche Verschlüsselungen sind unsicher. Ich muss ja nur den richtigen Schlüssel erraten. Interessiert ja gar nicht, ob das in der Praxis mal so funktioniert. Grundsätzlich ist es möglich. Mich überrascht, wieso man diesen Angriff - ich nenne ihn ganz prägnant "mib's Guess" - nicht schon früher gesehen und als gefährlich eingestuft hat. Damit lassen sich auch alle PINs knacken.
Dass Menschen nicht kapieren, dass es keine absolute Sicherheit gibt, ist mir echt ein Rätsel. Zeigt ja auch die Überschrift...
@Bloodie24: "Aber sag mal, wo kann man mit der Onlinebanking PIN und der Kontonummer Geld am Automaten abheben? Welche Bank macht sowas" => das geht natürlich nicht.
Das schlimme ist ja, dass die selektive Wahrnehmung des Menschen sowieso dazu führt, dass die Informationen, die das eigene Vorurteil stützen, stärker gewichtet werden, wie gegenteilige Informationen.
Egal wie sehr so ein Angriff an den Haaren herbeigezogen ist, diejenigen, die Zweifel an der Sicherheit sehen, fühlen sich bestätigt und fordern gleich noch die Abschaffung des Internets.
Ich kann auch sagen: Sämtliche Verschlüsselungen sind unsicher. Ich muss ja nur den richtigen Schlüssel erraten. Interessiert ja gar nicht, ob das in der Praxis mal so funktioniert. Grundsätzlich ist es möglich. Mich überrascht, wieso man diesen Angriff - ich nenne ihn ganz prägnant "mib's Guess" - nicht schon früher gesehen und als gefährlich eingestuft hat. Damit lassen sich auch alle PINs knacken.
Dass Menschen nicht kapieren, dass es keine absolute Sicherheit gibt, ist mir echt ein Rätsel. Zeigt ja auch die Überschrift...
@Bloodie24: "Aber sag mal, wo kann man mit der Onlinebanking PIN und der Kontonummer Geld am Automaten abheben? Welche Bank macht sowas" => das geht natürlich nicht.
Pjack
Admiral
- Registriert
- Mai 2006
- Beiträge
- 7.526
Die meisten sind wohl einfach nicht so bewandert in diesen Dingen und unterscheiden bei Sicherheit (vor allem auf Technik bezogen) nur in sicher oder halt unsicher.
Man fragt jemanden bei Umzug in eine fremde Stadt ja auch, ob der Stadtteil sicher oder unsicher ist, und nicht, wie er das auf einer Skala von 1 bis 10 bewerten würde.
Würde man das so genau überhaupt wissen wollen, müsste man sich ja weiterführende Gedanken machen. Genau deswegen kommen doch die meisten Leute zur Bank, weil sie eben die Arbeit abgenommen haben und sich keine weiteren Gedanken drüber machen wollen.
Man fragt jemanden bei Umzug in eine fremde Stadt ja auch, ob der Stadtteil sicher oder unsicher ist, und nicht, wie er das auf einer Skala von 1 bis 10 bewerten würde.
Würde man das so genau überhaupt wissen wollen, müsste man sich ja weiterführende Gedanken machen. Genau deswegen kommen doch die meisten Leute zur Bank, weil sie eben die Arbeit abgenommen haben und sich keine weiteren Gedanken drüber machen wollen.
hardwarekäufer
Commander
- Registriert
- Okt. 2010
- Beiträge
- 2.116
Wie sicher ist denn smart tan? Kontonummer ist in der tan verschlüsselt enthalten und die bankkarte ist dafür nötig. Mtan ist halt bequemer aber kostet bei meiner Bank zb auch SMS Gebühren
Bloodie24
Commodore
- Registriert
- Juli 2006
- Beiträge
- 4.176
@Schnitzl
Das kommt wohl auf die Lebensumstände desjenigen an.
Die meisten solche Gruppen, die Onlinebanking Betrug betreiben kommen aus Osteuropa und dort sind dann auch Summen, die wir hier als gering einstufen würde, lohnenswert. Man muss die investierte Zeit und den Profit gegenrechnen.
Phishingmails verschicken geht schnell, die gefälschte Homepage erstellen dauert einen Moment, muss aber nur einmal gemacht werden, für egal wieviele Kunden. Dazu brauchst nen Server. Trojaner kann man kaufen, hier ist nicht viel Aufwand reinzustecken.
Wenn man die Zugangsdaten hat, schaut man ins Onlinebanking, sucht sich den Provider anhand der Telefonnummer raus, ruft dort einmal an, wartet auf die Simkarte, nutzt diese dann...
Insgesamt pro Opfer ein nicht allzu hoher zeitlicher Aufwand.
Wenn sie gut sind, kommt dabei ein stattlicher Sundenlohn heraus.
Wenn man dann einmal das glück hat und ein Opfer mit einer 6stelligen oder 7stelligen Summe findet....dann sind alle Mühen ganz schnell vergessen.
Das kommt wohl auf die Lebensumstände desjenigen an.
Die meisten solche Gruppen, die Onlinebanking Betrug betreiben kommen aus Osteuropa und dort sind dann auch Summen, die wir hier als gering einstufen würde, lohnenswert. Man muss die investierte Zeit und den Profit gegenrechnen.
Phishingmails verschicken geht schnell, die gefälschte Homepage erstellen dauert einen Moment, muss aber nur einmal gemacht werden, für egal wieviele Kunden. Dazu brauchst nen Server. Trojaner kann man kaufen, hier ist nicht viel Aufwand reinzustecken.
Wenn man die Zugangsdaten hat, schaut man ins Onlinebanking, sucht sich den Provider anhand der Telefonnummer raus, ruft dort einmal an, wartet auf die Simkarte, nutzt diese dann...
Insgesamt pro Opfer ein nicht allzu hoher zeitlicher Aufwand.
Wenn sie gut sind, kommt dabei ein stattlicher Sundenlohn heraus.
Wenn man dann einmal das glück hat und ein Opfer mit einer 6stelligen oder 7stelligen Summe findet....dann sind alle Mühen ganz schnell vergessen.
sommerwiewinter
Lieutenant
- Registriert
- März 2004
- Beiträge
- 732
Mal ehrlich... die TAN-Liste war doch am sichersten.
...sicherer, als die mTAN! Selbst diesen TAN-Generator finde ich nicht sicher.
...sicherer, als die mTAN! Selbst diesen TAN-Generator finde ich nicht sicher.
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.368
PapierTAN ist immer noch das sicherste. Ich bin heilfroh, dass meine Bank dies noch anbietet.
Und nicht wie andere Banken, durch unverschämtes anlügen Ihrer Kunden, dieses Verfahren als zu unsicher abstempelt. Einige Sparkassen waren sogar so dreist und haben den Gesetzgeber als Argument vorgeschoben, PapierTAN einzustellen.
Man will Kunden nicht verprellen. Man kann Kunden schlecht als zu Dumm hinstellen. Und so dreht man das um und stellt das gute alte PapierTAN Verfahren als unsicher hin.
Der Kunde ist nun einmal bei PapierTAN der einzige unsichere Faktor. Bei allen anderen Verfahren ist Technik mit in Spiel, die immer größere Risiken in sich trägt.
Und nicht wie andere Banken, durch unverschämtes anlügen Ihrer Kunden, dieses Verfahren als zu unsicher abstempelt. Einige Sparkassen waren sogar so dreist und haben den Gesetzgeber als Argument vorgeschoben, PapierTAN einzustellen.
Man will Kunden nicht verprellen. Man kann Kunden schlecht als zu Dumm hinstellen. Und so dreht man das um und stellt das gute alte PapierTAN Verfahren als unsicher hin.
