Smartphone-Trojaner erspäht Bank-TANs

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Smartphone-Trojaner erspäht Bank-TANs

Jetzt ist Ihre Meinung zu Smartphone-Trojaner erspäht Bank-TANs gefragt.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

arrow_right.gif
Zurück zum Artikel: Smartphone-Trojaner erspäht Bank-TANs
 
Smartphone-Trojaner erspäht Bank-TANs

Und da will einem die Sparkasse doch ernsthaft erzählen, dass das normale iTAN verfahren so unsicher ist. Lächerlich! So habe ich meine TANs gut aufgehoben zuhause statt unsicher auf dem Telefon.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Wer seine Bank-Geschäfte übers Smartphone macht, ist selbst schuld! Das braucht kein Mensch!
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Citynomad schrieb:
Und da will einem die Sparkasse doch ernsthaft erzählen, dass das normale iTAN verfahren so unsicher ist. Lächerlich! So habe ich meine TANs gut aufgehoben zuhause statt unsicher auf dem Telefon.
Zum Vergrößern anklicken....
Meine Rede. chipTAN und mobileTAN sind unnötig kompliziert und kosten Geld. iTAN ist sicher genug, solange man brain.exe 1.0 installiert hat. DAUs sollten sowieso von OnlineBanking Abstand nehmen.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Man sollte sich auch mal den ganzen Text durchlesen und sich mit dem mTAN Verfahren auseinandersetzen.
Voraussetzung, das der Fall in der News eintritt ist, das schon der PC, von dem aus das Onlinebanking gemacht wird, infiziert sein muß!

Im aktuellen Beispiel sind Kunden der Deutschen Bank betroffen, die einen infizierten PC nutzen. Besucht der Anwender die Webseite der Bank, blendet der Trojaner auf dem PC eine Nachricht ein, die den Anwender glauben macht, dass sein Handy ein Update benötigt. Um dies zu erhalten, muss man die Handynummer und die IMEI eintragen - kurze Zeit später erhält man eine gefälschte Nachricht auf sein Handy. Allerdings ist im Hintergrund auch ein Trojaner installiert worden, der zukünftig empfangene mTAN an einen externen Server weiterleitet.
Zum Vergrößern anklicken....

Es wird also kein Onlinebanking vom Smartphone aus gemacht, das dient nur zum Emfang der SMS mit der mTAN, die dann umgehend für die Überweisung verwendet werden muß.
Die mTAN ist nur eine begrenzte Zeit gültig und die SMS enthält neben der TAN lediglich die Kontonummer des Empfängers und den zu überweisenden Betrag.
Sollte diese SMS nach der Überweisung jemandem in die Hände Fallen, kann er 0 damit anfangen.
Außerdem bekommt man die benötigte mTAN nur auf Anforderung zugesendet, es befindet sich also keine TAN-Liste auf dem Handy.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Citynomad schrieb:
So habe ich meine TANs gut aufgehoben zuhause statt unsicher auf dem Telefon.
Zum Vergrößern anklicken....

Die generierte Tan gilt nur für eine Überweisung, an genau die angegebene Kontonummer mit exakt dem bestimmten Betrag. Was ist daran unsicher?

Das Problem ist höchstens das das Handy gestohlen wird. Dann muss der Dieb allerdings auch deine Pin und die Kontonummer fürs Onlinebanking kennen. Reichlich unwahrscheinlich, oder?

Ein weiterer Vorteil ist die Mobilität du kannst von überall auf der Welt Überweisungen starten, ohne deine Tanliste bei dir zu haben.

Ich hab an dem mTan Verfahren absolut nix auszusetzen.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Astimon schrieb:
Die generierte Tan gilt nur für eine Überweisung, an genau die angegebene Kontonummer mit exakt dem bestimmten Betrag. Was ist daran unsicher?

Das Problem ist höchstens das das Handy gestohlen wird. Dann muss der Dieb allerdings auch deine Pin und die Kontonummer fürs Onlinebanking kennen. Reichlich unwahrscheinlich, oder?

Ein weiterer Vorteil ist die Mobilität du kannst von überall auf der Welt Überweisungen starten, ohne deine Tanliste bei dir zu haben.

Ich hab an dem mTan Verfahren absolut nix auszusetzen.
Zum Vergrößern anklicken....
Dass jede Überweisung mit mTAN Geld kostet, macht dir nix aus?
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Macht mir nix aus, da es bei mir sowohl bei der Sparkasse als auch bei der Postbank absolut kostenlos ist. (Bei der Postbank gehts es selbst auf Wunsch nicht mehr mit der alten Papierliste!)

Wo kostet das denn was?
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Naja, naja, in 99,99% der Fälle ist leider der User Schuld. Da Mobile-Tans nicht nur die Tan an sich, sonder noch einige Zusatzinformationen liefern, z.B.:
-Gültigkeitdauer (meist 10 Minuten)
-Art des Auftrags
-Empfängerdaten
-Betrag der ÜW

Nebenbei braucht man auch noch die Zugangsdaten des Users.
-Kundennummer
-Benutzerkennung
-ggfls Kontonummer

Edit: Wenn eine Tan per SMS mehrfach angefordert wird, ist immer nur die letzte gültig.

Die generierte Tan gilt nur für eine Überweisung, an genau die angegebene Kontonummer mit exakt dem bestimmten Betrag. Was ist daran unsicher?

Das Problem ist höchstens das das Handy gestohlen wird. Dann muss der Dieb allerdings auch deine Pin und die Kontonummer fürs Onlinebanking kennen. Reichlich unwahrscheinlich, oder?

Ein weiterer Vorteil ist die Mobilität du kannst von überall auf der Welt Überweisungen starten, ohne deine Tanliste bei dir zu haben.

Ich hab an dem mTan Verfahren absolut nix auszusetzen.
Zum Vergrößern anklicken....
So ist es!

Besonders sicher sind Onlinebankinganmeldungen die ebenfalls eine Tan benötigen und bei denen auch die Tan generiert werden muss (2-Schrittverfahren bei dem Daten, die von der Bank vorgegeben werden, mit der Tan verhasht werden. Bedeutet: wenn man so eine Tan ergattern kann, ist sie leider auch nur für einen Zweck zu gebrauchen, z.B. die Anmeldung oder eine vorgegebene Überweisung, von daher für den Angreifer nutzlos).

Alte iTan-Listen oder die normalen Tanlisten sind einfach unsicher und sterben auch lansam aber sicher bei allen Banken aus.
Genau wie das Smart-Tan-verfahren

Wer sorgsam mit seinen Mobile-Tans umgeht hat eigentlich nicht zu befürchten, da meisstens DAUs bestroffen sind.
Die auf eine Phishingseite reinfallen und mal eben 10 oder mehr Tans von ihrer Liste eingeben. In dem Fall ist jede Tan eine Blankounterschrift.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

@Scorpio78:

Was ist an iTAN bitteschön unsicher? Solange man die Liste nicht verliert, kann nix passieren (solange man sich nicht die komplette Liste DAUmäßig abphischen läßt).
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Die iTan unterscheidet sich nur durch die Nummerierung der einzelnen Tannummern. Wenn man genug abgreifen kann, ist es try and error, bei den meissten Banken hat man 3 Versuche, bevor der Zugang gesperrt wird.
Natürlich ist es sicherer als die normale Tanliste.
Aber trotzdem Zielen die Banken darauf ab, die Tanlisten und auch iTan dieses Jahr aussterben zu lassen, das hat seinen Grund.
Wenn man also Glück hat und eine itannummer abgefragt wird, die man hat, dann wars das.
Natürlich schütz man sich, wenn man etwas Ahnung hat auch mit einem EB-Limit. Dieses legt fest, wieviel Geld am Tag, Woche oder Monat per Online-Banking verschoben werden kann. Damit kann man eventuellen Schaden, falls es geschehen sollte, geringer halten kann. Zumal es möglich ist, wenn man abendlich seine Kontoauszüge oder Vormerkposten kontrolliert, Missbrauch schnell festzustellen. Dann kann das Geld zurückgebucht werden. Entweder bei der Bank selbst oder per externem Rückruf.
Problematisch wird es, wenn die Buchung nach Asien ging, besonders nach China, dann wird man sein Geld nicht wiedersehen.


Eine andere Problematik, jetzt fernab der Sicherheit, ist es auch, dass man immer eine neu Liste benötigt. Die neu Liste muss dann mit einer Tan der alten Liste freigeschaltet werden. Wobei bei Tan per SMS onder Chipkarte und Tangenerator unendlich viele Tans zu Verfügung stehen.

BTW: Du würdest nicht glauben, wieviele Kunden mir am Tag ihre Pinnummer für den Onlinebankingzugang unaufgefordert sagen. Wobei bei jeder Gelegenheit an den Kunden herangetragen wird, dass niemals ein Bankmitarbeiter nach der PIN fragen wird.
Seine verhashte Tan kann man sogar, wenn man mag, im Internet in Foren gefahrlos posten.
 
Zuletzt bearbeitet:
AW: Smartphone-Trojaner erspäht Bank-TANs

Auch wenn der TAN-Generator nichts weiter als ne unendliche digitale TAN-Liste und somit auch genauso unsicher ist, finde ich ihn besser als SMS-TAN.

Denn ein Generator kann (zumindest noch) keinen reinlegen...

MfG
 
AW: Smartphone-Trojaner erspäht Bank-TANs

ich bin mit mTAN auch sehr zufrieden. ist auch bei mir kostenlos (HypoVereinsbank)
 
AW: Smartphone-Trojaner erspäht Bank-TANs

"Um dies zu erhalten, muss man die Handynummer und die IMEI eintragen"

Sry aber wer sowas auch macht, hat einfach nur ne Schelle rechts und links verdient...
wenn ich das schon lese... "Experten warnen..." - vor möglichen viren auf Handys - ja glückwunsch, da könnte auch stehen, Experten warnen, dass irgendwann die Welt untergeht.
 
AW: Smartphone-Trojaner erspäht Bank-TANs

Auch wenn der TAN-Generator nichts weiter als ne unendliche digitale TAN-Liste und somit auch genauso unsicher ist, finde ich ihn besser als SMS-TAN.

Denn ein Generator kann (zumindest noch) keinen reinlegen...
Zum Vergrößern anklicken....

So nicht ganz richtig. Wenn die Tan einfach im TG generiert wird, ist sie genau so sicher wie die Tanlist, eben gar nicht.
Wenn die Tan aber mit einer Kontrollnummer, die das System vorgibt errechnet wird, kann sie nur für diesen einen, spezielen Auftrag verwendet werden.

Aber letztlich reicht ja einfach nur eine Tan nicht aus, da auch andere Daten bekannt sein müssen. z.B. Webbanking-Pin.

Wer regelmässig seinen Pin ändert und auf die Adresse im Browser achtet, auf der er sich befindet, ist man eigentlich sicher. Ausnahmen bestätigen allerdings auch hier die Regel (Stichwort: Man in the middle-Attack).
Es gibt einfach zu viele Leute, die das Webb mit der Suche in google starten, in dem Fall, selber Schuld, wenn sie auf eine falsche Seite geleitet werden und hinterher jammern, dass das Konto abgegriffen wurde.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News MWC: Monströser Akku mit 28.000 mAh inklusive Smartphone
Antworten
8
Aufrufe
834
Pu244
P
PCGH-Redaktion
News MWC-News: Smartphones ohne Apps - Telekoms KI-Ansatz erklärt
Antworten
3
Aufrufe
362
Threshold
Threshold
PCGH-Redaktion
News Anatsa: Banking-Trojaner trickst Google Play Store aus
Antworten
3
Aufrufe
610
donutin
D
PCGH-Redaktion
News Hohen Preisen zum Trotz: Apple verkauft mehr Smartphones als Samsung
2
Antworten
34
Aufrufe
1K
Unfaced
Unfaced
PCGH-Redaktion
News iPhone 16: Könnte mit zusätzlichem RAM für KI ausgestattet sein [Gerücht]
Antworten
1
Aufrufe
449
hrIntelNvidia
H
Oben Unten
Zurück