M@rsupil@mi schrieb:
Weil du dann nicht, wie es modern ist, in Bus, Bahn oder in der Warteschlange an der Kasse deinen Kontostand abfragen oder noch schnell "wichtige Überweisungen" tätigen kannst.
Kontostand abfragen geht (zumindest bei der Sparkasse) auch ganz ohne mTan. App starten, dann kommt ein Passwort für die App. Dann sieht man die "alten" Daten. Will man aktualisieren, muss man ein weiteres Passwort eingeben (kann man sogar so machen, dass das nicht dasselbe wie beim Online Banking ist) und ich sehe meinen Kontostand. Überweisen kann ich aus der App auch, aber dann muss ich den SmartTan Generator mit meiner Karte davorhalten und den Code scannen.
BlubbsDE schrieb:
Ist klar, problemlos möglich. Eine eingegebene PapierTAN ab zugreifen, den Empfänger und den Betrag der Transaktion zu verändern, und sie dann vom Bankserver entgegen nehmen zu lassen. Dann ist ein Schädling auf dem Handy bei weitem realistischer und man generiert sich eine eben zur Transaktion passende TAN.
Ok, halten wir mal fest: Von der technischen(!) Seite sind alle Verfahren sicher, solange nicht jemand den Bankserver knackt. Bei allen Verfahren ist das Problem der Mensch - der Unachtsam mit seiner Tanliste umgeht, auf Phishing reinfällt, sich dubiose Apps samt Trojaner aufs Handy zieht oder sonstwas.
Aber bei Tanlisten ist es halt wesentlich einfacher, mit geringem Aufwand und einem menschlichen Fehler (den brauchts halt überall) an Tans zu kommen. Du baust dir eine Phising Seite, lässt das Opfer eine Überweisung ausführen (das muss nichtmal auf dem Bankserver laufen, kann alles bei dir sein), speicherst die Tan die eingegeben wird und kannst dann in aller Ruhe mit der Tan eine andere Überweisung beim Bankserver ausführen.
Hat sich das Opfer unbemerkt einen Trojaner auf dem PC eingefangen, der die Host Datei manipuliert, hat es gar keine Möglichkeit, zu erkennen, dass etwas falsch läuft (d.h. Brain.exe hilft auch nicht). Man hat keine Links in Mails angeklickt, nicht die halbe Tanliste abgetippt, nix. Alles normal.
So. Versuch das mal bei den anderen Verfahren. Da brauchst du das Phishing auch. Damit kommst du aber nur an das Passwort vom Account. Dann musst du noch das Handy kompromittieren / SMS abfangen. SmartTan ist noch schwieriger. Hier musst du Karte und Gerät klauen, bzw. eine zweite Karte von der Bank bekommen und die gibts nur gegen Ausweis (und bei Sparkasse persönlich abholen oder mit Vollmacht und Perso).
SmartTan kann man z.B. nur mit Phishing gar nicht aushebeln. Klar könnte man auch hier die Host manipulieren, auf eine andere Website umleiten, und dann das Blinkbildchen vom Opfer mit dem von deiner Überweisung ersetzen und in die Website einbinden und dem Opfer präsentieren. Aber leider zeigt der Code Generator sowohl Betrag als auch Zielkonto an bevor er die Tan generiert - und da sieht das Opfer dann "oh, dass ist das falsche Konto". Und aus.
Fazit: Das Aushebeln einer TanListe ist wesentlich einfacher als eines der anderen Verfahren, braucht weniger menschliche Fehler etc. Also ist es in der praktischem Umsetzung (!) unsicherer. Und das ist alles was zählt, theoretische Spekulationen was in einer Welt mit perfekten Menschen oder so passieren würde, sind hier nicht anwendbar.
BlubbsDE schrieb:
Die (Papier)TANs sind es nicht. Nur die Übertragung. Und das gilt für alle TANs.
mTANs können schon durch kompromittierte Systeme generiert werden.
Klar. Aber wenn der Angreifer die Bank soweit kompromittiert hat, dass er den Algorithmus zur Tan-Generierung hat (ich hoffe mal, dass der Quellcode dazu nur auf air-gaped systems liegt), kann er auch gleich im Banksystem die Überweisungen veranlassen, ohne Tan und sonstwas. Da braucht er keinen Umweg mehr über den Kunden gehen.
