Austr. Mobilfunker: Banking per SMS-TAN unsicher

Die australischen Telekommunikations-Unternehmen haben sich in einer ungewöhnlich klaren Stellungnahme dagegen ausgesprochen, den SMS-Dienst als Verifikations-Bestandteil beim Online-Banking einzusetzen. mehr... Smartphone, Iphone, Handy, Sms Bildquelle: Stadt Hamburg Smartphone, Iphone, Handy, Sms Smartphone, Iphone, Handy, Sms Stadt Hamburg

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
aja die haben Eier, es gibt halt einen unterschied von sicher und sicher. Die Banken machen es sich da sehr einfach und schieben die Verantwortung weiter.
 
viel geplappert aber ohne konkreten Inhalt... Wo genau besteht jetzt das Problem? Die TAN in der SMS ist sowieso nur für die (per anderem Internetzugang) erstellte Überweisung gültig. Ein Problem hat man erst, wenn jemand die Zugangsdaten für den Onlinebanking-Zugang hat. Ob er dann die SMS abfängt oder die TAN-Liste des Besitzers hat spielt dann auch nicht wirklich eine Rolle...
 
@cyberathlete: Soweit richtig, wenn man mal davon absieht daß man an eine physische TAN-Liste mit keinem Trick der Welt ohne Einbruch heran kommt.
 
@Johnny Cache: "Sehr geehrter Kunde, wir arbeiten stetig daran Ihre Sicherrheit zu verbessern. dazu benötigen wir 5 Tans ihrer Liste...." <-- Schon so oft probiert und klappt jedesmal ;)
 
@ThreeM: Also ersetzt man eine sichere Methode welche lediglich durch die Dummheit der Nutzer überwunden werden kann durch eine, welche auch noch technisch angegriffen werden kann. Klingt logisch.
 
@Johnny Cache: SMS-Tan ist NICHT technisch angreifbar. Das ganze ist das gleiche wie ne TAN Liste nur ohne TANListe ;)
 
@ThreeM: Ähm...das Problem ist ja gerade, dass es technisch angreifbar ist. Man braucht nur einen IMSI-Catcher und man kontrolliert die komplette GSM-Verbindung
 
@ckahle: Das bringt dir aber nichts. Du kannst die TAN ebenso vom Marktschreiber überbringen lassen. Als nächstes müsstest du, zusätzlich zur Kontrolle über das Handy, den Rechner unter Kontrolle bringen auf dem die Bestellung losgetreten worden ist. Du must die Tan UND die Bestellung abgreifen. Dann müsstest du die Bestellung Manipulieren (SSL Hack, MITM) und selbst dann hast du genau nix erreicht, da die Tan abhängig ist von der Bestellung. Änderst/Manipulierst du die Bestellung ist die Tan ungültig. Ebenso ist das Zeitfenster für einen solchen Hack mit 5 min arg eng bemessen für den Bösewicht. Abgesehen davon gibt es noch KEINEN Nachweis über eine Lücke in SMS2Tan. Ist ja nicht so als ob die Untergrundforen nicht voll mit Ideen sind wie es funktionieren könnte. Erfolgreich war bis jetzt noch niemand ;) Tan2SMS ist per Design recht Sicher solange Bestellvorgang/Überweisung und TAN auf 2 verschiedenen Geräten läuft. Oder übersehe ich einen Angriffsvector den du mir erklären kannst?
 
@Johnny Cache: Webcam-Aufnahme, Phishing....
 
Die Nummern sind 5 Minuten gültig bei meiner Bank. Jetzt soll mir mal jemand zeigen, dass ich überwacht werde und die genau abwarten und sich einklinken wenn ich die SMS anfordere. Und dann noch genau meine Nummer kennen. Vorher haut man mir eine auf offener Straße rein und raubt die Kreditkarte ehe das passiert.
 
@freakedenough: Da reicht eine Malware auf deinem Smartphone völlig aus. Aber das ist alles Kaffee von gestern (tinyurl.com/3gcf4yf). Aber solange dir der Alu Hut gefällt, lass ihn auf deinen Kopf.
 
@RobCole: wenn ich mir deinen Comment so ansehe scheinst mir eher du derjenige mit dem Alu-Hut zu sein ;)
 
@RobCole: Wenn dich Schmerzen klagen ruf bitte sofort deinen Hausarzt an!
 
@RobCole: Ich geb dir recht. Mein Arbeitskollege hat die Sparkasse-App mit gespeicherten Logins auf seinem Smartphone und nutzt die SMS-TAN. Es ist für mich ein leichtes gewesen (und das habe ich ihm demonstriert) beide Daten auszulesen und eine Überweisung durchzuführen. Ohne SMS-TAN hätte ich nur Zugriff auf seinen Kontostand, könne jedoch kein Geld transferieren.
 
@Kevni: wird der PIN des Onlinebankings ungeschützt auf dem Handy abgelegt? Kann ich mir kaum vorstellen. Beschreib mal bitte deine Vorgehensweise...
 
@Kevni: Überweisung und SMSTAN SOLLEN NIE!!!! auf einem Gerät durchgeführt werden. Wer das trotzdem tut, hat selber schuld. Die Kreditinstitute warnen alle davor und halten dir ihren Haftungsausschuß bei Fahrlässigkeit vor die Nase.
 
@freakedenough: bei KEINEM annähernd seriösem Banking-App werden Logindaten gespeichert. Bei den Meisten musst du ALLE Login-Daten immer neu eingeben. Bei vielen Banken muss man neben username und Passwort auch die Verfügernummer eingeben. Aber das ist von Bank zu Bank anders.
 
Onlinebanking betrachte ich als Tätigkeit mit höchster Sicherheitsstufe. Daher sehe ich nicht nur SMS-TAN, sondern generell das Mobiltelefon-gestützte Banking als sehr problematisch an. Sämtliche Mobilbetriebssysteme sind noch viel zu jung und es gibt noch viel zu wenig Erfahrung damit als das man sie jetzt schon aufs Banking loslassen könnte. Gut, bleibt natürlich jedem selbst überlassen wie weit er seinen elektronischen Geräten traut. Aber beim Onlinebanking mache ich gerne so viel offline wie möglich. Ein autarker TAN-Gernerator der an meine Bankkarte gedongelt ist ist da schon das Mindeste.
 
@DennisMoore: solange der Täter nicht in deinen Onlinezugang reinkommt ist es egal welche Autenzifizierungsmethode du verwendest (SMS, TAN auf Papier, TAN-Generator). Primär geht es mal darum das der Täter ja eine Überweisung zum richtigen Ziel in Auftrag geben muss. Und wenn er das geschafft hat, dann braucht er noch eine passende TAN. Die wiederrum kann er bei einer SMS leichter abfangen als z.B. eine mit der Bankkarte generierte, dazu bräuchte er Karte und Gerät. Aber der erste Riesenmist passiert damit das er Zugriff auf deinen Onlinebanking Account hat.
 
@cyberathlete: Es gibt schon lange Berichte und Live-Demonstrationen wie ein Angreifer sich in eine SSL-Verbindung zur Bank einklinken und einen Überweisungsauftrag on-the-fly manipulieren kann. Wenn er dann auch noch die SMS mit der TAN abfängt kann er die Überweisung autorisieren noch bevor man selbst den Beschiss bemerkt und Gegenmaßnahmen einleiten kann. Daher generiere ich mir meine TAN lieber selbst und komplett offline und lese den Auftrag nochmal gegen bevor ich ihn autorisiere. Ich möchte das maximale tun um meine Bankgeschäfte so sicher wie möglich abzuwickeln und da gehört es eben nicht dazu mir einen Autorisierungscode für eine Überweisung pe SMS zuschicken zu lassen.
 
@DennisMoore: Quelle?
 
@DennisMoore: Nein das geht nicht! Erstmal SSL Verbindung knacken, dann Überweisung Manipulieren (in dem Moment wird aber die Tan Ungültig da der Hashwert der überweisung nicht mit der Tan überinstimmt. Du müsstest Zugriff auf die Bankenserver haben + Datenbanken. Dann brauchste noch die Tan die aber nur 5min gültig ist. Mach das alles in 5min (Bankensession klauen, Überweisung Manilulieren, Datenbankzugriff erhalten, Hashwerte ändern, Man-in-the-Middle Attacke beim Kunden.... Unrealistisch.
 
Öhm haben die Tan-SMS Technisch verstanden? Selbst wenn ein Angreifer die Tan bekommt, kann er damit alleine genau 0 Anfangen. Der Tan ist nur einmalig für die benötigte Transaktionsverifizierung notwendig und läuft in der Regel nach 5 Min ab. Ein Angreifer müsste 1. die Tan abgreifen 2. Man in the Middle Attack beim selben Kunden hinbekommen 3. die Aktuelle Session klauen. Und das auf 2 Verschiedenen Devices und innerhalb von 5min. Viel Spaß dabei... Die einzige Möglichkeit ist, wenn ich Banking und SMS-Tan von EINEM Gerät aus mache. Und das soll man tunlichst vermeiden. Darauf weisen Banken auch explizit hin.
 
@ThreeM: Jop, man braucht zwei Handys für sicheres mobile Banking. ;)
 
@Johnny Cache: WEnn man SMS-Tan nutzt, ja :)
 
Vorschlag: Man erledigt eine Überweisung online, fährt dann zu seiner Bank und erhält dort einen versiegelten Umschlag mit einer 2 min. gültigen TAN, die man dann am PC eingibt.
 
der sms tan ist doch langfristig gesehen eh teurer als ein kartenbasierter tan generierer, der dann auch lokal, unabhängig und am sichersten ist.
 
@list: Dachte man Von RSA Securitytokens auch ;)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte