[Prince]

Zitat:

Sicherheits-Experten sehen in der Nutzung der mTAN beim Online-Banking, bei der die einmal nutzbare TAN-Kennung per SMS auf das Handy geschickt wird, ein zunehmendes Risiko. Dieses Verfahren gerät in der letzten Zeit immer stärker ins Visier von Kriminellen.
"Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren", erklärte Christian Funk von der IT-Sicherheitsfirma Kaspersky gegenüber dem Nachrichtenmagazin Der Spiegel (heutige Ausgabe). Allein im ersten Quartal dieses Jahres habe sich die Zahl der Smartphone-Attacken mit dem geläufigsten Trojaner Faketoken im Vergleich fast versechsfacht.

Online-Banking-Nutzer sollten daher auf sicherere Verfahren umstellen, auch wenn dies mit einem kleinen Mehraufwand verbunden ist, raten Experten. "Wer sichergehen will, nutzt statt des mTAN-Verfahrens einen TAN-Generator", empfiehlt Frank-Christian Pauli, Bankenexperte des Bundesverbands der Verbraucherzentralen (VZBV). Hier muss der Verbraucher ein kleines Gerät erwerben, in das die EC-Karte eingeschoben wird und das für jede Transaktion einen Schlüsselcode erstellt.


Allerdings bietet auch dieses Verfahren letztlich nur eine höhere, aber keine absolute Sicherheit. Es dürfte nur eine Frage der Zeit sein, bis auch TAN-Generatoren erfolgreich angegriffen werden, heißt es seitens des Bundeskriminalamtes (BKA).

Absolute Sicherheit gibt es nirgends
Um hier nicht in Schwierigkeiten zu kommen, bleibt den Nutzern also weiterhin nur die Möglichkeit, von verdächtigen Apps oder Links die Finger zu lassen. Denn die Phishing-Mails oder -SMS, über die Kriminelle ihre Software unbemerkt auf fremde Smartphones und PCs spielen, haben sich verändert. "Das sind nicht mehr die typischen Massen-Mails, sondern inzwischen Schreiben, die speziell auf ein Bankinstitut oder sogar auf den Kunden zugeschnitten sind", erklärte Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA. Als unsicherste Variante des Online-Bankings gilt aber immer noch das so genannte TAN-Block-Verfahren, bei dem der Kunde eine TAN-Liste auf Papier abarbeitet.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Ghozz]

Habe extra ein altes Nokia 6300, den ich nur für mTan verwende. Ich fordere die mTan an, dann wird es sofort verwendet. So kann man mit der benutzten mTan auch nichts mehr anfangen.

Im guten alten Nokia sind keine Apps drauf, die man ausspionieren könnte.

[Ghozz]

@ Tante

Eigentlich dürfte so jede Bank, die einen Rang und Namen hat das mTan Verfahren haben.

Ich hatte früher auch meine TAN von der Postbank zugeschickt bekommen, da waren um die 100 drauf. Dann sind die umgestiegen auf das mTan, das heißt, wenn ich etwas überweisen will, dann muss ich eine mTan anfordern, die binnen Sekunden auf das eigene Handy per SMS verschickt wird. Die sollte man dann sofort verwenden.

[staple]

Also ich als Sparkassenkunde und Nutzer des Onlinebankings habe noch das mTan Verfahren

[Odatas]

Sparkassen an sich ist ein Verbund. Da gibt es 10.000 Sparkassen die aber alle nicht wirklich zueinander gehört. Aber alle mit dem Sparkasse Logo Werben usw...

Deshalb hat deine Filiale Schleswig Holstein nichts zu tun mit der in Hamburg. Die Haspa und die Sparkasse Holstein sind unabhängige Institute die zusammen unter diesem Zusammenschluss agieren. Und dass sind dann die Sparkassen.

[nolte]

Nutzer sollten Abstand nicht nur von mTan sondern generell von Onlinebanking nehmen.
Nutze es selbst nicht, wüsste nicht wozu. Sicher, man muss den einen oder anderen Gang selbst machen. Aber wo ist das Problem? Kommt man mal an die frische Luft und von der Kiste weg.

[Prince]

Du scheinst dann wohl auch nichts Online zu kaufen. Wenn ich dann mehrmals die Woche zur Bank rennen müsste, würde mich das schon ziemlich ankotzen.

[.:|RAT|:.]

Sehe ich auch so wie PP.

Nutze dieses verfahren schon lange und möcht es bei meinen onlinekäufen nicht mehr missen.
Dinge sind innerhalb weniger minuten bezahlt.

Aus dem beitrag geht leider nicht hervor, wie es sich verhält wenn die tan gleich, also innerhalb von minuten verwendet wird. Die verfällt doch auch nach einem gewissen zeitraum, oder nicht?

Eine tan kann doch auch nur einmal verwendet werden, also wie kann ich mir das denn vorstellen?

Das die app die tan abfängt und sogleich eine transaktion auf ein böser bube konto ausführt?