Der Kunde ist nun einmal bei PapierTAN der einzige unsichere Faktor. Bei allen anderen Verfahren ist Technik mit in Spiel, die immer größere Risiken in sich trägt.
Zuletzt bearbeitet:
1
1668mib
Gast
@BlubbsDE: Ach, bei mTAN ist der Kunde, der sich den Online-Banking-PIN stehlen lässt, nicht der unsichere Faktor? Das ist schizophren...
Bin im Übrigen froh, weg vom Papier-TAN-Müll zu sein. Mit mTAN kann ich "jederzeit" Online-Banking machen, vom Handy unabhängiges Internet vorausgesetzt.
Bin im Übrigen froh, weg vom Papier-TAN-Müll zu sein. Mit mTAN kann ich "jederzeit" Online-Banking machen, vom Handy unabhängiges Internet vorausgesetzt.
Zuletzt bearbeitet:
mTAN ist aus meiner Sicht genauso sicher, wie jedes andere Sicherheitssystem auch. Alle Schwachpunkte, die hier gelistet werden sind doch nicht der mTAN anzulasten.
Das ganze Prozedere verlangt schon eine ganze Menge krimineller Energie und diese wird auch andere System unterwandern können. Dazu kommt, wenn weder Identität noch sonst was beim Versand oder einem Telefongespräch von Banken oder Mobilfunknetzbetreibern geprüft werden, dann kann ich mir auch TAN-Listen, Chipleser oder was weiß ich zuschicken lassen. Insbesondere, wenn die Betrüger eh schon alle Daten von mir haben.
Letztendlich zeigt der Artikel auf, wie unsicher mit unseren Daten umgegangen wird und nicht, dass das "mTAN-Verfahren nicht absolut sicher" ist.
Weitere Anmerkungen...
Meine 2C
Das ganze Prozedere verlangt schon eine ganze Menge krimineller Energie und diese wird auch andere System unterwandern können. Dazu kommt, wenn weder Identität noch sonst was beim Versand oder einem Telefongespräch von Banken oder Mobilfunknetzbetreibern geprüft werden, dann kann ich mir auch TAN-Listen, Chipleser oder was weiß ich zuschicken lassen. Insbesondere, wenn die Betrüger eh schon alle Daten von mir haben.
Letztendlich zeigt der Artikel auf, wie unsicher mit unseren Daten umgegangen wird und nicht, dass das "mTAN-Verfahren nicht absolut sicher" ist.
Weitere Anmerkungen...
- Mein Mobilfunkanbieter verlangt ein Password, sollte ich dass nicht wissen, muss ich mich im Laden ausweisen.
- Meine Bank erlaubt nur einen limitierten Umsatz an Überweisungen pro Tag, also kann niemand so einfach mein "Vermögen" mal eben abräumen und darum geht es wohl bei diesem Aufwand.
- Meine Bank ruft mich auch an, wenn unübliche Überweisungen getätigt werden (zB Auslandsüberweisungen)
- Sämtliche Kontobewegungen werden mir per SMS (ok das ist ausgehebelt) und per Mail in Echtzeit mitgeteilt.
- Ich glaube, dass das Benutzen von mTANs mein leben nicht unsicherer macht als eh schon ist.
- Sommerloch?
Meine 2C
1
1668mib
Gast
@Spawn182: Schöner Beitrag, dafür hat sich die Anmeldung hier gelohnt.
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.368
Man kann eben mTan Verfahren auch technisch kompromittieren. Das geht bei PapierTAN nicht. Da musst Du den Zettel mit den TANs haben. Oder drei oder vier Stück auf eine manipulierte Seite eintragen...
Was ist das Schizophren dran, wenn man das nicht mit dem PapierTAN Verfahren gleich setzt?
Ich könnte auch überall und immer Online Banking betreiben. Vom Sinn mal ganz abgesehen. Mein PapierTAN Block liegt gesichert auf meinem WebSpace von wo aus ich von überall drauf zu greifen kann.
