1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

Na dann ... back to the lists ;-)

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Na dann ... back to the lists ;-)

    Autor: THoMM 25.10.13 - 12:06

    ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als mTAN

  2. Re: Na dann ... back to the lists ;-)

    Autor: Lord Gamma 25.10.13 - 12:16

    THoMM schrieb:
    --------------------------------------------------------------------------------
    > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als
    > mTAN

    Sehe ich auch so. Ich bin froh, dass meine Bank mich nicht zu mTANs zwingt. Nur die wenigsten brauch TANs unbedingt unterwegs, so dass die iTAN Liste immer schön zuhause bleibt und somit sicherer ist.

  3. Re: Na dann ... back to the lists ;-)

    Autor: prodi1985 25.10.13 - 12:21

    > so dass die iTAN Liste
    > immer schön zuhause bleibt und somit sicherer ist.

    Ernsthaft?


    Meine Frage dazu wäre übrigens, ob bei mehreren Simkarten die mTAN an alle Karte verschickt werden?
    Oder wie muss ich das verstehen? Ich mache einen Onlineauftrag, wähle dann "jetzt unterschreiben" kriege meine mTAN, gebe diese ein, kriege ein "vorbehaltlich gebucht", woraufhin die mTAN hoffentlich ungültig wird. Wie genau läuft das bei einem Betrugsfall ab?



    1 mal bearbeitet, zuletzt am 25.10.13 12:25 durch prodi1985.

  4. Re: Na dann ... back to the lists ;-)

    Autor: w0zz 25.10.13 - 12:25

    ich bitte darum :)
    wobei mich die Überschrift noch immer verwirrt weil das System an sich nicht "geknackt" worden ist, eher umgangen ;)

  5. Re: Na dann ... back to the lists ;-)

    Autor: t_e_e_k 25.10.13 - 12:25

    THoMM schrieb:
    --------------------------------------------------------------------------------
    > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als
    > mTAN

    und liegt dann wie ein großer batzen bargeld zuhause während du im urlaub bist...sehr sicher.

  6. Re: Na dann ... back to the lists ;-)

    Autor: ShortMuc 25.10.13 - 12:35

    t_e_e_k schrieb:
    --------------------------------------------------------------------------------
    > THoMM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer
    > als
    > > mTAN
    >
    > und liegt dann wie ein großer batzen bargeld zuhause während du im urlaub
    > bist...sehr sicher.

    …und wenn's 1000 Mal wie "Telefonwählscheibe und Steinzeit" klingt: Dafür gibt es Bank-Schließfächer*, in die man während längerer Abwesenheit seine "essentials" packen kann.
    * = Hardware-Cloud

  7. Re: Na dann ... back to the lists ;-)

    Autor: prodi1985 25.10.13 - 12:40

    ShortMuc schrieb:
    --------------------------------------------------------------------------------
    > t_e_e_k schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > THoMM schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer
    > > als
    > > > mTAN
    > >
    > > und liegt dann wie ein großer batzen bargeld zuhause während du im
    > urlaub
    > > bist...sehr sicher.
    >
    > …und wenn's 1000 Mal wie "Telefonwählscheibe und Steinzeit" klingt:
    > Dafür gibt es Bank-Schließfächer*, in die man während längerer Abwesenheit
    > seine "essentials" packen kann.
    > * = Hardware-Cloud

    Ab wann würde ich die Liste ins Schließfach legen? 1 Woche Urlaub? 2 tägiges Wochenende an dem man kurz verreist? Vor dem Weg in die Arbeit?

