Wie Sicher ist Online Banking mit smsTAN?

[Quetschn]

Hallo, wie sicher ist eig Online-Banking mit SMS Tan?
Ich frage mich das schon seit langem, es würde theoretisch ein Virus/App auf dem Handy reichen um an die Tan zu kommen. Sofern das Handy im gleichen Netzwerk/Wlan wie der PC ist könnt doch auch ein Virus o.ä von einem zum anderen Gerät "überspringen".

Ich weiß nicht ob sich auf dem Handy so einfach ein Virus einschleusen kann, man liest ja immer wieder das z.b ein Antivir für Handys unsinnig ist.

 

[Nickel]

Und was soll dann jemand nur mit deiner Tan anfangen können?

 

[Baerchen60]

Das weiß ich auch nicht aber am sichersten ist Hbci , mit Karte und chipkarten Leser.

 

[JackForceOne]

Das weiß ich auch nicht aber am sichersten ist Hbci , mit Karte und chipkarten Leser.

Kannst du das auch irgendwie begründen, warum das "am sichersten" sein soll?

 

[#.kFk]

Das abfangen der Tan wäre natürlich prinzipiell möglich, aber wie schon erwähnt kann der Angreifer damit alleine ja eig. wenig Anfangen.

Geräteüberreifende Viren dürften auch eher die seltenheit sein, sprich ein Handyvirus sofern einer vorhanden, kann idR nicht einfach so auf andere Geräte im Netzwerk (Windows PC, IOS Phone etc. pp) "überspringen"

mfg

 

[Quetschn]

Wenn ich aber am PC auch einen Virus o.ä habe und somit Login und PW bekannt sind.

 

[DaZpoon]

smsTAN hat im Prinzip 2 Schwachstellen:

• Der Mobilfunkprovider der ohne zusätzliche Authentifizierung Partner-SIMs verschickt
• Das Handy. Schlimmstenfalls wird Banking und smsTan noch am gleichen Gerät gemacht.

@Nickel: Die entsprechenden Viren sind schon recht clever. Sie gaukeln im (kompromittierten) Browser eine ordentliche Transaktion (Empfänger und Betrag passt) vor. Auf dem Handy kommt jetzt eine SMS an. Wurde bspw. der Empfänger durch den kompromittierten Browser geändert, kann man das i.d.R. in der SMS noch lesen, sofern man akribisch prüft. Ist das Handy auch noch kompromittiert und auch die angezeigte SMS ist manipuliert, dann ist smsTan völlig gebrochen.

 

[leipziger1979]

Weil HBCI nur mit Lesegerät und Karte funktioniert.

 

[schiz0]

So als Tip.

https://www.verbraucherzentrale.de/...ren-beim-onlinebanking-mtan-und-chiptan-10891

Kriminellen ist es bereits auf mehrfache Weise gelungen, das mTAN Verfahren zu knacken. Teils haben haben sie bei den Mobilfunkunternehmen eine zweite SIM-Karte angefordert und die SMS auf diese Nummer umleiten lassen. So konnten sie ohne Wissen des Kontoinhabers die TAN in das System eingeben und überweisen. In anderen Fällen sollen Betrüger Schwachstellen im Mobilfunknetz genutzt haben, um SMS zu sich umzuleiten. Für einen erfolgreichen Betrug müssen die Kriminellen zudem an die erforderlichen Bankdaten gekommen sein, beispielsweise über Phishing-E-Mails.

Man kann deswegen natürlich Paranoia schieben. Muss man aber nicht unbedingt ^^

Ich persönlich nutze ChipTAN (also Lesegerät und Karte). Soll wohl das sicherste sein.

mfg

 

[Wilhelm14]

Und wenn ich deine PIN und deine Giro- und Kreditkarten habe?

 

[Rickmer]

Mit smsTAN ist sicherer als ohne.

Wenn ich aber am PC auch einen Virus o.ä habe und somit Login und PW bekannt sind.

Dann muss das zusätzlich beides auch noch denselbem Hacker bekannt sein...


Am einfachsten kommen Angreifer aber per social hacking an deine SMS, d.h. dem Telefonanbieter einreden das eine sekundär-SIM benötigt wird.

Dem entgegen wirken kann man z.B. indem man alle SMS Bestätigungen über eine separate Rufnummer gehen lässt die man nur selbst kennt und die auch an einen ganz anderen Vertrag gebunden ist.

 

[Nickel]

Geh zur Bank und mach alles vor Ort, beim Angestellten und am Schalter oder Geldautomat.

 

[JMP $FCE2]

Am sichersten sind, denke ich, diese "Flickercode"-TAN-Generatoren, denn deren Firmware ist überhaupt nicht von außen zugänglich.

Solange der Flickercode selbst keine Schwachstellen in der Verschlüsselung aufweist, dürfte das System unknackbar sein.

 

[schiz0]

Und wenn ich deine PIN und deine Giro- und Kreditkarten habe?

Dann muß man sich keine Sorgen mehr bezüglich Online Banking machen, sondern die Karte sperren

mfg

 

[leipziger1979]

@ Nickel

Und wenn der Ganove dich dort überfällt ist dein Geld auch weg.
Von daher sollte man es mal relativieren.

 

[Domi83]

Ich weiß gar nicht wo man da anfangen soll... der "Hacker" muss ja wirklich beide Systeme gleichzeitig erfasst haben. Dann muss er auch gucken, dass er die Daten die er bekommt (Benutzername + Kennwort und die TAN) zusammengehören. In der Zeit hast du schon deine Buchung erledigt (gehe ich mal von aus).

Und selbst wenn er deine Buchung umbauen will, wird eine neue smsTAN generiert. Knackbar ist so ziemlich alles mit einer gewissen Zeit und Intelligenz etc. sogar pushTAN wurde schon geknackt. Da gab es nämlich auch schon mal eine Lücke.

Wenn ich mich nicht irre, ist eines der sichersten Varianten das HBCI Verfahren. Da brauchst du Benutzername und Kennwort für das Onlinebanking, dann ein separates Kartenlesegerät (Reiner SCT) und eine separate HBCI EC Karte, die ebenfalls mit einem PIN versehen ist. Zumindest ist mir bis jetzt nicht zu Ohren gekommen, dass man die Finger von HBCI lassen soll.

Aber falls es dir hilft... ich hab alle drei Varianten... HBCI in Verbindung mit der Starmoney Software und für unterwegs das smsTAN und pushTAN verfahren. Man will sich ja die Optionen offen halten

 

[schiz0]

Und wenn der Ganove dich dort überfällt ist dein Geld auch weg.

Na dann ist das Chiptan auch schlecht^^. Wenn jetzt jemand meine Tür eintritt und mir mit aufgesetzter Pistole ...usw

mfg

 

[Domi83]

Ich vermute mal der TE ist aktuell etwas übervorsichtig. Denn mir wollte auch mal jemand sagen dass smsTAN komplett weg soll und es nur noch pushTAN geben wird. Ist ja das "sicherste" und bei HBCI meinte auch mal jemand "kommt wohl auch weg", dann lache ich aber.

Wenn ich noch daran denke, dass ich Massen-Aufträge im Onlinebanking mit smsTAN gemacht habe und für jeden Furz eine TAN brauchte, ist HBCI das bequemste was es gibt. Eine Ladung von Aufträgen in den Ausgang der Software legen und "Go" drücken, fertig ist.

Wenn die Möglichkeit besteht, einfach smsTAN verwenden und gut ist. Die Information dass das smsTAN unsicher wäre und weg soll, habe ich vor 5 - 7 Jahren erhalten. Genauso wie das HBCI Thema... und siehe da, es gibt beides noch. Wobei ich auch nicht glaube, dass man HBCI weg nimmt. Zumindest hoffe ich es

 

[Baerchen60]

https://www.focus.de/finanzen/banke...chipkarte-und-kartenleser_id_3815144.htmlHbci ist und bleibt am sichersten. Googelt doch einfach mal, hier ein kleines Beispiel.

 

[UNDERESTIMATED]

Weil HBCI nur mit Lesegerät und Karte funktioniert.

Und MITM ebensowenig mitbekommt wie alles andere.
"Sicher" gibt es im OnlineBanking per se nicht. Sicher ist relativ.
@Baerchen60 : Was genau ist daran sicherer als ein getrenntes "Nur Empfang" Gerät für SMS?
Oder PapierTAN?

Breche ich bei dir ein habe ich Papiertan, dein Handy oder deine HBCI+PIN+Karte.
Nutzt dir alles 0.