Immer mehr Angriffe: Nutzer sollten Abstand von mTAN nehmen

Sicherheits-Experten sehen in der Nutzung der mTAN beim Online-Banking, bei der die einmal nutzbare TAN-Kennung per SMS auf das Handy geschickt wird, ein zunehmendes Risiko. Dieses Verfahren gerät in der letzten Zeit immer stärker ins Visier von ... mehr... Geld, Brennen, Feuer Bildquelle: k.a. Geld, Brennen, Feuer Geld, Brennen, Feuer k.a.

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Dieses Dreckspack an Kriminellen. mTAN ist mit Abstand das bequemste Verfahren, da man praktisch von Überall aus Überweisungen vornehmen kann, ohne ein extra Gerät mit zu schleppen, dass man auch wieder verlieren könnte und extra Platz braucht. Sein Handy / Smartphone hat man immer dabei. Wäre doof, wenn man am Ende doch auf ChipTAN setzen müsste, zumal das auch nicht bei jedem Bildschirm funktioniert, wie wir schon feststellen mussten. Könnten Banken nicht eine App entwickeln, die (In Absprache mit den Handyentwicklern) in er einer Sandbox läuft?)
 
@Memfis: Ja ist wahr. Ich bin recht glücklich, dass ich von Cortal Consors einen TAN Generator bekommen habe der kleiner ist als die Karte :D
 
@Memfis: Schön dass ich WP habe. Da hat man solche Sorgen nicht.
 
@elox: Psssst... das darfst du doch nicht laut sagen. Nimm deine Minusse jetzt einfach als neid-zähler ;)
 
@Suchiman: Bis jetzt -1 neidische :D
 
@kesan: Wird zeit, dass winfuture aufspaltet zwischen + und - anstatt sie zu verrechnen ;)
 
@Suchiman: Pssst... Es gibt auch Schadprogramme, die unter Windows Phone laufen und in den Store gekommen sind. Aber lass dass bloß niemanden wissen.

Grüße
 
@Forster007: Es gibt trotzdem keine Zugriffsmöglichkeit auf die SMS.
 
@elox: Das ist aber Käs. Mit entsprechender Verbreitung kanns auch bei WP heikel werden. Aber bisher gibts wenn man sich nicht veräppeln lässt auch bei iPhone und Android m.E. noch keine konkrete Gefahr.
 
@elox: Irgendwie lustig, wenn Microsoft-Fans die selben Argumente benutzen, wie Linux-Fans am Desktop. ^^
 
@moribund: Lustig ist, das beide Seiten dabei jeweils auch glauben, es würde stimmen.
 
@elox: Es gibt auch für WP Schadsoftware. Nur ist die dort schwerer auf die Handys zu bekommen. Aber auch Android ist so sicher, wenn man dieses nicht öffnet. Hat dann zwar nicht mehr alle Funktionen von Android, aber man kann es halt nicht so ganz pauschalisieren...

Grüße
 
@Memfis: Mein Kartenleser ist echt nicht groß und ich hab ihn fast immer mit dabei, wenn ich damit rechne ihn zu brauchen. Beim mTAN hatte ich mir die SMS auch auf ein zweites Handy schicken lassen, da es mir schlicht zu riskant erschien, dass allein mit dem Smartphone alles machbar ist (keine Ahnung, wie schnell bei Verlust des Smartphones die Passwörter knackbar wären). Was ich aber lustig finde, meine Sparkasse hatte mir lange das mTAN-Verfahren verweigert, weil es sehr unsicher sei. Stattdessen musste ich aber bei eine TAN-Liste bleiben, die hier als noch weniger sicher dargestellt wird.^^
 
@Ramose: Die TAN-Liste ist deutlich sicherer als ihr Ruf. Ohne, dass der Besitzer der Liste die TANs selbst irgendwo angibt (so wie die hundsdummen Vollpfosten, die 100 TANs zur "Sicherheitsüberprüfung" eingegeben haben), können die auch nicht in falsche Hände geraten. Ein Angreifer müsste schon in den Besitz der Liste gelangen, was nur durch Einbruch in dein Haus erfolgen kann, sofern du sie nicht fahrlässig mit dir herumträgst. Und wenn man die TANs dann noch freirubbeln muss oder so, dann kann man sie auch nicht mal eben abfotografieren. Sicherer ist da natürlich sm@rt-TAN, aber damit gibt es nur Probleme, was die Benutzung angeht... Bildschirm zu schlecht (Helligkeit, Kontrast, Frequenz, spiegelnd), Flickercode unpassend (Größe falsch, Geschwindigkeit unpassend [jeder Leser braucht das anders]), ATC abweichend, Batterie leer, Leser zu alt, bankseitig eingestellte sm@rt-TAN-Version zu alt, falsche Bankkarte (Verwirrung insbesondere bei Mehrkontenverfügbarkeit, da wird dann die Karte des Kontoinhabers genutzt, obwohl man die eigene nehmen müsste oder umgekehrt), alte Bankkarte, und natürlich das Gefummel, das einem generell nicht erspart bleibt, auch wenn es klappt.
 
@Memfis: "mTAN ist mit Abstand das bequemste Verfahren" für Kriminelle Geld ab zugreifen. Das hat mir mein gesunder Menschenverstand schon damals mitgeteilt. Also habe ich mir einen TAN-Generator besorgt. Ganz nebenbei geht die Mobilfunknummer meiner Bank "einen feuchten Sch..." an. Schon deshalb sollte man mTAN meiden. Kurz und knapp: Wer mTAN nutzt muss halt mit den Konsequenzen rechnen ...
 