[nichdiemama]

mTan ist schon seit einiger Zeit ein beliebter Angriffspunkt - aber schön zu sehen, dass das Thema aufgegriffen wird.

Bei meiner Bank ist noch iTan (Liste mit 100 TANs die in zufälliger Reihenfolge abgefragt werden) der Stand der Dinge, das ist ganz ok.
Am sichersten scheinen mir kontaktbehaftete Chip basierten TAN Verfahren, komisch, dass das in den ganzen Warnungen bezüglich mTan nie so klar gesagt wird.

[A-K]

Verstehen tu ich das aber nicht...???

Klar, wenn man sowohl die Überweisung, als auch den mTAN-Empfang über dasselbe
Gerät macht, gibt es unter Umständen ein Problem, wenn es unter fremder Kontrolle ist.
... aber davon wird ja klar abgeraten.

Wenn ich aber z.B. über mein Notebook die Überweisung mache und dann auf mein Handy
die mTAN bekomme, wie soll das angreifbar sein??

Meines Wissens wird die mTAN konkret für die einzelne Überweisung generiert, gilt nur
zwei Minuten und ist an die Überweisungssumme und die Kontonummer des Adressaten
gebunden.
... also eine Änderung des Überweisungsbetrags oder des Zielkontos, sollte dann nicht
mehr funktionieren. Was kann derjenige, der meinen Notebook ausspäht, dann mit meiner
mTAN machen??? An meiner Stelle dieselbe Überweisung an den gleichen Adressaten
ausführen???

[spartan-b292]

Nehemn wir mal an ich hätte erfolgreich einen Man in the Middle angriff durchgeführt. Das bedeutet, alle Daten die du sendest gehen, von dir unbemekrt, durch meinen Rechner und dann erst zu deiner Bank.

Du füllst das Formular aus und sendest den Überweisungsauftrag ab. Ich verändere Empfänger und betrag und sende den Auftrag dann zu deiner Bank. Die Bank sendet dir per SMS eine TAN die zu den von mir veränderten Daten passt. Ich verändere Empfänger, Betrag die die Bank dir im Browser anzeigen, alles sieht gut aus, du tippst deine TAN ein und weg ist das Geld. Eventuell wird dir der BEtrag/Empfänger auch noch per SMS mitgeteilt. Wenn aber jemand zugriff auf dein Smartphone hat wäre das aber auch kein großes Problem.

Das wäre eine Möglichkeit, es gab/gibt aber auch noch andere. mTAN noch nie wirklich toll und ein altes Handy ohne Apps zu verwenden hilft auch nur bedingt.

[Ghozz]

Zitat:

Zitat von spartan-b292

Nehemn wir mal an ich hätte erfolgreich einen Man in the Middle angriff durchgeführt. Das bedeutet, alle Daten die du sendest gehen, von dir unbemekrt, durch meinen Rechner und dann erst zu deiner Bank.

Bevor du deinen "Man in the Middle Angriff" überhaupt ausführen kannst, habe ich schon das angeforderte mTan verwendet und das Geld sicher abgeschickt.

Erstmal bin ich auf der Bankseite in meinem Konto eingeloggt, und wenn ich den mTan da eingebe, dann das Geld versende, ist der Auftrag durch. Also ist da nichts mit deinem Rechner, und dann die Bank.

Wie soll dann mein Formular von deiner Attacke abgefangen werden, und dann kommt mit dem Abfangen des Formulars und die fantasievollen Bearbeitung durch dich, bevor es überhaupt an meine Bank geht? Bevor du schon A sagst, ist das Geld überwiesen über die Online-Banking Seite der Bank. Da wird nichts umgeleitet, schon gar keine Formulare und es gibt keine Bearbeitung durch dich.

Zitat:

Zitat von spartan-b292

Das wäre eine Möglichkeit, es gab/gibt aber auch noch andere. mTAN noch nie wirklich toll und ein altes Handy ohne Apps zu verwenden hilft auch nur bedingt.

Mit alten Handys legt man nicht alles offen, als wie mit Smartphones und Co. mit den ganzen Apps. Ich bin mit mTan sicher gefahren und keiner hat seit vielen Jahren meine Daten abgefangen und mißbraucht.

[Origami]

Und wenn ich zur Bank laufe, kann ich auf offener Straße überfallen werden .
Nichts auf der Welt ist absolut sicher.
Abgesehen davon, wenn jemand meine Überweisung abzweigt und ich 3.000€ auf dem Konto weniger hab, dann kann ich die Überweisung immer noch zurückrufen.

Glaube hier herrscht ein bisschen Drama, baby.

[spartan-b292]

Wenn ich einen Erfolgreichen MITM-Angriff durchgeführt habe, bist du auf der Bankseite eingeloggt wenn ich mich dazu entschieden habe das Paket an die Bank weiter zu leiten. Vorher passiert bei dir garnichts.

Zitat:

und es gibt keine Bearbeitung durch dich.

Ich kann als erfolgreicher Angreifer den Inhalt jedes Pakets beliebig verändern.

Zitat:

Mit alten Handys legt man nicht alles offen, als wiemit Smartphones und Co. mit den ganzen Apps.

Das stimmt zwar prinzipiell aber praktisch auch nur wenn die Bank dir noch mal den Empfänger und/oder Betrag mitteilt, auf einem Kanal den ich nicht kontroliiere. Wenn das über SMS auf ein altes Handy erfolgt für das es keine Trojaner in form von Apps. o.Ä gibt ist das richtig.

[Ghozz]

Ich möchte nicht an dein Können zweifeln, auch nicht ins lächerliche ziehen. Bevor jemand eine erfolgreiche MITM durchführt, was ja auch gelingen kann, müsstest du aber über die präzise Zeiten des Users kennen, wann, wie und wo er den Betrag über Online-Banking durchführt. Und dieses Wissen haben die Angreifer am wenigsten.

Ja, mit dem alten Handy habe ich auch den alten Nokia 6300 gemeint, der keine Apps hat und für mich einen sicheren Status hat, der nicht wie ein offenes Buch zu lesen ist. Das Problem haben eher die neue Generation der Handys, die mehr Computer als ein Mobilfunk-Gerät sind.

[spartan-b292]

Zitat:

müsstest du aber über die präzise Zeiten des Users kennen

Nicht zwangsläufig, ein Angreifer könnte das weitestgehend automatisieren.

[nichdiemama]

ghozz' Variante mit einem Handy, das noch einfach nur Handy und nicht Smartphone ist, scheint mir, wenn man mTan verwendet, noch die sicherste zu sein. Zumindest solange, wie das Handy (die SIM / Handynummer) nicht gekapert wurde.
Das Problem ist nur, dass die wenigsten Leute so etwas haben bzw. nutzen. Die selben hirntoten, die 10 TANs am Stück in irgendwelche Fake Seiten eingegeben haben wenn sie dazu aufgefordert wurden, werden auch in der Verwendung von mTAN nicht an Sicherheit denken.


[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Der Titel des Thread und viele Artikel, die in diesen Tagen erscheinen, haben den Tenor: "Der Nutzer soll vom mTAN ABstand nehmen" ... Interressante Wortwahl finde ich - schließlich geben die Banken doch das Absicherungsverfahren vor und sind in der Position mTAN "einfach" abzuschaffen.

[A-K]

Bei der mTAN-SMS wird mir auch immer der Betrag und die Kontonummer noch
'mal mitgeliefert, do dass Deine MITM-Änderungen sofort auffallen würden.

[spartan-b292]

Richtig. Was vorraussetzt, dass ein Angreifer keine Kontrolle über das Handy hat (und der Benutzer die Informationen auch kontrolliert, aber das ist eher außen vor da das bei Chiptan auch gemacht werden sollte).

[freak999]

Sorry dass ich dir da deine Illusion nehme Ghozz
aber es gibt wesentlich ältere und weniger potente Handys als dein Nokia 6300 für die funktionierende Trojaner entwickelt wurden.
Zugegeben ist es deutlich am leichtesten Android-Geräte mit funktionierenden Trojanern zu infizieren.
Und da kaum jemand den schweren Weg geht, wenn der einfache auch funktioniert bist du mit deinem Nokia 6300
relativ sicher.
So lange halt bis sich wirklich mal in die hinterste Ecke rumgesprochen hat, dass Android+mTAN
überhaupt keine gute Kombination ist, dann sind vll. schon Leute wie du dran.
Oder es geht erstmal in Richtung Sofortüberweisungen, wer weiß.

Zitat:

Zitat von A-K

Bei der mTAN-SMS wird mir auch immer der Betrag und die Kontonummer noch
'mal mitgeliefert, do dass Deine MITM-Änderungen sofort auffallen würden.

Wenn auf deinem Handy ein Trojaner drauf ist, dann wird der eben diese SMS so manipuliert, dass die angezeigte
mTAN nicht zum restlichen Text passt.
Die eigentliche SMS der Bank bekommst du garnicht erst zu Gesicht.

[Prince]

Das Nokia 6300 ist auch schon ein "Smartphone". Läuft ja mit Symbian. Da lassen sich Java-Programme darauf installieren.

Und sogar WhatsApp läuft darauf.

"Sicherer" wäre da ein altes Nokia 5110 oder dergleichen.

[freak999]

Hier ein Bericht wie das Nokia 1100 gehackt wurde:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Ist nicht so alt wie das 5110, aber konnte auch schon ziemlich wenig.

[Ghozz]

So freak999, dann nehme ich dir mal den Wind aus der Segel. Vielleicht solltest du den Text bis zum Ende lesen, bevor du den Link postest.

Zitat:

Ein Hack der Nokia-Firmware dürfte also kaum ausreichen, um die für das Opfer bestimmte SMS-Nachrichten auf das Betrüger-Handy umzuleiten.