Onlinebanking: Experten warnen vor MTAN-Verfahren

Irgendwie versteh ich das Problem nicht. :ugly:

Was will ein Angreifer mit einer mir während einer Überweisung zugeschickten MTAN? Die MTAN zählt doch eh nur für die von mir vorher festgelegte Transaktion. :what:

Da sind wir schon mindestens 2 :-).
Irgendeine Sendung ging mal darauf ein und hat mit einem "Profihacker" zusammen ein Szenario gestellt, in dem dem Hacker ein Betrag X überwiesen wurde. Dabei geschah das bei normaler mTAN Nutzung und ohne ERST aufzufallen. Allerdings erscheint ja die zu tätigende Transaktion (auch die gehackte Variante) mit Kerndaten in der sms und nicht zwingend auf dem Monitor. Hier wäre also ein genauer Blick auf die sms angeraten.

Und hinzu kommt, dass im obigen Szenario der Anwender des Smartphones praktisch ALLES falsch gemacht hat ^^. Sim ist ausgetauscht worden, Schadsoftware installiert und weiß ich nich was noch alles.

In meinen Augen also ziemlich unwahrscheinlich das Ganze :)
 
Dann braucht der Angreifer aber mein Login und Passwort.

Das Login ist bei vielen Banken die Kontonummer - und Passwort/PIN sind eben auch sehr leicht abzufangen, wenn jemand Online-Banking übers Smartphone macht oder das infizierte Smartphone mit seinen Rechner synchronisiert. Wenn er es übers heimische WLAN nutzt, weiß man zumindest genau, wo der zu infiltrierende Rechner sitzt, auf dem man die PIN erfassen kann.


Soweit ich nichts missverstanden habe, müssten doch für einen solchen Gelddiebstahl SOWOHL meine Login-Daten ALS AUCH mein Smartphone (durch Schadsoftware) in der Hand von Kriminellen sein, damit was passieren kann.

Nicht zwingend in der Hand (wobei das für viele ggf. noch das einfachste ist, Smartphones werden viel und gern geklaut), sie brauchen nur Zugriff darauf. Und das ist eben auch via Software machbar, was der entscheidende Nachteil von mTANs im Vergleich zum offline-Zettel ist.

Aber selbst wenn dies passiert, sollte man doch irgendwelche seltsamen Abbuchungen bemerken, die man zurückbuchen kann.

Von "dir" vorgenommene Buchungen kannst du nicht/nur unter erheblichem Aufwand und bei Kooperationsbereitschaft des Empfängers (der in diesem Fall vermutlich außerhalb der EU und wenig kooperativ ist, schließlich hat er gerade ein paar tausender geschenkt bekommen) zurückbuchen lassen. Wenn es dir nicht gelingt, den Diebstahl nachzuweisen UND dass du nichts dafür konntest, sondern dass Verfahren deiner Bank unsicher war, dann wird dein Geld weg sein. (Sonst sind viele Banken wohl durchaus kulant und schreiben das Geld aus z.B. EC-Betrügereien auf eigene Kosten wieder gut. Aber eben wirklich nur, wenn man selbst nichts dafür konnte)

Zu diesen Angriffen kann es aber fast nicht kommen, wenn man ein gescheites Passwort hat (z.B. mit Passwortgenerator generiert), welches regelmäßig geändert wird, einen guten Virenschutz mit aktuellen Datenbanken hat und man mal nachdenkt bevor man wild auf irgendeinen Mist klickt im Internet bzw. Programme oder Apps installiert O.o

Eine lange Kette von "und"s, die mit einem "fast" beginnt...
 
Irgendwie versteh ich das Problem nicht. :ugly:

Was will ein Angreifer mit einer mir während einer Überweisung zugeschickten MTAN? Die MTAN zählt doch eh nur für die von mir vorher festgelegte Transaktion. :what:


Naja, einen Zettel mit Zahlen drauf klaut man aber zumindest nicht übers Internetz. Davon ab sind MTANs eigentlich nur für eine bestimmte Transaktion gültig, ein Angreifer könnte daher eh nichts damit anfangen. Es müsste also ein Angriff sein, der es dem Angreifer ermöglicht die hinterlegte Handynummer unbemerkt ändern (gegen seine austauschen) zu können. Er muß ja nicht nur an eine gültige MTAN kommen, sie muß auch zu seiner gewünschten Transaktion passen.

Sehe ich auch so Keine Ahnung was daran unsicher sein soll.

1.Der Angreifer müßte als aller erstes mal mein Online Kontozugriff (Pin mit Kontonummer Knacken)
2.Danach müßte er meine Hinterlegte Handynummer ändern wenn er dies macht bekomme ih aber auf der alten Hinterlegten Handynummer eine Nachricht das eine Neue Nummer Hinterlegt wurde (Spätestesn wenn das passiert macht es doch jeden Kontoinhaber Stutzig oder?)
3. einfach mein Smartphone die MTans abgreifen nützt nix da diese Tans wie schon gesagt nur zu einer einzigen Transaktion die man ja vorher festlegt passen
 
Richtig Rizoma. Endlich steht alles zusammen.:D


@Ruyven: Bei meiner Bank würde extra auf ein Nick/Alias System umgestellt. Selbst wenn der Gauner meine Kontodaten kennt, kann er sich immer noch nicht mit der Kontonummer etc anmelden.
 
mhh intressante sache....habe mal bisschen geschaut und gelesen,szenario:

hallo realität?!! wie gutgläubig ist die welt den noch :D

man geht "online" besorgt sich für geld oder bitcoins in einschlägigen foren oder märkten ein keylogger oder sonstige schadsoftware(kostenpunkt ca 500 eu),mega easy.
den verteilt man über facebook oder geakufte e-maillisten oder sonstiges und zack biste gefischt,gibt genung dumme da draußen.
evtl hat derjenige ja dann schon daten von ec karten oder sonstiges.
(nebenbei,datensätze von ec-und kredidtkarten kann man tonnenweiße online anonym kaufen.)
mit den abgegriffen daten,kann man ja dann in e-mail und ins online banking rein.
eine dual karte für die nummer die im online banking hintrlegt ist könnte man sich auch unter umständen ,wenn ein dummer mitarbeiter bei der hotline ist noch in ein anonymes postfach oder sonstiges bestellen oder beim post kasten abfangen etc etc ....
gibt auch noch handy keylogger oder etc ,meist ist eh ein googel mail acc unter android vorhanden und 99% aller smartphones nutzt facebook^^.. damit wäre ein handy auch leicht infizierbar

wenn es einer drauf an legt ,kann er dich komplett nutzen und dein identiät kopieren, wenn er sich ein bisschen auskennt UND man ist fast machtlos.
so seh ich das, sicher ist doch da keiner,oder?
 
Zuletzt bearbeitet:
Dann laß dir mal eine gute Idee einfallen wie du deinen Keylogger auf meinem PC bekommst Facebook und e-mail Phishing klappt bei mir nicht :P

Außerdem Gibt O2 keine Dualkarten an fremde Adressen heraus also lassen sich Dualkarten nur an meine Rechnungsanschrift schicken (Wurde sogar vor nicht all zu langer zeit getestet und O" hatte den Test bestanden) dazu benötigst du aber auch noch mein O2 Kundenkennwort. Den aufwand den jemand Tätigen müßte um meine Identität zu stehlen steht in keinem Verhältnis zu dem was bei mir zu holen ist. Aber mit diesen aufwand wäre es einfacher gleich bei der ziel Person ein zu steigen und alles was nicht fest gemacht ist zu klauen.
 
Also eigentlich hab ich mich darauf gefreut nächstes Jahr endlich Online Banking machen zu können, aber irgendwie schindet diese Freude gerade, wenn ich das hier lese.
 
Dann laß dir mal eine gute Idee einfallen wie du deinen Keylogger auf meinem PC bekommst Facebook und e-mail Phishing klappt bei mir nicht :P

Außerdem Gibt O2 keine Dualkarten an fremde Adressen heraus also lassen sich Dualkarten nur an meine Rechnungsanschrift schicken (Wurde sogar vor nicht all zu langer zeit getestet und O" hatte den Test bestanden) dazu benötigst du aber auch noch mein O2 Kundenkennwort. Den aufwand den jemand Tätigen müßte um meine Identität zu stehlen steht in keinem Verhältnis zu dem was bei mir zu holen ist. Aber mit diesen aufwand wäre es einfacher gleich bei der ziel Person ein zu steigen und alles was nicht fest gemacht ist zu klauen.


ich will garnix auf dein pc oder sonst wohin bekommen!
das ist nur der gegebne fall,ich sprach bei dem beispiel von der breiten "dummen" masse,die sich null absichert und die bank pins im handy haben etc..
wenn es bei dir ned klappt ,klappt es bei hundert anderen eben, denke die masse machts?!
greif von 1000 leuten daten ab,von hundert kannst was machen und bei zehen kannste zb ka zb 1000 eu holen und zack hast 10k?
 
Anders bei TAN-Bögen (wie auch im Artikel beschrieben). WENN hier TAN's geklaut werden merkt man das als Nutzer definitiv erst zu spät.

WENN. Bislang hat sich noch niemand in meine Schublade geha(c)kt

Das ist überhaupt nicht notwendig. Es reicht ein Trojaner auf dem PC, der dann einfach die Überweisungsdaten im Hintergrund verändert, sowie die Kontoübersicht manipuliert, sodass man erst merkt, dass das Geld weg ist, wenn man das nächste mal einen Kontoauszug aus Papier sieht. siehe:

Katusha: LKA zerschlägt Ring von Online-Betrügern

Von daher stimmt der Artikeltext schon. Die alten Papierlisten sind das aller unsicherste Verfahren.

Beim Angriff aufs Smartphone gibt es dagegen mehr als genug Leute, die das mittlerweile auch für Online-Banking nutzen -> Beide Zweige der Doppel-Authentifizierung können an einer Stelle abgegriffen werden.

Die meisten Banken verbieten genau deshalb allerdings Online-Banking und mTAN-Empfang auf demselben Gerät. Hier geht es eher um Trojaner, die zuerst den PC übernehmen und dann versuchen auch noch das Smartphone zu infizieren, etwa indem sie im Online-Banking eine Meldung einblenden, der Nutzer solle ein angebliches "Sicherheitsupdate" auf seinem Smartphone installieren.


Hab bis heute keine Ahnung, wie das genau geht^^

Bei ChipTAN wird aus den Überweisungsdaten wird ein Hash gebildet, der mit deinem geheimen Kundenschlüssel auf der Bankkarte verschlüsselt und anschließend zu einer TAN-Nummer verkürzt wird (wobei die Überweisungsdaten vorher noch einmal zur Kontrolle im Display des Generators angezeigt werden). Das Verfahren ist also kryptographisch gesichert.

Wenn, dann kann es nur Probleme mit "Social Engineering" geben, wobei dann versucht wird den Nutzer dazu zu bringen selbst das Geld an die Angreifer zu überweisen, etwa mit der Behauptung die Bank würde eine "Test-Überweisung" durchführen oder man solle falsch gebuchtes Geld "zurück überweisen".


Ich nehme an, du meinst HBCI. Das ist das Verfahren, auf das ich umgestellt habe, als die TAN-Listen abgeschafft wurden :-| Das erschien mir als das sicherste und vor allem komfortabelste. Nachteil: mal schnell eine Überweisung oder Kontostandskontrolle vom Büro aus fällt flach, weil es an die Software gebunden ist. Aber dafür ist es eben wie schon gesagt sicher.

Da er von einem Gerät mit Display spricht, kann man davon ausgehen, dass er ChipTAN meint. Hier gibt es nämlich am Generator ein Display, mit dem man die Überweisungsdaten noch einmal zum Schutz vor Manipulationen durch Trojaner überprüfen kann. Bei HBCI ist dies hingegen nur mit sogenannten "Secoder"-Kartenlesern möglich, wobei Secoder dabei auch noch von der Bank unterstützt werden muss und das ist bislang bei den wenigsten Banken der Fall. Ohne Secoder ist HBCI hingegen genauso anfällig für Trojaner wie die TAN-Listen aus Papier, da man eben nicht sieht welche Daten man mit seinem HBCI-Kartenleser eigentlich signiert.
 
Ich bin froh das ich das HBCI Verfahren nutze, extra Karte, eigenes Programm und extra PIN.
Ist zuverlässiger und bis jetzt immer noch das Sicherste was es gibt.
 
Bei meiner Bank nutze ich nun schon fast 10 Jahre das Chip Tan Verfahren (mit Tan Generator) funktioniert nur mit der Karte und auf dem Generator werden zur Kontrolle nochmal alle Daten angezeigt. Ist finde ich das sicherste und ist bei meiner Bank das Standardverfahren.
 
onlinebanking mach ich nur von zuhause aus und für das mtan benutz ich mein gutes altes SE k800i (nix smartphone) mit prepaid-karte :D
 
Also eigentlich hab ich mich darauf gefreut nächstes Jahr endlich Online Banking machen zu können, aber irgendwie schindet diese Freude gerade, wenn ich das hier lese.

Solange du deine TAN-Quelle sicher und unabhängig vom Überweisungsgerät aufbewahrst, ist es sehr sicher. Sicherer, als Überweisungsträger - nur macht sich da seltener jemand die Mühe, sie zu fälschen. Im Falle von mTANs bedeutet das aber eben, dass du ein extra Handy brauchst, dass du nur zum TAN-Empfang nutzt und normalerweise nicht mit dir herumträgst.


Das ist überhaupt nicht notwendig. Es reicht ein Trojaner auf dem PC, der dann einfach die Überweisungsdaten im Hintergrund verändert, sowie die Kontoübersicht manipuliert, sodass man erst merkt, dass das Geld weg ist, wenn man das nächste mal einen Kontoauszug aus Papier sieht. siehe:

Katusha: LKA zerschlägt Ring von Online-Betrügern

Von daher stimmt der Artikeltext schon. Die alten Papierlisten sind das aller unsicherste Verfahren.

Das solche Angriffe via Trojaner umgesetzt werden, wusste ich noch gar nicht. Manipulierte Webseiten versucht man ja sonst eher direkt via Phishing unterzuschieben. Technisch ist die hier beschriebene Angriffsart aber extrem komplex, denn man muss den Browser auf einem Level kontrollieren, dass weit über die Möglichkeiten des Users selbst hinausgeht. Mir wäre kein Browser bekannt, der derart große Sicherheitslücken hat. Und bei einer Angreifer-/User-Kombination, die es ermöglicht, den kompletten Browser zu deinstallieren und durch einen neuen, optisch identischen zu ersetzen, aber einzelne Webseiten gezielt auszutauschen, würde ich auch für alle anderen Verfahren schwarz sehen. Da ist der Hacker entweder derart Uber oder User derart unbedarft, dass auch eine direkte oder indirekte Infektion des Smartphones vom PC aus kein Problem wäre. Dass die Transaktion in der Bestätigungs-SMS genannt wird, ist dann ein vergleichsweise kleines Hindernis - bei einem durchschnittlichen Hacker und DA-User wird letzterer schlichtweg nicht lesen, was in der SMS steht, bei der Kombination Mega-Hacker/normaler User traue ich ersterem vollkommen zu, auch die SMS-Anzeige zu manipulieren bzw. z.B. die SMS-Anzeige zu unterdrücken, die SMS weiterzuleiten und eine andere mit unverdächtigem Inhalt anzuzeigen.

(Ich für meinen Teil wähne mich erstmal sicher. Meinen Browser nutzen zu wenige, er ist in weiten Teilen und über das via Menü realisierbare Maß individualisiert und das integrierte Mailprogram würde es dem Angreifer aufzwingen, auch verschlüsselt gespeicherte Passwörter zu übernehmen, wenn er mir einen von ihm kontrollierten Browser unterschieben möchte. Bei 08/15 IE/FF/Chrome-Nutzern könnte das Schema aber in der Tat funktionieren.)
 
Ich nutze mittlerweile einen Generator, aber nur weil die Sparkasse mir die Papierliste verboten hat. Beim "Beratungsgespräch" zur Umstellung konnte man mir auch kein Argument nennen warum die Papierliste wirklich unsicher ist, dafür konnte ich aber einen gratis Generator raushandeln :fresse:.
@Generator-Nutzer:
Sind die eigentlich Kundenspezifisch, oder hat man einen universellen Generator, der auf Basis jeder Karte jeweils passende Codes erzeugt? Letzteres fände ich auch schon wieder fragwürdig, zumindest wenn die normale EC-Karte zum Einsatz kommt, da es so weiterhin möglich ist, das Code-Werkzeug auf normaler Straße zu klauen bzw. mit bekannten Methoden zu kopieren.
Die von der Spaßkasse sind austauschbar. Da ist nur ein Chip zum entschlüsseln drin der die EC-Karte als Private-Key benötigt.
Die meisten Banken verbieten genau deshalb allerdings Online-Banking und mTAN-Empfang auf demselben Gerät.
Wenn ich den Browser meines Smartphones/Tablets auf Desktop-Modus stelle geht es technisch aber trotzdem. Wie soll die Bank bei einer Webseite(=IP-Adresse als ID) auch kontrollieren können ob das gleiche Gerät die SMS(=Tel-Nummer als ID) bekommt?
 
Das solche Angriffe via Trojaner umgesetzt werden, wusste ich noch gar nicht. Manipulierte Webseiten versucht man ja sonst eher direkt via Phishing unterzuschieben. Technisch ist die hier beschriebene Angriffsart aber extrem komplex, denn man muss den Browser auf einem Level kontrollieren, dass weit über die Möglichkeiten des Users selbst hinausgeht.[

Einfach mal nach "Zeus" oder "Spyeye" googlen:

Baukasten-Trojaner Zeus jetzt in 64 Bit und mit TOR | heise Security

Operation High Roller: Online-Banking-Betrug im ganz großen Stil | heise Security

Wobei dabei mTAN eben immer noch sicherer als iTAN ist, da man die bisherigen Smartphone-Trojaner allesamt selbst per Hand installieren muss. Allerdings gibt es unabhängig davon bei mTAN auch noch Probleme mit SIM-Karten:

Onlinebanking: Bankbetrüger knacken mTAN-Verfahren | ZEIT ONLINE

Am besten sind daher Verfahren mit eigenständigen Sicherheitsgeräten mit extra Kontrolldisplay für die Überweisungsdaten wie ChipTAN, PhotoTAN oder HBCI mit Secoder.


Ich nutze mittlerweile einen Generator, aber nur weil die Sparkasse mir die Papierliste verboten hat. Beim "Beratungsgespräch" zur Umstellung konnte man mir auch kein Argument nennen warum die Papierliste wirklich unsicher ist, dafür konnte ich aber einen gratis Generator raushandeln :fresse:.

Dann waren die dort aber nicht gut informiert. Es ist daher unsicher, weil eben ein Trojaner auf dem PC die Überweisungsdaten unbemerkt im Hintergrund vertauschen kann. Bei ChipTAN fällt das auf, weil dort die echten Überweisungsdaten noch einmal im Display des TAN-Generators angezeigt werden.

Die meisten Banken verbieten genau deshalb allerdings Online-Banking und mTAN-Empfang auf demselben Gerät.

Wenn ich den Browser meines Smartphones/Tablets auf Desktop-Modus stelle geht es technisch aber trotzdem. Wie soll die Bank bei einer Webseite(=IP-Adresse als ID) auch kontrollieren können ob das gleiche Gerät die SMS(=Tel-Nummer als ID) bekommt?

Natürlich kannst du, wenn du es drauf anlegst, diese Sicherheitsmaßnahme der Bank "überlisten". Nur wenn dann was passiert, bist du voll in der Haftung (bzw. die Bank ersetzt den Schaden nicht).
 
*les*
Installiert sich also letztlich als Browser-Erweiterung?

Nicht wirklich. Meist injiziert sich der Trojaner direkt in den Prozess des Browsers oder setzt noch weiter vorne auf Netzwerkebene an.

64-bit Zeus Trojan version found and analyzed

New financial malware targeting banks avoids AV detection

Trojan.Zbot Technical Details | Symantec

Na wie praktisch, dass ich einen Browser nutze, der alle benötigten Funktionen mitbringt, für den es kaum Erweiterungen gibt und der offensichtlich inkompatibel zu den genannten Angreifern ist :)

Eigentlich gibt es keinen Browser, der nicht von so etwas betroffen wäre:

S21sec Security Blog: Tatanga: a new banking trojan with MitB functions

SpyEye Targets Opera, Google Chrome Users — Krebs on Security
 
Zurück