@karacho: Das Probelm ist doch nicht die mTAN an sich, sonder wieder der Nutzer! Wenn ich die mTAN über meinen alltags Androiden benutze, dann muss ich mich nicht wundern, da hast du recht. Aber wenn ich das ganz mTAN verfahren über eine extra SIM und ein extra Handy à la Nokia 105 oder Samsung E1270 abwickle, dann sollte ich vor dem meisten Schadcode den man im Vorbeigehen mitnimmt gefeit sein... und das für Anschaffungskosten von ca. 30€!
 
@MMc: Oder man nimmt einfach ChipTan? Welchen Vorteil hätte mTan denn noch nach deiner Beschreibung?
 
@MMc: Wenn ich für jede Überweisung zur Bank fahre und den Überweisungsschein am Schalter abgebe, dann bin ich vor jedem Schadcode den man im Vorbeigehen mitnimmt gefeit und laufe außerdem nicht Gefahr von heimlich eingebauten Kameras bei der Eingabe der Pin gefilmt zu werden. :D
 
@Memfis: Dann stellt man auf Manuelle Verfahren um dann muss der Bildschirm das nicht können.
 
Zum Glück habe ich mich bei meiner Bank für den TAN Generator entschieden. Ich fand es schon aus prinzip unsicher, wenn TANs einfach so per SMS versendet werden und so theoretisch von jeder App einfach abgegriffen werden können.
 
@Laggy: Mit TANs alleine kann man reichlich wenig anfangen, dazu benötigt man noch den Zugriff auf das Onlinebanking Konto.
Also einfach mal TANs abfangen mit ner App und dann Geld abheben, is nich.
 
@slave.of.pain: Selbst mit den Zugangsdaten zu deinem Onlinebanking Portal + abgegriffener Tan kann ein Krimineller nix anfangen. Der Angriffsvecort ist ein anderer. Man Benötigt zugang zum PC, Zugang zum Onlineportal + eine kopie der Sim mit deren Nummer das ganze passieren soll.
 
@slave.of.pain: Das ist mir klar, aber auch der Zugriff aufs Online Banking Konto ist genauso wahrscheinlich. Mit dem TAN Generator hat man wenigstens eine der beiden Sicherheitskomponenten "in den eigenen Händen" und nicht nur virtuell.
 
@slave.of.pain: Und wenn man auf dem Smartphone nur die TANs empfängt und die Onlinebankingseite nur am PC öffnet, also beides auf 2 physisch getrennten Geräten macht, kann gar nichts passieren. Und die eine oder andere Bank bietet sogar den Service, zuvor definierbare Signale bei Kontobewegungen per SMS an den Kontoinhaber zu senden (mache ich bei meiner Postbank zum Beispiel) und dann hat man noch ein kleines Plus an Sicherheit mehr...
 
@MaikEF_: Soweit mir bekannt ist, bieten die meisten Banken das mTAN-Verfahren nur an, wenn der mobile Zugriff für die Überweisung geblockt ist. Du musst also zwangsweise auf einem Handy/Smartphone die mTAN empfangen und dann dort eingeben. Zwar ist eine mTAN an eine konkrete Überweisung gekoppelt, allerdings gab es dennoch hier auch schon Betrügerein. Häufig läuft das so ab, dass dann eine zweite SIM-Karte angefordert wird und diese abgegriffen wird. Allerdings ist der Aufwand natürlich schon höher. Am besten ist wohl. keine Handy-Rechnungen auf dem PC zu speichern, so dass ein Eindringling nicht auf die Providerdaten zugreifen kann. Anhand der Handynummer kann man ja nicht mehr auf einen Provider schließen.
 
@ijones: ich konnte schon mal - widerwillig zwar aber in in der Situation dringend - über das Smartphone die Überweisung tätigen und gleichzeitig die mTan empfangen. Seither nutze ich aber eine andere SIM und eine andere Nummer - darum hatte ich mich direkt im Anschluss gekümmert. Damals ging also beides auf dem Smartphone...
 
@ijones: Nicht? Da gibts doch von den Providern selber den kostenlosen Service, dass die dir sagen wo die Nummer gerade ist genauso wie eine handvoll Apps.
 
@Zombiez: Ok, aber dann müsste mann immer noch seinen "eigenen" Namen bei Provider erfragen. Wenn der feht würd der Provider doch vermutlich hellhörig. Jedem x-beliebigen schicken die siche keine zweite SIM.
 
@Laggy: Wobei ich annehme, das der Generator auch nur bedingt sicherer ist. Die TAN wird ja quasi als Balken-Code auf das Smartphone (oder PC, oder ...) geschickt und der Generator liest ihn und errechnet eine TAN. Prinzipiell wird dahinter eine Berechnung stecken, die die Bank-Seite und der Generator kennen, denn am Ende müssen beide ja zum gleichen Ergebnis, der TAN kommen. Das Verfahren dürfte also nur solange sicher sein, wie die Berechnung nicht geknackt ist, danach könnte auch wieder eine App die TAN einfach abgreifen.
... oder ich hab das Prinzip falsch verstanden.
 
@Ramose: ja hast du. Der TAN Generator hat keine Apps und keinen online zugang. Sprich, solange dein PC selbst nicht virenverseucht ist können die da nix angreifen. Und selbst wenn sie dir ein fake Balkencode übermitteln, würdest du das sehen können, da die Daten (IBAN/Kto Nr., Betrag) zur Kontrolle auf dem Display des TAN Generators angezeigt werden.
 
@Aerith: Das der Generator nicht online ist, weiß ich ja auch. Aber die Bankingseite errechnet ja aus den eingegebenen Daten eine TAN, die anschließend mit dem Balkencode angezeigt wird und der Generator berechnet aus den Balken die erwartete TAN. Heißt doch also, dass da irgendwo im Hintergrund Verschlüsselungsalgorithmen laufen, die Website wie Generator kennen, oder? Und wenn der Algorithmus geknackt werden würde, dann wäre es ja theoretisch möglich Informationen auszutauschen. Klar müsste dafür der PC kompromitiert werden, das ist aber bei den anderen Verfahren ähnlich.
Meines Wissens ist aktuell das ChipTAN verfahren tatsächlich sicher, aber ich könnte mir halt vorstellen, dass es irgendwann auf solch einem, oder einem anderen Weg es gelingt das Verfahren zu knacken. Ein völlig sicheres System wird es wohl nie geben können. Was aber sicher ein guter Tipp ist, immer gleich zu prüfen, was überwiesen wurde um zumindest schnell die Bank beauftragen zu können die Überweisung zu stoppen (falls das denn geht).
 
@Ramose: Sicher kannste den knacken, aber dein Opfer würde auf dem Display des TAN Generators sehen das weder Betrag noch Kontonummer mit dem gewünschten Empfänger übereinstimmen. Und da TANs auftragsspezifisch sind wüsste ich wirklich ned wie die da was dran drehen sollen, da sie ja dann schon bei dir einbrechen und den TAN Generator und den PC manipulieren müssten.
 
@Aerith: Naja, genau hab ich auch keine Ahnung wie es gehen sollte. Aber ich glaube, dass Kriminelle da einen Weg finden könnten, war doch bislang immer so. Es ist nur eine Frage der Zeit. Solange sie aber noch keinen Weg kennen, kann man das schon nutzen, mach ich ja auch. :) Was die falschen Anzeigen betrifft, wurde ich weiter unten schon darauf hingewiesen, dass das durchaus ignoriert werden könnte - und ich fürchte, dass das stimmen wird.^^
 
@Ramose: Naja soviel Doofheit ist dann aber ansich schon nen krimineller Akt. :D (bezogen auf das ignorieren falscher Kontonummern)
 
@Aerith: Seh ich auch so. Wer darauf nicht achtet, ist dann selbst Schuld. Im Real-Life unterschreibt man ja schließlich auch nicht ungesehen alles, was einem vorgelegt wirs. ... wobei ... XD
 
Eine Frage hätte ich noch, betrifft es prinzipiell alle Banken und Betriebssysteme oder nur bestimmte?
 
@Knerd: So weit ich weiß liegt die Schwachstelle daran, dass die SMS nicht (nur) bei dir ankommt - gab letztes Jahr ein paar berichte hier über Angrifsvarianten
 
@The_Xar: Gut zu wissen.
 
@Knerd: Es geht nicht um irgendeine Bank, sondern um das Verfahren an sich. SMS ist nunmal per Defintion kein sicherer Dienst. Aber mit einer abgefangenen SMS kann man gar nichts anfangen. Die meisten User nutzen wohl Online-Banking mittels Medienbruch: Per PC auf das Online-Bankiung zugreifen und per SMS auf das Handy die TAN bekommen. So ist das ein recht sicheres Verfahren, da ein Angreifer beide Systeme infiltrieren muss. Nur wenn jemand von seinem Handy aus Online-Banking macht und dort auch die TAN in der SMS empfängt, dann ist es natürlich relativ gefährlich. Die meisten User haben viele Apps von denen sie nichts wissen außer der Beschreibung im AppStore. Die Berechtigungen prüfen auch nur wenige Leute. Mit einer Trojaner-App kann man daher halbwegs leicht das Online-Banking kompromitieren.
 
@Nunk-Junge: Danke für die ausführliche Erklärung :) Wie gesagt, ich besitze einen TAN Generator.
 
@Knerd: zumindest momentan ist Windows Phone grundsätzlich nicht betroffen, da Apps keinen Zugriff auf SMS haben.
 
Jaja die gute alte SMS - wundert mich eigentlich, dass das ernsthaft gemacht wurde, es gibt ja schon länger Angriffsvarianten auf die "Eindeutigkeit" der Person hinter einer Simkarte.
Wäre natürlich schön, wenn so ein Tangenerator auch wirklich mehr Sicherheit bringen würde, aber bei meiner Bank wird leider TLS_RSA_WITH_RC4_128_MD5 auch mit TLS 1.2 (immerhin schon TLS 1.2) angeboten und als bevorzugte Wahl beste alternative TLS_RSA_WITH_AES_128_CBC_SHA...
 
@The_Xar: Wo ist das Problem? mTAN ist doch nur unsicher, wenn du aufm Smartphone Mobile Banking machst.
In Kombination mit dem Rechner ist das immernoch sicher. Ich kann dir meine TANs jedesmal schicken. Damit kannst du garnichts anfangen.
 
