ComputerBase Menü
Aktuelles

News Online Banking mit mTan-Verfahren nicht absolut sicher

Das ja so als wenn es heisst, Autos lassen sich ganz leicht knacken. Achliessend heisst es dann das die Täter den Schlüssel geklaut haben. Klar kann man alles machen wenn man alles hat was der Besitzer eben so braucht.

Also ich hab bei Vodafone wieder ein Telefonat gehabt wo Verträge angepasst wurden, dies und das, doch bevor es offiziell bestätigt und auf Band aufgenommen wurde musste ich mein Sicherheitskennwort sagen. Sonst hätte ich es über die Hotline schon mal nicht's verändern können.

An einige hier:
Wenn die alte Sim daktiviert wird wenn Ihr eine neue bekommt dann ist das keine Multi Sim Gewesen sondern eine Ersatz Karte. Meistens bei änderung zu Micro/Nano Sim oder Verlust.

Eine Multi Sim ist eine 2te, 3te oder gar 4te identische SimKarte die parallel gleichzeitig genutzt werden. Privates Mobiltelfon, Firmenhandy, Festeinbau im Auto und noch ein Tablet wären gründe 4 Karten gleichzeitig zu haben. 1 Karte ist dabei aber die Hauptkarte auf der die SMS ankommen. Telefonate kommen auf alle an.

Wenn hie eine SIM Karte an dritte rausgegeben werden UND auch noch die Hauptkarte geändert werden kann ist hier klar der Mobilfunkanbieter schuld auch wenn der Kunde erst mal in der Beweislast ist das er das NICHT war bzw noch fahrlässig dazu beigetragen hat. Man bekommt eigt oft SMS etc bei neuerungen zugeschickt. Spätestens da hat man als Kunde sofort zurück zu rufen um das zu klären.
 
Das ChipTan-Verfahren soll, laut Auskunft meiner Bank, das sicherste von allen Verfahren sein. Die TANs werden ja per Zufallsgenerator erzeugt, außerhalb des Bankservers.
Wenn dabei jemand an die Bankdaten gelangen will, muss er wohl den gesamten Server der Bank entern.
Und ob das so einfach geht, kann ich mir nicht vorstellen.
Zum Vergrößern anklicken....

Das ist falsch. Die Sicherheit von ChipTAN fällt mit der Unbedarftheit des Nutzers. Es ist zwingend notwendig, die Daten der Überweisung mit den auf dem ChipTAN Generator angezeigten Werten zu vergleichen, sind diese identisch ist das Verfahren zu 100% sicher.
 
das_mav schrieb:
Wenn das Gerät ohne wipe temporär zu rooten geht ( afaik jedes Samsung Droid zb.) ne Sache von nichtmal 2 Minuten.
Zum Vergrößern anklicken....
Falsch. Das Sperrmuster lässt sich durch nen Wipe umgehen, nicht aber der PIN auf der Sim-Karte.

TanListen sind sicherer. Alles Papier der Welt ist sicherer Verwahr oder gegen Einsicht verschlüssel- oder versteckbar als ein dauernd ungefragt rumfunkender Taschencomputer.
Zum Vergrößern anklicken....
Also ich hab lieber eine TAN die extra für diese eine Transaktion gültig ist, als 100 Universaltans.

Hab ich dein Smartphone und betreibst du damit Banking hab ichn Jackpot, früher brauchtest du wenigstens die Liste UND das Device. 2 Wege Authentifizierung ist/war schon immer besser.
Zum Vergrößern anklicken....
Nö du hast gar nichts, denn du kannst ja nicht auf die SMS zugreifen, da du den PIN der Sim-Karte nicht kennst.
Im Gegenzug, wenn du einen Trojaner auf dem PC hast, oder auf Phishing reinfällst, dann hat der Angreifer deine Zugangsdaten und ne Universal-TAN.
Beim mTAN hat er nur deinen Banklogin und keine TAN.

Um mTAN zu umgehen bräuchte man schon einen Trojaner auf dem PC und Smartphone.
 
@Kenneth: Der Skandal ist im Übrigen sogar, dass man sogar auf Kosten anderer telefonieren kann mit so einer SIM-Bestellung und noch ganz anderes Schindluder betreiben.
Schön aber, dass für Sicherheitsexperten hier nur mTAN in Gefahr ist.. wofür man noch den Online-Banking-PIN braucht usw... für den SIM-Missbrauch braucht man nicht mal den...
 
smuper schrieb:
Das ist falsch. Die Sicherheit von ChipTAN fällt mit der Unbedarftheit des Nutzers. Es ist zwingend notwendig, die Daten der Überweisung mit den auf dem ChipTAN Generator angezeigten Werten zu vergleichen, sind diese identisch ist das Verfahren zu 100% sicher.
Zum Vergrößern anklicken....
Alle Verfahren hier stehen und fallen mit der Aufmerksamkeit des Nutzers. Allerdings ist es bei ChipTan für den Nutzer am einfachsten, zu kontrollieren ob da was falsch ist (Zahlen vergleichen). Mitbekommen ob man Trojaner auf PC / Handy hat ist was schwerer.
 
das_mav schrieb:
TanListen sind sicherer. Alles Papier der Welt ist sicherer Verwahr oder gegen Einsicht verschlüssel- oder versteckbar als ein dauernd ungefragt rumfunkender Taschencomputer.
Zum Vergrößern anklicken....

Tanlistendiebstahl ist auch das kleinere Problem bei Tanlisten. Hier sind es die Trojaner und da sind die Tanlisten halt sehr gefährdet.
Zum anderen rede ich nicht von zufälligen Diebstählen von Tanlisten, sondern geplanten, nachdem die Täter schon die Zugangsdaten haben.
 
WhiteShark schrieb:
Also ich hab lieber eine TAN die extra für diese eine Transaktion gültig ist, als 100 Universaltans.
Zum Vergrößern anklicken....

du weißt aber schon das du auch bei einer TAN-Liste auf Papier nicht irgendeine TAN nehmen konntest, sondern eine von der Bank festgelegt die nur für diese Transaktion für eine gewisses Zeitfenster gültig war.
 
die nur für diese Transaktion für eine gewisses Zeitfenster gültig war
Zum Vergrößern anklicken....

Das ist eben nicht der Fall. Diese iTAN ist erst mal für jegliche Transaktion gültig und nicht für eine spezielle Transaktion generiert. Genau an diesem Punkt wird manipuliert.
 
@smuper: Natürlich ist die iTAN für grundsätzlich jede Transaktion nutzbar - sofern sie von der Bank für die entsprechende ausgewählt wurde...

Bei iTAN startet der Kunde die Überweisung, und dann sagt die Bank "Bitte bestätige mir diese Transaktion mit iTAN Nr. XYZ". Insofern ist die iTAN jetzt an die Transaktion gebunden und nur für diese Transaktion gültig.

Andersrum gesagt: iTANs sind grundsätzlich erst mal für keine Transaktion gültig, solange die Bank sie nicht für eine Transaktion aktiviert.
 
Bringt dir aber nichts, wenn der Trojaner dir vorgaukelt du würdest für "deine" Überweisung eine iTAN eingeben, gleichzeitig dieser aber eine ganz andere ausführt.

So etwas geht mit mTAN oder vor allem ChipTan nicht.
 
Wieso nicht gleich mit einer Erklärung, so dass man deine Sätze in #169 auch versteht...
Also so um die Ecke zu denken, um zu sehen, was du da meintest, hab ich jedenfalls ohne #171 nicht fertig gebracht...
 
WhiteShark schrieb:
Falsch. Das Sperrmuster lässt sich durch nen Wipe umgehen, nicht aber der PIN auf der Sim-Karte.
Zum Vergrößern anklicken....
Gar nicht falsch,
Das Sperrmuster kann ich auch ohne wipe gesondert löschen wenn root oder temporärer root mit r/w in Systemordnern vorhanden ist, oder man rooted das eben selbst temporär während der kasten an ist (http://forum.gsmhosting.com/vbb/f838/root-any-android-apk-file-1615718/] ich brauch das gar nicht löschen damit ich smsen abgreifen kann, nicht mal die pin brauchts dafür denn dein handy wird wohl an sein und nicht dauerhaft im flugzeugmodus idlen wenn ichs dir klau, mal rein hypothetisch....

Und falls du dich fragst wie man die apk installiert während das telefon gesperrt ist: mit adb kann ich sowohl jede app auf dein samsung android pushen wie auch installieren und anschliessend starten, viele Wege führen nach Rom, und dabei braucht man wie gesagt nicht mal da hin.

Am einfachsten ist es eh wenn du dein Handy behälst und einfach Unwissend ein RAT (mit-)installierst, die Wirtschaftlichkeit nicht jeden Tag 10neue Smartphones klauen zu müssen mal nebenbei.

WhiteShark schrieb:
Also ich hab lieber eine TAN die extra für diese eine Transaktion gültig ist, als 100 Universaltans.
Zum Vergrößern anklicken....
Meine TAN auf den Listen war auch immer nur für diese eine Aktion gültig, und auch nicht ewig - desweiteren hatte ich bereits gesagt das wenn ich diese Liste ausser Haus mitnehme die Nummerierung in mir bekannter Manie getauscht war, das hätte Ottonormaldieb erst sehr viel später als nach dem 3ten Versuch gerafft und ich sehr warscheinlich eh schon längst alles gesperrt da meine Brieftasche weg ist, was ich beim Handy was Kreditkartendaten im Playstore oded Kontonummern angeht sicher nicht als*erstes mache wenns weg ist.

WhiteShark schrieb:
Nö du hast gar nichts, denn du kannst ja nicht auf die SMS zugreifen, da du den PIN der Sim-Karte nicht kennst.
Im Gegenzug, wenn du einen Trojaner auf dem PC hast, oder auf Phishing reinfällst, dann hat der Angreifer deine Zugangsdaten und ne Universal-TAN.
Beim mTAN hat er nur deinen Banklogin und keine TAN.
Zum Vergrößern anklicken....

Und nochmal, du schleppst also ein ausgeschaltetes Handy mit dir rum?...
WhiteShark schrieb:
Um mTAN zu umgehen bräuchte man schon einen Trojaner auf dem PC und Smartphone.
Zum Vergrößern anklicken....

Um mtan zu umgehen brauch ich nicht mal dein Smartphone, das alte Nokia S60 würde da vollkommen reichen.

Trojaner aufm PC? In der VM Sandbox in der ich mein Bankingprogramm hab wohl kaum - und selbst wenn: Auch hier ist die TanListe wiedee sicherer weil ich keine Angst haben muss das sich per Sideload oder wie auch immer irgendein Schwachsinn auf meinem Smartphone einnistet.

Google einfach mal aus Jux nach RATs für android, du wirst dich wundern was da alles geht ohne das du etwas siehst.
 
Zuletzt bearbeitet:
Ich lese gerade in der ct 18 Seite 56 das es doch zunehmend Angriffe auf das mTAN-Verfahren gibt. Eine Schwachstelle die außerhalb des PCs liegt ist offensichtlich die SIM-Karte und der völlig ungeprüfte Versand einer Multi-SIM Karte an beliebige Adressen und keinerlei Prüfung der Handy-Provider. Wie kann man das heute schon absichern? Kann man seinem Handy-Provider verbieten Multi-SIM Karten zu versenden? Wie viele Multi-SIM-Karten geben die Provider aus? Könnte man sich aus Sicherheits-Gründen diese bestellen und sicher verwahren, damit Betrüger sich diese nicht zusenden lassen können?
Welche Ideen außer der Nutzung eines sicheren Betriebssystems (Linux), guter Security Software habt Ihr?
Macht es Sinn unter Win7 im WMware Player ein Linux zu installieren und fürs Banking zu nutzen? Bringt das was? Ist man da vor Tojanern und Phising sicher?
Oder besser ein Linux auf dem USB-Stick oder als 2. Betriebssystem?
 
Auch eine VM Sandbox wurde schon überwunden. Es gibt spezielle Linux Live CDs, die sind in meinen Augen die "sicherste" Lösung. USB Stick würde ich nur machen wenn er einen read only schalter besitzt.
 
Es gibt einen kleinen aber feinen Unterschied zwischen dem mTAN-Verfahren (SMS) und dem von dir beschriebenen Verfahren am PC. Bei zweiterem benötigst du nämlich einen externen TAN-Generator, der stets nur eine TAN generiert, die für genau die eine Transaktion gültig ist, die du gerade tätigst. Außerdem benötigst du dafür nicht einfach nur deine Kontodaten, sondern auch die "physische" EC-Karte, die zu deinem Konto gehört. Ist somit also noch etwas sicherer als das mTAN-Verfahren.
 
hildefeuer schrieb:
Oder besser ein Linux auf dem USB-Stick oder als 2. Betriebssystem?
Zum Vergrößern anklicken....
Ganz klar diese Lösung, denn egal wie du die TAN generierst/erhältst, sobald du sie eingibst und dein System kompromittiert ist, kann sie abgefangen werden ohne dass du es merkst.
 
Das mTAN Verfahren ist zwar sicherer als das alte iTAN (Liste) Verfahren, aber es hat schon Fälle gegeben wo das mTAN Verfahren "geknackt" wurde.

Auch rechtlich ist das mTAN Verfahren fragwürdig, sagt dir die Bank aber nicht.

Grund, wenn du Onlinebanking z.B. über dein Smartphone machst und auf dieses bekommst du ja die mTAN gesendet bist du juristisch was die Haftung angeht in den "Hintern" gekniffen.

Sollte es nämlich zum Missbrauch kommen und die Bank weist dir nach das du mit einer Smartphone-Software onlinebanking machst in Verbindung mit mTAN, ist die Bank aus der Haftung raus. Da gibt es schon Urteile rüber.

Die sicherste Methode ist chipTAN.

Lese mal hier...
https://de.wikipedia.org/wiki/Transaktionsnummer#chipTAN_comfort.2FSmartTAN_optic_.28Flickering.29

Wenn du eine Onlinebankingsoftware wie StarMoney am PC benutzt musst du die TAN nicht über die Tastatur eingeben, sondern über Mauszeiger über eine "Bildschirmtastatur". Damit bist du vor Keylogern geschützt.

2013-08-11 12 08 54.jpg


Solltest du deinen Webbrowser zum Onlinebanking nehmen, empfehle ich dir Kaspersky Internet Security.

http://support.kaspersky.com/de/8056
 
Zuletzt bearbeitet: (Bild und Ergänzungen)
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Fu Manchu
Online-Banking nur noch am Handy, nicht mehr am PC?
2
Antworten
35
Aufrufe
21.451
tarifa
tarifa
B
Sicheres Online Banking mit USB Live Linux?
Antworten
10
Aufrufe
8.771
Eishunter
Eishunter
P
Ist Online-Banking auf Android-Smartphones sicher?
2
Antworten
25
Aufrufe
9.383
pacific99
P
Q
Wie Sicher ist Online Banking mit smsTAN?
2
Antworten
26
Aufrufe
2.692
Domi83
D
T
News Online-Banking: Betrüger überlisten mTAN-Authentifizierung
6 7 8
Antworten
154
Aufrufe
20.375
Autokiller677
Autokiller677
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz