Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Die Kollegen von Heise Online berichten von zwei Fällen, in denen die Sicherheitsvorkehrungen für das derzeit als sicher geltende mTAN-Verfahren für Online-Banking überwunden werden konnten. Die Täter nutzen hierfür eine manipulierte SIM-Karte, die so konfiguriert wird, dass die SMS auf diese SIM-Karte versendet wird.

[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]


lastpost-right.png
Zurück zum Artikel: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Das Problem wäre einfach zu beheben wenn der Mobilfunkbetreiber ebenfalls eine mTAN als Bestätigung für Bestellungen 2.SIM Karten versenden würde.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Es wird vermutet, dass die Betroffenen zuvor Opfer einer Phishing-Attacke geworden sind. Darüber hinaus besorgten sich die Täter Mobilfunknummern und Kundennummern der Opfer, beispielsweise durch eine gespeicherte Rechnung.
Zum Vergrößern anklicken....
Wie immer - wer nicht aufpasst und jede dubiose Mail incl. exe aufmacht ist eben ein Opfer heutzutage.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Stellt sich die Frage, was im Smartphone-Zeitalter einfacher/wahrscheinlicher ist:
a) in den Rechner einer Person eindringen, nach gespeicherten Rechnungen suchen, den Mobilfunkbetreiber anschreiben, hoffen dass der bei einer komplett anderen Anschrift nicht aufmerksam wird, SIMs des Vertrages umkonfigurieren.
b) ins Smartphone eindringen. Oder es einfach vom Café-Tisch schnappen.

Ich für meinen Teil bin jedenfalls froh, dass sich meine Bank noch Brief-TANs leistet. Wer auch immer auf die Idee kam, einen unabhängigen zweiten Identifikationsweg durch eine zweite Nachricht auf das -für viele Leute- primäre Online-Gerät zu schicken, gehört schlichtweg gefeuert.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

naja mit der mTAN ist es ja nicht getan, die müssen ja auch noch an den Zugangspin zum Onlinebanking kommen. Wer also die BRAIN.exe nutzt dürfte keine Probleme haben.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

ruyven_macaran schrieb:
Ich für meinen Teil bin jedenfalls froh, dass sich meine Bank noch Brief-TANs leistet. Wer auch immer auf die Idee kam, einen unabhängigen zweiten Identifikationsweg durch eine zweite Nachricht auf das -für viele Leute- primäre Online-Gerät zu schicken, gehört schlichtweg gefeuert.
Zum Vergrößern anklicken....

Lol, Brief-TANS ? Wer sich die Mühe macht ein mTAN geschütztes Konto zu knacken, der verspeist TAN/iTANs zum Frühstück. Da reicht ein einziger Trojaner aus. Ich teile ihre Meinung jedenfalls überhaupt nicht, die mTAN ist eine sehr gute Erfindung und das Nutzen eines 2. Weges macht es erforderlich 2 Systeme zu kompromitieren, was die Sicherheit erhöht. Es gab bisher jedenfalls deutlich mehr Mißbrauchsfälle mit TAN/iTAN als mit mTAN oder ChipTAN. Für Dummheit der User kann der Erfinder nichts, ein zusätzliches, billiges PrePaid Handy mit separater Nummer für mTAN bespielsweise zu nutzen statt dem Smartphone erhöht die Sicherheit auch beträchtlich. Dann kann man es zwar nicht mehr sinnvoll von überall nutzen wenn man nicht 2 Geräte rumschleppen will, aber das geht bei normales TANs auch nicht ohne Risiko.

Wenn jemand mein Smartphone klaut, dann hat er erst mal so gut wie gar nix. Denn dort ist keine Banking-App oder anderer sensibler Kram drauf, die Bank-PIN hat mein Smartphone nie gesehen. Banking betreibe ich nur von separaten Geräten, das Smartphone nimmt nur die mTAN entgegen und wenn ich das nicht habe überweise ich auch nix. Wer alles auf einem Gerät abwickelt, zerstört gerade den Vorteil von mTAN...da braucht man sich dann auch nicht zu wundern.

Das die Mobilfunkbetreiber nicht aufpassen wo sie SIM-Karten hinschicken ist für mich das eigentliche Problem. Dennoch frage ich mich, wie Verbrecher an PIN und Kundennummern kommen sollen, wenn der Besitzer brain.exe benutzt.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

L-man schrieb:
naja mit der mTAN ist es ja nicht getan, die müssen ja auch noch an den Zugangspin zum Onlinebanking kommen. Wer also die BRAIN.exe nutzt dürfte keine Probleme haben.
Zum Vergrößern anklicken....

PINs lassen sich deutlich einfacher ermitteln, als TANs, weil sie über längere Zeit und oft auch von verschiedenen Geräten genutzt werden. Da irgendwann irgendwo mal nen Keylogger einzuschleusen ist nicht so schwierig.

MADman_One schrieb:
Lol, Brief-TANS ? Wer sich die Mühe macht ein mTAN geschütztes Konto zu knacken, der verspeist TAN/iTANs zum Frühstück. Da reicht ein einziger Trojaner aus.
Zum Vergrößern anklicken....

Wie ein Trojaner an einen Zettel in meinem Schrank kommt, müsste mir nochmal jemand erklären...
Der meiste TAN-Missbrauch lief afaik/ vermutlich über banalstes Phishing und wer darauf reinfällt, fällt auch auf so ziemlich alles andere rein. Aber es ist unmöglich, ein post-TAN-System allein durch Angriffe auf die Geräte/ohne jegliche Interaktion des rechtmäßigen Inhabers zu komprimitieren. Selbst wenn sich jemand mein (nicht vorhandenes) Smartphone in einem unachtsamen Moment schnappt und einen Keylogger installiert, kann er maximal die PIN ermitteln - aber TANs erfährt er ohne kompletten Austausch des Browsing-Systems erst, wenn sie ihre Gültigkeit verloren haben.

die mTAN ist eine sehr gute Erfindung und das Nutzen eines 2. Weges macht es erforderlich 2 Systeme zu kompromitieren, was die Sicherheit erhöht.
Zum Vergrößern anklicken....

Das Problem ist ja eben, dass es bei vielen Leuten ein 1-Wege-System ist, weil die TAN ans gleiche Gerät gesendet wird, an dem auch regelmäßig eine PIN-Eingabe erfolgt. Ein Postversand an die eigene Anschrift ist dagegen definitiv ein zweiter Weg.

Für Dummheit der User kann der Erfinder nichts, ein zusätzliches, billiges PrePaid Handy mit separater Nummer für mTAN bespielsweise zu nutzen statt dem Smartphone erhöht die Sicherheit auch beträchtlich.
Zum Vergrößern anklicken....

Den Aufwand aber ebenfalls, weswegen es zumindest in meinem Umfeld niemand macht.

Wenn jemand mein Smartphone klaut, dann hat er erst mal so gut wie gar nix. Denn dort ist keine Banking-App oder anderer sensibler Kram drauf, die Bank-PIN hat mein Smartphone nie gesehen. Banking betreibe ich nur von separaten Geräten, das Smartphone nimmt nur die mTAN entgegen und wenn ich das nicht habe überweise ich auch nix. Wer alles auf einem Gerät abwickelt, zerstört gerade den Vorteil von mTAN...da braucht man sich dann auch nicht zu wundern.
Zum Vergrößern anklicken....

Tjo - wundern vielleicht nicht, wenn man die Sache mal durchdacht hat (was 99% der Nutzer nicht tun werden). Aber den Schaden hat man halt trotzdem und viele Leute nutzen über ihr Smartphone ganz normal das Internet - und dazu gehört auch das Abrufen des Kontostandes.

Das die Mobilfunkbetreiber nicht aufpassen wo sie SIM-Karten hinschicken ist für mich das eigentliche Problem. Dennoch frage ich mich, wie Verbrecher an PIN und Kundennummern kommen sollen, wenn der Besitzer brain.exe benutzt.
Zum Vergrößern anklicken....

Die meisten arbeiten halt noch mit brain 0.5 im Schlafmodus statt der aktuellen 0.9 ;)
Einen Keylogger auf den Rechner/das Smartphone zu bekommen ist bei diesem Verfahren letztlich die einzige Schutzebene überhaupt. Denn sobald man das hat, hat man nicht nur die PIN, sondern auch Zugriff aufs Email-Konto und in dem werden sich i.d.R. Telefonrechnungen mit Kundennummer finden.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

ruyven_macaran schrieb:
Wie ein Trojaner an einen Zettel in meinem Schrank kommt, müsste mir nochmal jemand erklären...
Zum Vergrößern anklicken....
Einbruch ? Auf diese Weise sind viele TAN Zettel abhanden gekommen. Aber das persönliche Risiko für den Verbrecher ist natürlich höher, insofern verstehe ich was gemeint ist ;).

ruyven_macaran schrieb:
Das Problem ist ja eben, dass es bei vielen Leuten ein 1-Wege-System ist, weil die TAN ans gleiche Gerät gesendet wird, an dem auch regelmäßig eine PIN-Eingabe erfolgt. Ein Postversand an die eigene Anschrift ist dagegen definitiv ein zweiter Weg.
Zum Vergrößern anklicken....
Für die Bequemlichkeit der Leute kann aber das System und deren Erfinder nix. Als das mTAN Verfahren entwickelt wurde, waren Smartphones kaum verbreitet. Die meisten Leute hatten ein einfaches Handy, auf dem man nix installieren konnte. Da war das eine sehr sichere Sache. Die heutigen Smartphones kompromitieren das mTAN System durch ihre Einsatzmöglichkeit als vollwertiger Computer. Dadurch werden die Menschen bequem und legen das ganze entgegen der ursprünglichen Überlegung wieder zusammen. Wenn dann noch die Mobilfunkanbieter schlampig arbeiten, dann entsteht eine nachträgliche Sicherheitslücke, die im Vorfeld kaum abzusehen war. 2-Wege sind nur dann sicherer, wenn es auch 2-Wege bleiben, deren Endpunkte genau definiert sind.

Der Postversand ist zwar schon ein zweiter Weg, trotzdem mißfällt er mir persönlich, denn eine TAN ist bei dem Weg praktisch unbegrenzt gültig, wodurch sich das Verlustrisiko auf einen längeren Zeitraum erstreckt. Kommt der Zettel doch mal abhanden (aus welchen Gründen auch immer) und man merkt es nicht sofort (wer guckt schon täglich nach ob er noch da ist), so sind gleich viele TANs im Umlauf, nicht nur eine die 5 min Gültigkeit hat. Wenn mein Handy/Smartphone weg ist merke ich das ziemlich schnell und werde dann ziemlich sicher keine Transaktion anstoßen, sondern gleich alles sperren lassen (die PIN ist da wie gesagt eh nicht drauf und ich verwende niemals die selbe PIN für mehrere Geräte). Dadurch ist das Mißbrauchs-Zeitfenster bedeutend kleiner. Daher bevorzuge ich derzeit mTAN (schaue mir aber gerade ChipTAN an).

Letztendlich hängt die Sicherheit der vorhandenen Systeme aber ganz entscheidend vom Menschen ab der es nutzt, ich denke da sind wir uns einig ;). Wenn man sein Gehirn benutzt und Technik und Schwachstellen der verschiedenen Systeme genau kennt, dann ist man eigentlich mit den meisten aktiven Verfahren ziemlich sicher. Und 100% Sicherheit gibt es eh nicht.
 
  • Like
Reaktionen: CiD
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Ich benutze seit Jahren Online Banking mit dem Chiptan Gerät.
Wer hat ernsthaft geglaubt das wäre unknackbar?
Für mich ist es einfach sicher genug.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

ChipTAN ist die derzeit sicherste Methode. Der Chip auf der EC-Karte lässt sich derzeit nicht, wie die SIM-Karte, duplizieren und die Bank geht auch sicher, dass nur autorisierte Personen eine Karte erhalten.
Dieser Weg scheidet daher aus. Trotzdem ist das Sytem nicht perfekt: Eine EC-Karte lässte sich relativ einfach klauen. Um an die Onlinebankin PIN zu kommen reicht ein Trojaner. Eigentlich müssten die Banken eine spezielle EC-Karte ausgeben, die nur für Onlinebanking genutzt werden kann und Zuhause sicher aufbewahrt wird. Dann wäre das System sehr sicher.
 
AW: Online-Banking mit mTAN-Verfahren: Sicherheitsvorkehrungen angeblich überwunden

Dieses Verfahren ist doch nicht sicher genug finde ich, bei mir läuft das ganze komplizierter ab bei der Bank ich ein Konto habe.

  1. Auf Seite der Bank einloggen
  2. Karte in Gerät das man erhalten hat einstecken
  3. Die auf der Webseite angezeigte Nummer auf dem Gerät eingeben
  4. Den PIn auf dem Gerät eingeben
  5. Die angezeigte Nummer auf dem Gerät auf der Webseite eingeben

Ist zwar aufwendiger aber ich finde sicherer, den Diebe müssen meine Karte, den Benutzernamen und Passwort haben um sich einzuloggen, wenn ich nu einen Fehler beim eingeben mache muss ich von vorne anfangen.
Mir wird auch angezeigt wann zuletzt eingeloggt wurde und ich kann mich nur mit dieser einen Karte einloggen, jede Karte hat eine andere Nummer.
Auch wenn eine 100% Sicherheit nicht zu Garantieren ist, die Lösung mit der Nummer per SMS finde ich falsch.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Anatsa: Banking-Trojaner trickst Google Play Store aus
Antworten
3
Aufrufe
783
donutin
D
PCGH-Redaktion
News Microsoft-Verfahren: Demonstration von modularem Windows
Antworten
0
Aufrufe
148
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Microsoft Anti-Trust-Verfahren: Die Ruhe vor dem Sturm
Antworten
0
Aufrufe
111
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Die Sims 5: Angeblicher Leak der Open-World-Karte
Antworten
0
Aufrufe
326
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Ikea Preowned: Gebrauchtes direkt von Schweden statt Ebay, Kleinanzeigen und Co.
Antworten
6
Aufrufe
731
Ryden85
R
Oben Unten
Zurück