Ich verstehe das Problem nicht so ganz. Die ankommende SMSTan ist nur für diese eine Überweisung zu verwenden. Erstens bin ich doch wohl schneller als irgend jemand um sie zu lesen und zu benutzen, was die gesendete Tan nutzlos macht. Zweitens ist sie nicht für eine "beliebige Überweisung" gültig.
Es müsste dann 1. der online Account geknackt werden und dann eine Überweisung in Auftrag gegeben werden die dann abgefangen wird damit das ganze unsicher wird?

Danke für die Diskussion Leute. Fazit Konto geknackt, Handy gekapert, dann hat man ein Problem. Nichts Neues.
 
@one: Es gibt schon angriffsszenarien, aber da muss sehr viel zusammenkommen und auch der Benutzer muss sehr viel falsch machen!
 
@one: Richtig. Wenn Du Dir einen Banking-Trojaner eingefangen hast (und somit der Zugang zum Online-Banking dem "Hacker" bekannt ist) und eine schadhafte App auf Deinem Smartphone installiert hast, dann besteht die Gefahr, dass die mTAN abgefangen wird. Potentiell betroffen sind davon vermutlich nur iOS-Nutzer mit Jailbreak und Android-Nutzer. Wie es auf Windows Phone mit Schadsoftware aussieht, kann ich nicht beurteilen - gibt's dafür auch schon einen ausreichend großen Markt? Sicherlich kann man mit einem iOS ohne Jailbreak hier auch was drehen, die Hürden dürften aber deutlich höher liegen, da Apple normalerweise den Zugriff von Apps auf die Nachrichten nicht gestattet. Eher fängt der Banking-Trojaner Deine Eingabe auf der Banking-Seite, die durch den Trojaner gefälscht sein könnte, ab. Ansonsten sehe ich auch nicht das große Problem mit mTAN. Unter den Voraussetzungen, dass der Banking-Trojaner die TAN abfängt, sind auch alle anderen TAN-Verfahren unsicher.
 
@one: Denk mal andersrum. Nicht du bist Initiator der Überweisung, sondern jemand, der dein Online-Banking geknackt hat. Aufgrund von Phishing Mails installierst du dir dann eine Fake App, die die SMS abfängt. Dann merkst du von dem Vorgang gar nichts, bis auf dass dein Konotstand niedriger wird :-)
 
@T!tr0: und es gibt das Szenario der kopierten SIM-Karte. Also jemand bucht sich mit Deiner Nummer ins Netz ein und kann somit Deine SMS empfangen. Wobei hierzu natürlich wieder die Nummer des Opfers bekannt sein muss, was andererseits über einen geknackten Online-Banking-Zugang ohne Weiteres herausfindbar sein sollte.
 
@Grabsteinschubser: Das mit den kopierten SIM Karten kannste Knicken. Die Netzbetreiber sind da schon hinterher, damit sowas nicht geht. Wär ja noch schöner, wenn du so einfach deine Flat auf mehreren Geräten nutzen könntest ;)
 
@T!tr0: Was aber voraussetzt, dass er eben die Zugangsdaten zu Deinem Online-Banking kennt und Deine SMS abfangen kann. Da muss schon einiges zusammen kommen (ein von einem Trojaner mit weitgehenden Berechtigungen kompromittiertes Smartphone, von dem aus auch Online Banking betrieben wird, wäre wohl der Ansatzpunkt mit den geringsten Voraussetzungen).
 
@one: So wie ich die Sache kenne läuft es so, dass heimlich die Informationen deiner Überweisung ausgetauscht werden (du überweist an A einen Betrag von B und daraus wird eine Überweisung an X mit Betrag Y gemacht) und dir aber vorgetäuscht wird, dass du weiterhin die gewünschte Überweisung tätigst. Tatsächlich bestätigst du aber dann die andere Überweisung und überweist irgendjemandem viel Geld ... und das ist schwer rückgängig zu machen.
Achja, bzgl. dessen, dass du schneller sein willst als irgend jemand anders ... am anderen Ende sitzt nicht unbedingt ein Mensch, das kann auch ein Computer sein und der wird deutlich schneller sein als du. ;)
 
@Ramose: Hier ist es aber erforderlich, dass du die TAN selbst eingibst, solange deine SMS nicht abgefangen werden - und das ist immer noch selten der Fall, weil oft viel zu aufwendig. Tatsächlich ist es so, wie du sagst und die Angreifer hoffen oft erfolgreich auf die Leichtfertigkeit des Online-Banking-Nutzers. Der gibt Empfänger "Peter" mit "100€" ein,mein Trojaner auf dem PC macht aber beim Klick auf "Ok" daraus Empfänger "Gauner" mit "4000€". Die SMS kommt und in dieser SMS steht nun auch "Gauner, 4000€" drin, aber 90% der Online-Banking-Nutzer lesen natürlich nur schnell die TAN und tippen diese ein. Und das ist der Fehler. Solcherlei Angriffe passieren relativ häufig, wohingegen das Kapern von SMS noch sehr, sehr selten gelingt in Bezug auf Online-Banking.
 
@eN-t: Ich hätte jetzt aber schon damit gerechnet, dass die SMS auch verändert wird (wenn es auch schwer ist). Wenn dagegen in der SMS steht, dass ich "Gauner" viel Geld überweise und ich tippe das dennoch durch, ... selber Schuld würde ich sagen. Ich schau immer kurz drauf, ob BLZ und Betrag stimmen, schon um abschließend zu prüfen, dass ich keinen Fehler gemacht habe. Ein kleiner Schutz ist es noch (denke ich wenigstens), bei der Bank ein Limit einzurichten. So sollten zumindest alle Überweisungen über dem Limit geblockt werden und mal ehrlich, wer braucht denn im Alltag schon 4-Stellige Beträge. Wenn doch, kann man ja im Ausnahmefall mal zur Bank gehen, wird ja nicht so oft sein (und ja, es wird auch welche geben, denen selbst 4-Stellig zu klein ist).
 
mTAN ist ansich schon extrem sicher, wenn man es richtig benutzt. Überweisungen nicht mit dem Handy ausführen, auf das die mTAN geschickt wird, wäre schon mal das wichtigste.
eine mTAN ist nur gültig für eine bestimmte Überweisung! Sollte die mTAN alleine abgefangen werden, bringt das dem Betrüger nichts! Gleichzeitig muss also auch der Computer in der Hand der selben verbrecher sein. Das wird dann schon schwieriger. Unmöglich ist das nicht, aber für mich ist das Sicherheit genug!
 
@FatEric: Desweiteren muss derjenige die bereits fertig eingegebene Überweisung ändern, damit er die mTAN auch nutzen kann.
 
Also eines der Angriffszenarien war ja das der PC infiltriert ist. beim onlinebanking sieht erst mal alles i.o. aus der trojaner schickt dann an das handy eine sms oder irgendwas anderes in dem von einem sicherheitsupdate gefaselt wird. dann wird irgendwie die sms und die Überweisung manipuliert, sprich der user sieht in der sms die daten seiner Überweisung nur die tan stimmt eigentlich nicht, denn die is für die überweisung auf dem pc die im hintergrund ganz anders ist als die der user vermeintlich erstellt hat.
 
Ich hab den Artikel schon vorher woanders gelesen und wundere mich über die Aussage, dass das TAN-Block-Verfahren das unsicherste sein soll - eine Begründung wäre doch interessant. Meine Bank sagt, dass diese Methode sicherer ist als mTAN. Natürlich für mobil-Nutzung ungeeignet, aber daheim am PC ? Seit Jahren nutze ich das, und fühle mich dabei sicher.
 
@ringelnatz111: Hat meine Bank auch behauptet. Irgendwann ging dann plötzlich doch mTAN und jetzt hab ich das Chip-Verfahren. Manchmal bin ich mir nicht sicher, ob die in den Filialen tatsächlich die nötige Ahnung haben.^^
 
Ich nutze pushTan, auch unsicher ?
 
@ghosti72: Was ist pushTAN?
 
Das Problem ist doch das selbe, wie schon beim PC: Lade ich mir ein unseriöse Apps runter für mein Smartphone runter, dann kann man ja schon mit Schadecode rechnen. Hab ich ein Android, wo echt alles in den Marketplace reinkommt, ja selbst Schuld
 
Kann mir jemand erklären wo das Risiko eigentlich entsteht?
Ich kann bei meiner Bank erst einen tan anfordern wenn ich die Überweisung im System eingegeben habe.
Und mit der zu gesendeten tan kann ich nur diese im System befindliche Zahlung zeichnen...
Also was hilft der tan wenn er ihn anfängt?.

Erst muss er also Zugriff auf mein telebanking haben.
Dann die Überweisung eingeben und erst jetzt kann er einen tan für diese Buchung beantragen.

Gut klar könnte er mein komplettes Gerät überwachen aber das ist mit einem PC auch möglich.
 
@smart42c: Inzwischen steht es in den oberen Posts schon erklärt. ;)
 
Deswegen hab ich die gute alte Koordinatenkarte, da kann niemand was abfangen oder elektronisch knacken! :)
 
@Islander: Was ist eine Koordinatenkarte? Mit Google und Wiki hab ich nicht viel gefunden, außer GPS-Dinge und Geocaching.
 
@Ramose: Gibt's tatsächlich nur im spanischen und katalanischen Wiki. Ist im Prinzip eine Karte im Kreditkartenformat mit einer Tabelle. Zum Bestätigen von Transaktionen gibt's eine Koordinate und man muss die entsprechende Zahl dazu eingeben, zu finden auf eben jener Karte, ansonsten kann man die Transaktion nicht ausführen. Da die Karte physikalisch ist und elektronisch nicht existiert, kann man da nix abfangen oder hacken. - http://es.wikipedia.org/wiki/Tarjeta_de_coordenadas
 
@Islander: Achso. Wenn ich auch kein Spanisch kann, auf der Seite ist zumindest noch ein Bild, was es gut erklärt. Praktisch finde ich, dass die Koordinaten gleich auf der Karte mit drauf sind. Aber von der Idee her entspricht das doch etwa den TAN-Listen, nur dass man nicht die Nummer der TAN sondern halt die Koordinaten dafür erhält, oder?
 
@Islander: Also quasi wie bei uns das iTAN-Verfahren? Finde ich persönlich noch am Besten neben HBCI. Bin froh, dass die DKB einen nicht zu mTAN zwingt wie andere
Banken.
 
Die Erkenntnis daß mTANs nicht sicher sind alles andere als neu, aber was will man machen wenn einem die Bank oder der entsprechende Dienst (z.B. Packstation) keine andere Wahl mehr läßt? Wegen sowas habe ich schon mal meine Bank gewechselt, aber den enormen Aufwand treibt man auch nicht ständig aus Spaß an der Freude.
 
Und was bringen die mTans, wenn der Angreifer nicht auf die Überweisung, die auf meinem Rechner stattfindet, zugreifen kann? NICHTS. Komische Panikmache... Da wollen die Anbieter von TAN-Generatoren wohl ihren Umsatz steigern... (Wer Überweisungen von seinem Handy aus schickt, dem ist eh nicht mehr zu helfen...)
 
@s3cr3t: Entsprechende Standards für solche Generatoren gibt es schon lange und auch kostenlos. Und das Schöne daran ist daß man mit denen nicht auf Gedeih und Verderb wie bei mTAN oder Hardware-Keys auf ein einzelnes Gerät angewiesen ist.
 
Ich nutze einfach mein 10 altes Handy dazu. Es hat weder eine Internetverbindung noch kann es Apps ausführen.
 
@Megamen: Das wollte ich auch schreiben! Alten Knochen für mTan benutzen ist schon eine gewisse Verbesserung, weil das Handy im Normalfall nicht so schnell manipuliert werden kann, wie mit Android oder IOS.
 
@Megamen: Genau so mach ichs auch. Hab noch n altes Nokia 3210 mit ner Prepaidkarte, die man heuzutage zum Glück nicht mehr zwangsaufladen muss. Das dient dann nur zum Empfang der smsTANs und ist ansonsten auch immer ausgeschalten.
 
Oder man benutzt sein Smartphone richtig. Selbst unter Android bekommt man entsprechende Sicherheit recht einfach hin. Zugegeben, dass diverse Mobilfunkanbieter die Sicherheit bei zweit-SIMs aus dem Fenster werfen, wird dadurch nicht besser.
 
Naja, die Panikmache ist jetzt echt etwas übertrieben. Opfer sind die Leute, die jeden Scheiß auf ihrem Smartphone installieren oder installieren lassen. Auch Leute, die ihr Gerät unbedingt rooten oder jailbreaken müssen, um Apps am System vorbei zu schmuggeln, sind da die Dummen.
Weniger ist hier einfach mehr. Nur die nötigsten und vor allem namhaftesten Apps installieren, wo auch ein größeres bekanntes Unternehmen hintersteht. Dann geht das auch so...
 
"Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren", erklärte Christian Funk von der IT-Sicherheitsfirma Kaspersky "
Also es ist mal wieder wie immer. So versucht Kaspersky sein Antivir für Mobile Geräte ins Gespräch bringen... Wei Wei Wei. Immer diese Panikmache. Man muss sich schon bewusst eine Schadhafte App installieren. Immer das selbe.
@doubledown: Root hat damit nichts zu tun. auch bei root kommt ne abfrage....bei einer app installation
 
@Hexo: Und jede Newsseite kopiert diese Panikmache (inklusive WF...). Anstatt mal drauf hinzuweisen, dass man bei Verwendung eines einfachen Handys gar nicht erst solche Apps auf das Gerät kriegen kann. Und dass man zwei Übertragungswege nutzen sollte und eben nicht alles über ein Gerät laufen lässt. So wie es die Banken übrigens auch verlangen. Tolle Bankenexperten und Verbraucherschützer, die sowas einfach verschweigen...
 
HBCI und gut ist. Aber nein, scheinbar wollen die meisten nicht nur HOMEbanking, sondern immer-und-überall-Banking. Muss jeder selber wissen, aber während andere Verfahren immer und immer wieder nachgebessert wurden, ist man mit HBCI schon jahrelang sicher unterwegs. Ja, man benötigt einen Kartenleser und extra Software, aber muss man wirklich von jedem PC der Welt seine Bankgeschäfte erledigen können? Persönlich vermeide ich ja schon eMail-Verkehr an irgendwelchen freien Hotspots im Ausland, an Bankgeschäfte würde ich erst recht nicht denken. Und dann womöglich noch über einem fremden PC, braucht man diese Möglichkeiten wirklich?
 
@_sol_: Ich will weder eine extra Software, noch einen Kartenleser der auf meinem Tisch rumsteht, denn ich habe für meinen Laptop keinen festen Platz. Onlinebanking per SMS ist einfach am bequemsten. Und so lange man 2 entkoppelte Systeme (PC+Handy) benutzt, kann praktisch nichts passieren.
 
@Dr. Alcome: Dann hast du aber sicher eine Laptoptasche und ob du nun das Smartphone aus der Hosentasche holst oder eben den Kartenleser aus der Tasche macht doch kaum einen Unterschied!? (gibt auch kleine die in die Hosentasche passen) Und so hast du nur einen PIN den du dir merken musst, brauchst nicht auf eine SMS warten und abtippen!
 
@Dr. Alcome:
Ja ja, die Bequemlichkeit. Genau deswegen werden immer wieder Bankkunden von Betrügern abgezockt. Galten doch schon diversen TAN Verfahren als "sicher".
Wie oft betreibt ihr denn Homebanking? Etwa jeden Tag mehrmals? Bei mir wird der Kartenleser vielleicht einmal pro Woche aus der Schublade geholt, in meinen Augen kein großes Hindernis für das Plus an Sicherheit.
 
@_sol_: Ich war selber mal beruflich in der Online-Banking-Branche tätig, ich weis wo die wirkliche Fehlerquelle sitzt, nämlich 50cm vor dem Bildschirm ;-)
 
@_sol_: Wobei man sein Notebook oder Tablet auch Mobil nutzen kann aber heute muss wohl alles über Smartphone laufen!?
 
Naja, in der Regel gibt man die TAN ja eh direkt ein wenn man sie bekommt, und damit wird sie ungültig. Wüsste nicht wo das Problem ist, selbst wenn sie ausgelesen wird brauch der Hacker ja auch imme rnoch Zugriff auf das Online-Konto. Problem wäre nur wenn er beides hat, dann würd ich mir bei ankommenden SMS mit TAN Gedanken machen wenn man selber keine Überweisung vorgenommen hat. ^^
 
mTan : Um Schaden anzurichten müssen beide genutzten Geräte infiziert sein.
iTan : Um Schaden anzurichten muß nur das Gerät das zum Überweisen genutzt wird kompromitiert sein. Einfaches Tan-abfangen reicht aber auch nicht.
Tan-Generator: Um Schaden anzurichten muß man Zugang zur EC Karte und den Login Daten haben.

Ich find den Tan Generator noch am sichersten von den einfachen Heimlösungen, aber sooo unsicher ist das mTan Verfahren auch nicht. Und bequemer ist es allemal.
 
Das Problem ist, das die anderen Möglichkeiten für uns blinde nicht zugänglich sind. Die SMS-TAN ist da wesendlich zugänglicher. Außerdem weiß ich ja, was für Apps ich auf meinem Handy installiere. Ich weiß außerdem, das meine Bank niemals E-Mails versendet, auch wenn mein Name drauf steht. Darauf wird man eigendlich auch jedes mal auf der Seite der jeweiligen Bank hingewiesen.
 
Irgendwie verstehe ich da was nicht. Meines Wissens ist eine mTAN für eine genau definierte Überweisung gültig, welche ja bereits ausgefüllt und beauftragt ist und nur auf die Eingabe dieser mTAN wartet. Wenn jemand es schafft, diese SMS abzufangen, wie will derjenige die von mir fertige Überweisung so ändern, dass die Kohle bei ihm landet?
 
@iPeople: Er braucht, soweit ich weiss, neben Zugang zu Deinen SMS (neben kompromittierten Smartphones, auf denen Malware die SMS ausliest, gibt es wohl auch eine Variante mit gefälschten SIMs, mit deren Hilfe sich ein Gerät der Verbrecher als Deines ausgibt und dann Deine SMS erhält, aber auch hierzu muss, wenn ich nicht irre, Dein Smartphone zum Abgreifen der SIM-Daten vorher kompromittiert worden sein) auch Zugang zu Deinem Online Banking - entweder unmittelbar Kenntnis der Zugangsdaten, dann kann er sich selbst anmelden, eine SMS schicken lassen die er abfängt, und die darin enthaltene mTAN selbst nutzen, oder als Man-in-the-middle Dir bei von Dir getätigtem Online Banking insgeheim eine andere Überweisung mit der Bank aushandeln, als die Benutzeroberfläche Dir anzeigt.
 
>>Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren.<<

Den Satz muss man sich mal auf der Zunge zergehen lassen, nachdem schon vor Jahren beim Telekom-Mitarbeiterüberwachungsskandal ein privates "Serviceunternehmen" problemlos die Mobiltelefone der Mitarbeiter ferngesteuert hat und beim Carrier-IQ-Skandal von den Providern/Herstellern 140 Mio. Lizenzen der Carrier-IQ-Software, die bis hin zum einzelnen Tastendruck des Benutzers (und damit auch Passworte direkt bei der Eingabe) alle Daten von dessen Mobiltelefon auslesen, kopieren und mitloggen kann gekauft und angeblich auf den Geräten der Endverbraucher "vergessen" wurden.

JEDER der einen Laptop hat, sich Equipment im Wert von nicht einmal 100EUR ersteigern, die passende Software herunterladen und eine Anleitung aus dem Internet befolgen kann, kann heute problemlos das Mobiltelefon einer Person in seiner Umgebung abhören und fernsteuern, wie es jeder Providermitarbeiter ebenfalls kann. Das geht schon ohne manipulierte App, weil diese Geräte zum automatisierten Ausspionieren der Benutzer konstruiert wurden und somit jemandem der über die Funkverbindung auf so ein Gerät zugreift automatisch höhere Rechte einräumen als dem Besitzer.

Schon in den 90er Jahren war im GSM-Standard eine Funktion vorgesehen bzw. wurde seitdem in alle GSM-Mobiltelefone installiert, die es Dritten ermöglicht das Mikrofon des Handys aktiv zu schalten und so von Ferne heimlich den Besitzer und dessen Umgebung quasi aus dessen Hosentasche abzuhören, ohne dass der Besitzer dies bemerken kann (es sei denn er protokolliert mit einem externen Gerät die Sendetätigkeit seines Funktelefons). Als ich das Ende der 90er Jahre im Praktikum bei einem Mobilfunkanbieter mitbekam, weil sich fest angestellte Kollegen einen Jux daraus machten ihre Kollegen und sogar Kunden heimlich abzuhören, habe ich mein Handy kurz nach diesem Praktikum damals verkauft und nie wieder eines angeschafft.

Seither wundere ich mich darüber, wie es Menschen gelingt, jedes Jahr mehrere Mobiltelefon-Datenskandale in der Presse zu lesen und niemals irgendwelche persönlichen Konsequenzen daraus zu ziehen. Als wenn die einen Reset-Schalter im Gehirn hätten, der, wenn sie hören das man sie mit einem Spionage-Trojaner in Form ihres eigenen Mobiltelefons für das sie auch noch selbst zahlen zum Narren hält, automatisch einen vollständigen Gedankenreset durchführt und ihnen suggeriert alles wäre in Ordnung und sie könnten sich problemlos weiter zum Narren machen lassen wie bisher, weil sich ja so viele Leute zum Narren halten lassen und es ja so viele Annehmlichketen bietet eine Tracking-Taschenwanze ständig mit sich herumzutragen (Obwohl es mich persönlich eher nerven würde, wenn ich heute noch ein Handy hätte und wie der letzte Lakai für jeden jederzeit erreichbar wäre. Unerreichbarkeit ist Luxus. Schon Karl Lagerfeld sagte einmal: "Ich habe kein Handy. Handys sind nur etwas für das Personal." Auch wenn der Modezirkus mit seiner im Jahrestakt "untragbar" werdenden Kleidung an Schwachsinn kaum zu überbieten ist, hat der Mann in dem Punkt mal Recht.).

Lustig finde ich auch das Beharren auf der Feststellung, dass das TAN-Block-Verfahren angeblich das unsicherste Verfahren überhaupt ist. Das scheint immerhin so sicher zu sein, dass sich Kriminelle tatsächlich die Mühe machen aufwendig das angeblich sicherere mTAN-Verfahren zu knacken, statt weiterhin Leute mit gefälschten Seiten und Emails dazu zu bringen ihnen ihre ungenutzten TANs zuzusenden. Das mTAN-Verfahren hat meiner Meinung nach nur eines bewiesen: Das es kompletter Unsinn ist ein unsicheres Verfahren mit zwei angreifbaren Geräten (Heimcomputer + Server der Bank) durch weitere, noch einfacher angreifbare Geräte wie beispielsweise ein SmartPhone zu erweitern.
 
@nOOwin: zusammengefasst sagst du auch nur aus, dass SMS abgefangen werden können. Ja, das ist bekannt. Mit der mTAN alleine kann man aber nichts anfangen. Das wird in den Beiträgen oben ja mittlerweile ausführlich erklärt.
 
Am unsichersten ist immer noch mit einem Buendel Bargeld Einzahlungen in der Bank vorzunehmen.
Millionen mTan Transaktionen werden taeglich abgewickelt. Ich denke der Missbrauch liegt im tiefsten Promille Bereich.
 
Am unsichersten ist immer noch die gute alte Papierüberweisung^^
 
Wer sein komplettes Onlinebanking auf Handy macht ist selber schuld aber was wollen sie mit ein Tan ohne Bank Login dann muss schon PC und Handy mit dem gleichen Virus befallen sein !!!!
 
@sp1k3:
So isses !
mTAN ist in meinen Augen immer noch sicher, solange man mTan so benutzt wie es auch ursprünglich vorgesehen war.
Onlinebanking auf dem PC oder Tablet und die TAN bekomme ich über das Smartphone oder Handy. Hauptsache es sind zwei unterschiedliche Geräte. Dann kann auch das Smartphone mit Schadsoftwäre befallen sein, es würde den Hackern nichts bringen.

Abgesehen davon, wenn das Gerät befallen ist (Phishing/korrumpierter DNS Server), mit dem man das eigendliche Onlinebanking macht, hilft dir ChipTAN oder whatever auch nicht mehr.
 
"Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren"
Also, wenn das wirklich so kritisch ist, nimmt man für das Online-Banking ein altes Nokia-Handy mit einer extra für das Banking vorgesehenen SIM-Karte und gut ist.
 
jup genau.
Hab für diesen Zweck auch ein uraltes Nokia. S/W und Minidisplay. Tuts für die SMS.
Keine Apps, keine Gefahr. :)
 
Einfach ein uraltes Handy für 11,99€ besorgen ohne App-Kompatibilität und dann braucht man sich auch nicht für jede Gelegenheit ein entsprechenden Tan-Generator besorgen.
 
@WilliamWVW: Genau, mTAN lass ich an meine alte Nokia N95 8GB zu schicken ;)
 
also hatte noch nie die geringsten Probleme mit TAN-Liste und danach TAN-Generator. Viel unbehaglicher ist mir dabei das es kein Bankgeheimnis mehr gibt und das nicht nur Finanzamt sondern praktisch jede halbseidene Regierungsbehörde auf mein Konto(n) beliebig Einblick nehmen kann.
 
hab da kein problem mit. hab kein wischiwischi handy und auch kein internet drauf, also keine apps und soscheiß was keiner brauch. normales handy mit telefonfunktion und normal sms ;) war doch abzusehen das sowas passiert, alle wollen es haben, den ganzen tag mit kopf nach unten rumlaufen um nicht zu verpassen. einfach nur affig und unterstützt die faulheit immer mehr, oder warum sind die dicken so sprunghaft angestiegen (außer die krankheitsfälle)?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles