Bericht: SMS-TANs bei Online-Banking unsicher

[Abductee]

Da gehts rein um das Abfangen des TANs.
Wenn dein Rechner verseucht ist macht es keinen Unterschied ob der TAN von der SMS, Generator oder vom Papierzettel kommt.
Ohne die Kontodaten und den Login ist so ein TAN wertlos.
(SMS-TAN ist ja genau so nur 5min gültig)

 

[Torsley]

genau das ist es was ich sage. wenn sie nicht alles andere auch noch haben ist es wie du sagtest wertlos.

 

[Gummert]

Indiziertes TAN Verfahren und gut ist. Aber egal bei welchem, hat dich einer aufm Radar, nutzt dir alles nix.

 

[DKK007]

Ich mache Offline-Banking, da muss ich mir um so etwas keine sorgen machen. Da sind andere Dinge doch deutlich gravierender: 31C3: Kredit- und Bankkarten mit Chip "total unsicher" | heise online

 

[FlyKilla]

Jedeswedes erdachtes Sicherheitssystem ist Knackbar, und damit unsicher. Egal ob TAN oder eingemauerter Tresor. Ist nur eine Sache des Aufwandes, ob es sich lohnt. Von daher Geld immer unter das Kopfkissen.

 

[ruyven_macaran]

Ich hab aber zum Bsp auch von Leuten gelesen, die sich nur CallYa Karte mit nem Uralt-Handy nur fürs Banking zugelegt haben. Da jedoch sowohl das Handy als auch der PC kompromittiert sein müssen ist es in dem Fall schwieriger wenn nicht gar unmöglich, zumal die CallYa Nr. nur beim Banking bekannt sein sollte und nicht im öffentlichen Umlauf

Nach den Erkenntnissen des CCC ist eben auch diese Praxis nicht sicher. Wenn die SMS nicht mehr durch einen Trojaner auf dem Smartphone, sondern direkt durch UMTS-Sicherheitslücken abgefangen wird, kann sich der Nutzer nicht mehr vor TAN-Diebstahl schützen. Damit wird die mTAN komplett wertlos, die PIN ist das einzig verbliebene Sicherheitselement - und die kann wiederum mit einer großen Bandbreite an Trojanern abgefangen werden. Selbst iTAN ist sicherer, als mTAN über eine abhörbare Telefonverbindung. Erstere kann der Angreifer immerhin nicht aus der Ferne anfragen, sondern allenfalls über komplexe Browser- und Bank-spezifische Angriffe für seine Zwecke umfunktionieren, wenn der Anwender sie eingibt.
Mal gucken, wann die ersten Banken auf 3-Wege-Verifizierung hochgehen, um auch ja keine Haftung für falsche Überweisungen zu riskieren.

(Man beachte übrigens, dass Kreditkartennutzer regelmäßig und allenmöglichen Händlern sämtliche Informationen übergeben, die für Abbuchungen nötig sind )

 

[Brehministrator]

Da gehts rein um das Abfangen des TANs.
Wenn dein Rechner verseucht ist macht es keinen Unterschied ob der TAN von der SMS, Generator oder vom Papierzettel kommt.
Ohne die Kontodaten und den Login ist so ein TAN wertlos.
(SMS-TAN ist ja genau so nur 5min gültig)

Stimmt so nicht ganz. Erstmal ist natürlich korrekt, dass der PC verseucht sein muss, damit der Angreifer überhaupt deine Bankverbindung/Anmeldepasswort hat. Jetzt kommt aber der entscheidende Unterschied:

Nutzt du das SMS-TAN-Verfahren, kann sich der Angreifer mit deinem Login in dein Online-Banking einloggen, und eine Überweisung auf sein eigenes Konto in Auftrag geben. Die TAN geht per SMS an deine Handy-Nummer, der Angreifer kann sie über's UMTS-Netz mitlesen, und zack ist die Überweisung durch.

Nutzt du stattdessen einen optischen TAN-Generator oder einen Papier-TAN-Liste, wird der Angreifer für seine gewünschte Überweisung auf sein Konto niemals eine gültige TAN sehen. Er kann also trotz geklauter Login-Daten keinen Schaden anrichten. Dazu müsste er "physisch" in dein Haus eindringen, um dir entweder die TAN-Liste zu klauen, oder den geheimen Schlüssel vom Chip deiner EC-Karte auszulesen, den der TAN-Generator benutzt, um eine TAN zu erzeugen.

Indexierte TANs von der Papierliste und optische TAN-Generatoren sind also ganz wesentlich sicherer als das SMS-TAN-Verfahren.

 

[Abductee]

Sobald auf deinem Rechner Schadsoftware mit einem Keylogger läuft, nützt dir kein TAN-System was.
Sobald du den TAN eingeben hast (egal woher der kommt) bekommst du einen Blue/Blackscreen oder der Rechner schmiert ab bevor du auf OK klicken kannst.
In der Zeit wo dein Rechner neu startet hat der kriminelle Hacker schon eine Überweisung gestartet.

Mit der (weit verbreiteten) Methode ist kein TAN sicher.

 

[ruyven_macaran]

Aus diesem Grund kommt die TAN-Abfrage erst, nachdem du die Überweisungsdagen eingegeben hast. Da nützt es dem Angreifer wenig, wenn er die TAN für DIESE Überweisung, die du eh tätigen möchtest, hat. Wenn dann muss er deinen Rechner Dutzende Male abstürzen lassen, bis er den ganzen Block kennt und eigene Überweisungen damit versuchen kann. Aber das sollte sowohl dir als auch deiner Bank merkwürdig vorkommen.

Erfolgreiche Angriffe auf iTAN nutzen deswegen Code-Injection: Dir wird eine gefakte Eingabemaske präsentiert, während der Angreifer im Hintergrund die von ihm gewünschten Daten eingibt - und dann dich die passende TAN für SEINE Überweisung eingeben lässt. Das klappt mit (guten) TAN-Generatoren aber nicht, weil der Angreifer nicht weiß, welchen Code er dem Generator senden muss, um eine passende TAN für seine Überweisung zu bekommen. (Mit iTAN funktioniert es auch nur, wenn er Angreifer den Rechner infiziert, den Browser hackt und die Masken deiner Bank faked. Aber letztere kann man sich ja auch nicht frei aussuchen, um die Vielalt zu steigern.)