Was ist das Schizophren dran, wenn man das nicht mit dem PapierTAN Verfahren gleich setzt?
Ich könnte auch überall und immer Online Banking betreiben. Vom Sinn mal ganz abgesehen. Mein PapierTAN Block liegt gesichert auf meinem WebSpace von wo aus ich von überall drauf zu greifen kann.
1
1668mib
Gast
Ach, eine ausgefeilte Man-in-the-Middle-Attacke wäre bei Papier-TAN auch denkbar. Dass sie nicht realistisch umsetzbar ist, spielt keine Rolle. Stört beim mTAN ja auch niemanden.
1
1668mib
Gast
BlubbsDE, mein aufrichtiges Dankeschön für diesen Post. Das hätte ich nicht besser sagen können:
Genau das gilt für den mTAN-Angriff nämlich. Die Unzulänglichkeiten liegen nicht bei der Bank, nicht beim TAN-Verfahren. Sie liegen darin, dass die User ihre PINs klauen lassen und die Handy-Provider unachtsam SIM-Karten rausschicken.
Und du reduzierst deine ganze Online-Banking-Sicherheit auf 2 "PINs"? Respekt.
Genau das gilt für den mTAN-Angriff nämlich. Die Unzulänglichkeiten liegen nicht bei der Bank, nicht beim TAN-Verfahren. Sie liegen darin, dass die User ihre PINs klauen lassen und die Handy-Provider unachtsam SIM-Karten rausschicken.
Genial! Die Angreifer brauchen also nicht mal physikalischen Zugriff auf deinen TAN-Papier... und ich nehme an, du öffnest die Liste vom gleichen Rechner aus, an dem du dich auch in dein Bank-Portal anmeldest?BlubbsDE schrieb:
Und du reduzierst deine ganze Online-Banking-Sicherheit auf 2 "PINs"? Respekt.
Zuletzt bearbeitet:
Bloodie24
Commodore
- Registriert
- Juli 2006
- Beiträge
- 4.176
BlubbsDE schrieb:
Absoluter Blödsinn, Tanlisten, erstrecht die ohne "I" haben aktuell das höchste Schadenspotential.
h00bi schrieb:
Sicher nicht das sicherste System und auch die schlausten Menschen (bzw die, die sich dafür halten) können auf Phishing, Trojaner oder ähnliches reinfallen. Wie garantierst Du, dass Du Dir beim Surfen NIE einen Trojaner einfängst?
BlubbsDE schrieb:
Oha, was soll daran sicher sein?
1668mib schrieb:
denkbar? Man-in-the-Middle-Attaken sind doch der ganz normale Wahnsinn.
BlubbsDE schrieb:
Dafür ist Papiertan wesentlich anfälliger als SMS-Tan. Bei der SMS hat man zumindest, je nach Anbieter noch Informationen zur Transaktion in der SMS zum Prüfen. Wer darauf achtet, dürfte eine Man-in-the-Middle-Attacke bemerken. Kunden mit Tanliste haben diese Chance nicht.
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.368
Bloodie24 schrieb:
Und woher hast Du die Infos? Der Schaden mag groß sein. Sicher. Sind ja auch mittlerweile die ersten Kunden auf Ihren Schaden sitzen geblieben. Das liegt aber nicht an der Sicherheit des PapierTAN Verfahrens.
Weil Kunden sich die TANs klauen lassen und sich - wie ich oben schon geschrieben habe - Banken durch Lügen gegenüber Ihren Kunden diese von diesem Verfahren weg bringen wollen.
Die Unsicherheit bei PapierTAN liegt nicht an dem Verfahren, sondern ausschließlich bei den Benutzern. Bei dem mTan Verfahren im Grunde auch. Aber eben nicht nur.
Ich gebe es Dir schriftlich. So lange ich PapierTAN nutzen kann, werde ich dies tun. Und niemand wird Buchungen auf meinem Konto in der Zeit durchführen können.
Zuletzt bearbeitet:
Ähnliche Themen
