Bericht: SMS-TANs bei Online-Banking unsicher
- Ersteller PCGH-Redaktion
- Erstellt am
Freakless08
Volt-Modder(in)
Die IBAN setzt sich aus DE+zweiZahlen+BLZ+Kontonummer zusammen. Viel mehr als vorher ist das nun nicht.
Sobald der Rechner infiziert ist ist es einfach an die Nummer zu kommen. Der Angreifer kann z.B. auch eine zweite SIM Karte bestellen/holen. Nicht umsonst gab es letztes Jahr ein Aufschrei bei einem Test, als Fremde Leute einfach Vertragskarten ausgehändigt wurde, indem diese nur die Rufnummer und den Nachnahmen, ggf. auch das Kennwort wussten (ist schließlich online).
Onlinebanking: Bankbetrüger klauen mTANs mit Zweit-SIM-Karte - Golem.de
Wer bei online Banking sicher gehen möchte nimmt eh eine Linux Live CD/DVD und bootet davon, macht die Überweisung und bootet danach wieder in sein System.
Zuletzt bearbeitet:
Warum nicht mit nem Stick?
Das Medium ist ja im Prinzip egal. Ich glaube es war eher auf das "live" bezogen. Kannst auch ne "Live Stick" nehmen und den Schreibschutz reinhauen.
Wenn ich so einen Müll lese. Dann nimm du doch weiter deine dämliche TAN Liste.
Die vom CCC können viel erzählen was theoretisch Möglich ist und das mag durchaus auch stimmen aber wer PC und Handy strikt getrennt hält, ist auf einer ziemlich sicheren Seite - Punkt.
Wer sein Handy mit irgendwelchem Müll zuhaut, dann die Überweisung mit dem Handy durchführt und zeitgleich dort die TAN erhält muss sich nicht wundern.
Naja, eben stand in Freakless' Kommentar noch in klammern -nicht vom USBStick-, sonst hätt ich nicht gefragt^^Das Medium ist ja im Prinzip egal. Ich glaube es war eher auf das "live" bezogen. Kannst auch ne "Live Stick" nehmen und den Schreibschutz reinhauen.
Wenn ich für SMS TAN jetzt ein altes Handy nehme mit extra Prepaid Karte, dann gäbe es ja praktisch nur die Möglichkeit über eine Ersatzkarte an die TANs zu kommen müsste dann nicht der Mobilfunkanbieter haften der er an eine falsche Person eine Karte herausgegeben hat?
Naja, scheinbar kannst du nicht lesen oder das gelesene interpretieren.
1: Habe ich geschrieben das ich einen TAN Genarator nutze - keine Liste.
2. Habe ich schon geschrieben das die Allgemeinheit - somit auch ich - für die Dummheit der anderen haften muß
3: habe ich geschrieben wie man es überlisten kann - selbst wenn du PC und Handy trennst
4: ist das ganze schon zur genüge passiert - sind also keine theoretischen Angriffe
Das einzige was mich wundert ist das der CCC jetzt darüber berichtet da schon seit Ewigkeiten bekannt ist das das mTAN Verfahren nichts taugt.
Ja,
was du jedoch vergisst ist das du den Mobilfunkanbieter erst verklagen mußt und das mit Pech über 3 Instanzen. Am Ende kann es sogar sein das du verlierst und einen Haufen Geld zahlen mußt.
Wenn du nicht Prozessfetischist bist ist soetwas immer eine extreme Belastung.
Zuletzt bearbeitet:
Freakless08
Volt-Modder(in)
Die Frage ist aber auch, hast du ein unsicheres Passwort/Kennwort gewählt um deinen Vertrag zu schützen? Hast du deinen PC nicht ausreichend geschützt, damit niemand deine (Mobilfunk)Daten abgreifen kann? Hast du deine Daten auf einem Fremdrechner mal eingegeben der infiziert war? Wurden auf dem Fremdrechner eventuell auch dein Zugang (ausversehen) gespeichert? Hast du deine Zugangsdaten vielleicht auch mal in einem (infiziertes) Handy eingegeben und von dort aus Onlinebanking und TAN Empfang gleichzeitig gemacht (was per AGB verboten ist)?
Zuletzt bearbeitet:
Abductee
PCGH-Community-Veteran(in)
Durch meine "Faulheit" wurde mir schon zweimal der Online-Zugang gesperrt weil ich versucht hab mit einem abgelaufenen TAN eine Überweisung zu tätigen.
Solche Kommentare kannst du dir sparen.
Wenn man eine Schadsoftware mit Keylogger auf dem System hat, nützt auch ein TAN-Generator nichts.
Zuletzt bearbeitet:
Klar nutzt der TAN Generator was, immerhin werden darauf BLZ, Kt Nr und Betrag angezeigt, mit SEPA wird es komplexer. Wer nicht stutzig wird wenn plötzlich statt 5€ für den Ebayeinkauf 10.000€ dastehen ist auch nicht zu helfen.
PS: eigentlich steht doch auf den Listen wann die ablaufen, wobei die Listen genauso ein Müll sind.
Abductee
PCGH-Community-Veteran(in)
Bei dem SMS-TAN wird genau so der Betrag und Kontonummer angezeigt.
Amon
Volt-Modder(in)
Ich mach das alles über HBCI, nix mit TAN Listen, nix mit SMS und so´m Kram. HBCI Software meiner Bank und dazu eine Schlüsseldatei auf einem USB-Stick, besser gehts nicht. Die Software ist ohne den Stick nutzlos und der Stick ohne die Software genau so. Ist wie Karte am Automaten nutzen. 
Natürlich sollte man da aber immernoch darauf achten dass mein sein System schützt.
Natürlich sollte man da aber immernoch darauf achten dass mein sein System schützt.
L
Laggy.NET
Guest
Lustig, als ich auf der Bank mehr oder weniger überraschend gefragt wurde, welches Verfahren ich nutzen möchte habe ich ohne weiteres Hintergrundwissen zum TAN Generator gegriffen, da ich nicht wollte, dass die TANs übers Mobilfunkentz verschickt werden. Hielt ich damals auch für tendenziell unsicher, was ja nur logisch ist...
Schön, dass sich das ganze im Nachhinein dann tatsächlich bestätigt. Ich sollte wohl auch Analyst werden!!!
Ich bin immer wieder erstaunt, dass es den Beruf überhaupt noch gibt. Ich meine, jeder der in der Brache tätig ist kann bessere aussagen Treffen, als ein Analyst. Also wozu ein Analyst, der scheinbar NUR das macht? Das ist doch Personal, das überflüssiger nicht sein könnte.
Schön, dass sich das ganze im Nachhinein dann tatsächlich bestätigt. Ich sollte wohl auch Analyst werden!!!
Ich bin immer wieder erstaunt, dass es den Beruf überhaupt noch gibt. Ich meine, jeder der in der Brache tätig ist kann bessere aussagen Treffen, als ein Analyst. Also wozu ein Analyst, der scheinbar NUR das macht? Das ist doch Personal, das überflüssiger nicht sein könnte.Dr. med iziner
Software-Overclocker(in)
Die mTAN kam für mich auch nie in Frage. Ich benutze einen TAN-Generator und wenn ich Online-Banking mache schalte ich meine "Banking"-Proxyprofil ein, so dass alle anderen Seiten keinen Zugriff haben.
Torsley
BIOS-Overclocker(in)
verstehe es auch nicht so ganz. erstmal braucht jemand meine bankdaten um sich bei mir einzuloggen und dann kommt der tan ja erst wenn ich tatsächlich eine überweisung tätige und dieser tan ist dann ja nur für diese überweisung. was bringt den kriminellen denn der tan ohne meine bank login daten?!?!
Dr. med iziner
Software-Overclocker(in)
Soweit ich das verstehe hacken die sich zwischen dich und deine Bank und verändern die Überweisung.