    Also ich nehm hypothetisch an, ich hab Zugriff auf den Pc und bekommen die Onlinebanking daten raus (die ja auch für mTAN Betrug notwendig sidn) brauche ich noch:
    - TAN - sehe ich übers Onlinebanking welche Methode Kunde nutzt, jetzt weiß ich, dass er Zettel hat
    - wo wohnt er; Adressinformationen im Onlinebanking hinterlegt, bzw über Post/Telekomprovider, IP Information, PC Zugriff usw rasch zu finden
    - ist wer zuhause tagsüber - nach 2 Tageben Beobachtung sollte das einigermaßen geklärt sein;

  8. Re: Na dann ... back to the lists ;-)

    Autor: wmayer 25.10.13 - 12:44

    Es wurde ja erstmal der PC der Person übernommen, die TAN ist damit bei der Eingabe in der Hand der Kriminellen, die dir im Browser vorgaukeln können was sie wollen. Die TANs können zudem für jede beliebige Überweisung genutzt werden.
    Die beste Lösung ist - wie am Ende des Artikels beschrieben - wirklich die Generierung der TAN durch so ein externes Gerät, welches die TAN dann auch auf die aktuelle Überweisung zuschneidet und somit für andere Überweisungen gar nicht zu gebrauchen ist.

  9. Re: Na dann ... back to the lists ;-)

    Autor: Citrixx 25.10.13 - 12:47

    THoMM schrieb:
    --------------------------------------------------------------------------------
    > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als
    > mTAN

    Nein ist es NICHT!

    Bei den alten TAN-Listen aus Papier hat der Trojaner auf dem PC allein gereicht, um das Verfahren auszuhebeln. Der Trojaner wartet einfach bis du eine Überweisung tätigen willst und ersetzt dann im Hintergrund deine Überweisungsdaten gegen seine eigenen - fertig.

    Bei mTAN hingegen müssen die Angreifer sowohl Handy als auch PC übernehmen, da bei mTAN als Gegenmaßnahme gegen die Papier-Listen Trojaner inzwischen die tatsächlich bei der Bank eingegangenen Überweisungsdaten zur Kontrolle durch den Benutzer mitgeschickt werden.

    Am besten ist aber wie im Artikel erwähnt immer noch ein dedizierter TAN-Generator mit eigenem Display zur Kontrolle der Überweisungsdaten:

    http://de.wikipedia.org/wiki/ChipTAN#chipTAN_comfort.2FSmartTAN_optic_.28Flickering.29

  10. Re: Na dann ... back to the lists ;-)

    Autor: Eheran 25.10.13 - 12:51

    Wer ohnehin Zugriff auf den PC/Onlinebanking UND die Tanliste hat, der kann auch einfach das Handy klauen.
    Nur verliert man die Tanliste nie, hat sie nicht immer mit dabei und kann sie sicher deponieren.
    Jedenfalls sehe ich da 0,0 mehrwert an Sicherheit.

    Wenn natürlich leute mal eben 20 Tan hinternander eingeben - dann war es keine Sicherheitslücke, sondern reine Dummheit. Dagegen gibt es keine Sicherheit.

  11. Re: Na dann ... back to the lists ;-)

    Autor: Citrixx 25.10.13 - 12:53

    Lord Gamma schrieb:
    --------------------------------------------------------------------------------
    > THoMM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als
    > > mTAN
    >
    > Sehe ich auch so. Ich bin froh, dass meine Bank mich nicht zu mTANs zwingt.
    > Nur die wenigsten brauch TANs unbedingt unterwegs, so dass die iTAN Liste
    > immer schön zuhause bleibt und somit sicherer ist.

    Dann wärst du auch sicher froh darüber, wenn dein Auto-Hersteller nicht diese neumodischen und umständlichen "Sicherheitsgurte" einbauen würde...

    iTAN ist eben NICHT sicherer als mTAN, da bei iTAN ein Trojaner auf dem PC allein ausreicht um das Verfahren auszuhebeln, indem er im Hintergrund deine Überweisungsdaten gegen seine ersetzt. mTAN war daher bereits ein Fortschritt, da dort die Überweisungsdaten noch einmal zur Kontrolle in der SMS mitgeschickt werden.

    Am besten ist aber wie gesagt ein TAN-Generator als eigenständiges Gerät mit Kontroll-Display (ChipTAN), statt das Handy für diese Aufgabe "missbrauchen" zu wollen.

  12. Re: Na dann ... back to the lists ;-)

    Autor: prodi1985 25.10.13 - 12:53

    wmayer schrieb:
    --------------------------------------------------------------------------------
    > Es wurde ja erstmal der PC der Person übernommen, die TAN ist damit bei der
    > Eingabe in der Hand der Kriminellen, die dir im Browser vorgaukeln können
    > was sie wollen. Die TANs können zudem für jede beliebige Überweisung
    > genutzt werden.
    > Die beste Lösung ist - wie am Ende des Artikels beschrieben - wirklich die
    > Generierung der TAN durch so ein externes Gerät, welches die TAN dann auch
    > auf die aktuelle Überweisung zuschneidet und somit für andere Überweisungen
    > gar nicht zu gebrauchen ist.

    Bei der hier von dir beschriebenen Vorgehensweise brauche ich dann aber auch keine 2. Simkarte um den TAN "abzufangen" oder versteh ich was falsch?

  13. Re: Na dann ... back to the lists ;-)

    Autor: Citrixx 25.10.13 - 13:03

    prodi1985 schrieb:
    --------------------------------------------------------------------------------
    > > Es wurde ja erstmal der PC der Person übernommen, die TAN ist damit bei der
    > > Eingabe in der Hand der Kriminellen, die dir im Browser vorgaukeln können
    > > was sie wollen. Die TANs können zudem für jede beliebige Überweisung
    > > genutzt werden.
    > > Die beste Lösung ist - wie am Ende des Artikels beschrieben - wirklich die
    > > Generierung der TAN durch so ein externes Gerät, welches die TAN dann auch
    > > auf die aktuelle Überweisung zuschneidet und somit für andere Überweisungen
    > > gar nicht zu gebrauchen ist.
    >
    > Bei der hier von dir beschriebenen Vorgehensweise brauche ich dann aber
    > auch keine 2. Simkarte um den TAN "abzufangen" oder versteh ich was falsch?

    Doch, da bei mTAN als Schutz gegen diese Trojaner die tatsächlich bei der Bank eingegangenen Überweisungsdaten noch einmal in der SMS mitgeschickt werden. Der Trojaner kann hingegen nur die Anzeige auf dem PC manipulieren. Daher muss bei mTAN sowohl der PC als auch das Handy übernommen werden.

  14. Re: Na dann ... back to the lists ;-)

    Autor: Abakus 25.10.13 - 13:19

    Wurde jetzt schon mehrfach gesagt, bei Tan-Listen _reicht_ ein Trojaner auf dem PC, die Liste benötigt der Angreifer dann nicht mehr. Mit diesen eher dummen Trojanern, die einfach mal 20 Tans haben wollten, hat das nichts zu tun.

  15. Re: Na dann ... back to the lists ;-)

    Autor: casaper 25.10.13 - 16:16

    THoMM schrieb:
    --------------------------------------------------------------------------------
    > ... für den Kunden kostenlos (im Gegensatz zum Chip-TAN) und sicherer als
    > mTAN

    Hab ich schon lange gemacht. Auch aus praktischen gründen jedoch. War lange im Ausland, und war Froh dort nicht immer ein Handy mit der SIM von daheim mit haben zu müssen.

    Die ersten mTan Angriffe, mittels infektion des Handys liegen ja schon lange zurück.
    Entweder Listen, oder die timed keys die es ja nun auch schon seit etwa den 90ern gibt.

  16. Re: Na dann ... back to the lists ;-)

    Autor: casaper 25.10.13 - 16:19

    Abakus schrieb:
    --------------------------------------------------------------------------------
    > Wurde jetzt schon mehrfach gesagt, bei Tan-Listen _reicht_ ein Trojaner auf
    > dem PC, die Liste benötigt der Angreifer dann nicht mehr. Mit diesen eher
    > dummen Trojanern, die einfach mal 20 Tans haben wollten, hat das nichts zu
    > tun.

    Bei einem Trojanerbefall hat man eigentlich immer verloren. Vielleicht gibt es noch leichte Graustufen zwischen den Systemen. Aber grundsätzlich lassen sich mit Trojanern prinzipiell alle Verfahren aushebeln.

  17. Re: Na dann ... back to the lists ;-)

    Autor: Citrixx 25.10.13 - 17:55

    casaper schrieb:
    --------------------------------------------------------------------------------
    > Abakus schrieb:
    > ---------------------------------------------------------------------------
    > > Wurde jetzt schon mehrfach gesagt, bei Tan-Listen _reicht_ ein Trojaner auf
    > > dem PC, die Liste benötigt der Angreifer dann nicht mehr. Mit diesen eher
    > > dummen Trojanern, die einfach mal 20 Tans haben wollten, hat das nichts zu
    > > tun.
    >
    > Bei einem Trojanerbefall hat man eigentlich immer verloren. Vielleicht gibt
    > es noch leichte Graustufen zwischen den Systemen. Aber grundsätzlich lassen
    > sich mit Trojanern prinzipiell alle Verfahren aushebeln.

    Das ist falsch. Da der Trojaner ja nur den PC übernimmt, sind alle Verfahren sicher, die auf eine unabhängige Signatureinheit mit eigenem Display zur Kontrolle der freizugebenden Überweisungsdaten setzen. Wie z.B. eben ChipTAN, HBCI über Secoder, Bestsign (bei der Postbank im Einsatz) oder PhotoTAN (Commerzbank/comdirect).

  18. Re: Na dann ... back to the lists ;-)

    Autor: casaper 25.10.13 - 18:28

    Citrixx schrieb:
    --------------------------------------------------------------------------------

    > Das ist falsch. Da der Trojaner ja nur den PC übernimmt, sind alle
    > Verfahren sicher, die auf eine unabhängige Signatureinheit mit eigenem
    > Display zur Kontrolle der freizugebenden Überweisungsdaten setzen.

    Sie alle haben die gleiche Schwachstelle wie das mTan, ListenTAN und TimedTAN auch: das der Client den so generierten Code dann wieder über seine Tastatur ein gibt, womit wir schon wieder im Einflussbereich des Trojaners wären. Die Beschaffung des TAN strings wäre für jemanden der das System beherrscht nur noch eine Frage der persönlichen Vorlieben: Keylogger, oder doch lieber dem Browser aus dem Speicher klauen. Haben wir dem Client nicht schon von vornherein eine Dummyseite angezeigt und uns selber dazwischen geschaltet und er schickt sie uns einfach hübsch zu? Wird ihm wirklich auffallen, das da oben kein HTTPS angezeigt wird?
    Die Sicherheit welche diese ganzen Verfahren bringen, schützen lediglich davor, das der User mehr als 1 TAN dem Trojaner preis geben kann. Aber einer und die Gewissheit das er gültig ist, das reicht doch dicke...

  19. Re: Na dann ... back to the lists ;-)

    Autor: crazypsycho 25.10.13 - 20:06

    > Sie alle haben die gleiche Schwachstelle wie das mTan, ListenTAN und
    > TimedTAN auch: das der Client den so generierten Code dann wieder über
    > seine Tastatur ein gibt, womit wir schon wieder im Einflussbereich des
    > Trojaners wären.
    Das ist so nicht richtig. Papier-TANs sind Universal-TANs. mTANs sind nur für eine spezifische Transaktion gültig.

    Bei einem Trojanerbefall/Phishing ist man dadurch mit mTAN deutlich sicherer.
    Bei Papier-TAN erhält der Trojaner direkt eine für alle Transaktionen gültige TAN.
    Bei mTAN erhält er eine TAN die ihm nichts bringt, da diese direkt nach der Eingabe wieder ungültig ist.
    Auch wenn der Trojaner die Anzeige manipuliert und die Überweisung an einen anderen Empfänger geht und paar Nullen hintendran sind:
    In der SMS wird der Betrag nochmals aufgeführt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. KfW IPEX-Bank GmbH, Frankfurt am Main
  3. ModuleWorks GmbH, Aachen
  4. KTG GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 6,99€
  2. 114,99€
  3. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme