Wie sicher ist mTAN?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 06 / 2009
Betreff:

Wie sicher ist mTAN?

 · 
Gepostet: 30.06.2009 - 11:08 Uhr  ·  #1
Es gibt ja sehr viele verschiedene TAN-Verfahren, die auch unterschiedlich sicher sind. Für mein Tagesgeldkono habe ich jetzt das mTAN-Verfahren in Benutztung.
Jetzt bin ich mir aber total unsicher, ob mTAN auch wirklich sicher ist.
Wie groß ist die Gefahr, dass die TAN irgendwie vom Handy abgezweigt werden kann oder was passiert, wenn ich mein Handy mal verliere?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 116
Dabei seit: 09 / 2007
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 30.06.2009 - 11:50 Uhr  ·  #2
Hallo!

Die mobileTAN ist auf jeden Fall sicherer als das "normale" TAN-Verfahren mit einem papierhaften TAN-Bogen oder sogar als die iTAN (TAN's sind nummeriert).

Aus diesem einfachen Grund:
wenn die TAN auf's Handy kommt, werden im Display des Handys die Transaktionsdaten - also EmpfängerkontoNr und der Betrag - angezeigt.
Stimmen diese, kann die TAN eingegeben werden.
Somit ist die TAN "auftragsgebunden", das heißt, mit dieser TAN kann nur diese eine Transaktion an diese Empfängerktonr und über diesen Betrag getätigt werden!

Wenn also jmd die TAN vom Handy abfangen würde, könnte dieser "Betrüger" nichts anderes damit machen, als den Betrag an diese Kontonr zu überweisen.

Wenn das Handy verloren geht, kann man die Handynr für den EMpfang von mobilenTANs sperren, einfach ein Anruf bei der Bank.

LG
Yeannie
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 30.06.2009 - 12:05 Uhr  ·  #3
Ergänzend:
Wenn das Handy verloren geht, was soll passieren? Ohne das Wissen über die anderen Zugangsdaten (PIN, ggfs. weiteres wie Identifikationsdaten für die Anmledung) kann niemand einen Auftrag einreichen, der dann zum TAN-Versand an das Handy führt.

Diese Daten gehören (nicht nur daher) nur in den eigenen Kopf.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 116
Dabei seit: 09 / 2007
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 30.06.2009 - 14:23 Uhr  ·  #4
Stimmt, hab ich doch glatt vergessen zu erwähnen :oops:
VR
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 9
Dabei seit: 05 / 2009
Betreff:

Sicher?

 · 
Gepostet: 01.07.2009 - 12:44 Uhr  ·  #5
Hallo,

mTAN ist zur Zeit das sicherste TAN Verfahren das es im Online Banking gibt. Nur SmartTAN plus ist noch vergleichbar.

Aber: Der Kunde muss die Transaktionsdaten auf dem Handy schon verifizieren, ansonsten bringt das beste Verfahren nichts.

Grüße
VR
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 13:23 Uhr  ·  #6
ich bin der Meinung, der Secoder ist die sicherste Onlinebanking-Methode.
Warum?
mobileTAN ist imho angreifbarer durch social engineering:
http://de.wikipedia.org/wiki/Social_Engineering

Wenn der Nutzer das Verfahren verstanden hat, ist das Risiko natürlich nicht mehr gegeben.

Außerdem könnte es auch auf Handys Virenangriffe geben.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 13:45 Uhr  ·  #7
Vergiss alles von wegen sicher. Du hast das eigentliche Problem doch genannt:

Zitat
Wenn der Nutzer das Verfahren verstanden hat


Die Leute, die Tans in Forms getastet haben, werden in Zukunft nach drei Tagen anrufen warum im Secoder 5.000 genannt war, wo sie doch nur 100 überweisen wollten. Du bist sowieso schuld, dass die 5.000 jetzt in Lettland sind. Hast schließlich gesagt, das Verfahren sei sicher ....

Oder wir sagen es mit Einstein:
"Die Dummheit der Menschen und das Universum sind unendlich. Beim Universum bin ich mir nicht sicher."

CU
Frank
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 14:37 Uhr  ·  #8
Social Engineering wird bei Menschen immer funktionieren.
Ausser ggf. bei Soziopathen, denen sollte man aber besser kein Geld abluchsen :)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 14:58 Uhr  ·  #9
Nach dem Grundsatz "Mache nur, was du auch verstehst" darf man schon noch behaupten, dass mobileTAN sicher ist.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 17:31 Uhr  ·  #10
Mit dem Grundsatz schneidest du aber 20% aller Menschen vom heutigen täglichen Leben ab ...
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 01.07.2009 - 18:14 Uhr  ·  #11
Hallo Fellini,

die 20% sind aber seeeeehr optimistisch geschätzt... :noidea:

Otto
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 02.07.2009 - 09:04 Uhr  ·  #12
Wir hatten diese Woche eine Kundenveranstaltung zum Thema Sicherheit und einen IT-Spezialisten, der u.a. auch für das BSI arbeitet, als Redner.

Er hat dann von einem Phishing-Fall erzählt, bei dem eine Notarfachangestellte aus Süddeutschland eine Mail auf dem Geschäfts-PC erhielt und dann 70(!) iTANs ins Formular getippt hat. Abgesehen davon, dass die Dame dazu erstmal einen neuen iTAN-Bogen bei der Bank bestellt hat, von der sie dachte, dass auch die Email kommt, hat sie 3 Stunden ihrer Arbeitszeit zum eintippen geopfert. Ergebnis war der laut Aussage des Spezialisten größte Phishing-Fall dieses Landes, da vom Geschäftskonto des Notars 185.000 Euro wegüberwiesen wurden.
Benutzer
Avatar
Geschlecht:
Herkunft: links unten
Alter: 40
Homepage: fides.ch
Beiträge: 1170
Dabei seit: 03 / 2008
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 02.07.2009 - 09:06 Uhr  ·  #13
na die hat ja schon fast nen pokal verdiehnt... :hbang:
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 08 / 2011
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 30.08.2011 - 20:49 Uhr  ·  #14
Die mTAN ist genau so angreifbar wie die iTAN.

Bei vielen (wenn nicht allen Banken) ist die Handynummer im persönlichen Profil des Kunden hinterlegt. Man benötigt also nur seine PIN um an diese Daten zu kommen. Die PIN zu bekommen ist ja z.B. mittels eines Keyloggers kein zu großes Problem, wenn der Angegriffene unvorsichtig ist.

Anschließend wird an das Handy ein Trojanisches Pferd wie z.B. ZeuS geschickt. Ist der Nutzer unvorsichtig ist das Handy genau so infiziert wie früher der PC beim TAN/iTAn-Verfahren.

Meines Erachtens ist die Manipulation beim mTAN-Verfahren sogar einfacher für Angreifer, da die meisten Menschen zwar bei der reinen Internutzung vorsichtiger geworden sind, weil heutzutage jeder eine blasse Ahnung von Malware hat...während sie beim Handy jede Nachricht annehmen, weil ihnen die Gefahren -noch- nicht bewußt sind.

Der einzige Grund warum das mTAN-Verfahren noch nicht Angriffen in dem Ausmaß wie die iTAN ausgesetzt war, liegt in seiner bisher geringeren Verbreitung.
Die meisten Kunden nutzten halt in der Vergangenheit das iTAN-Verfahren und nicht das der mTAN.
Und bei den weitgehend maschinell vorgetragenen Angriffen geht es nur darum möglichst viele Kunden abzukassieren.

Die ganzen Malware-Attacken dienen heute überwiegend Massengeschäften wie z.B. dem millionenfachen Spamversand, DDoS-Angriffen auf Server, Abräumen von vielen Konten beim Online-Banking, in kleinerem Ausmaß Shop-Einkäufe mit fremden Account mittels Trojanischen Pferden mit Backdoor-Funktion und Geldepressungen (Ransomware) beispielsweise in Form von PC-Blockaden und Verschlüsselungen wichtiger Daten auf dem Rechner des Angegriffenen.

An einer Art Hackerromantik à la "ich knackte das bestabgesicherte Online-Banking-Konto" haben die Angreifer von heute kein Interesse.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 30.08.2011 - 22:48 Uhr  ·  #15
Zitat geschrieben von Wastl
Die mTAN ist genau so angreifbar wie die iTAN.


Zitat
Anschließend wird an das Handy ein Trojanisches Pferd wie z.B. ZeuS geschickt. Ist der Nutzer unvorsichtig ist das Handy genau so infiziert wie früher der PC beim TAN/iTAn-Verfahren. ...

sorry, das ist einfach Unsinn.
Ein Betrüger muss es schaffen, mindestens zwei verschiedene Systeme zu infizieren, erstmal den PC - und in dieser Stufe hätte es sich schon mit der Sicherheit der iTAN erledigt - und dann zusätzlich auch noch das Handy.
Dazu muss das Handy UND PC angreifbar sein, viele verwendete Mobiltelefone sind z.B. technisch gar nicht in der Lage, Programme zu installieren.
Und wenn: der User muss so dämlich sein, einfach auf eine obskure Anforderung hin eine App, das trojanische Pferd, zu installieren.

Das alleine zeigt, dass deine Aussage so pauschal nicht stimmen kann!

Der Sicherheitsvorteil der mobilen TAN zum TAN-Bogen ist immens und zwar schon deshalb, weil der Benutzer überhaupt eine sehr gute Chance hat, den Angriff zu erkennen. Das ist nämlich wesentlich! Ein geschickt programmierter und brandaktueller Banktrojaner kann bei der Nutzung der iTAN nicht erkannt werden. Bei aktuellen Verfahren halt schon.

Ich stimme dir aber sofern zu, dass die Gefahr des Handvirus noch recht unbekannt ist und das die User dringend darüber aufgeklärt werden müssen. Es gehört unbedingt dazu, dass sich ein heutiger Nutzer des Onlinebanking unbedingt mit der verwendeten Technik auseinander setzen sollte. Er sollte auch hinterfragen, welches Verfahren für ihn und sein Nutzerverhalten das richtige ist - und sich gegebenenfalls für eine andere Bank entscheiden...

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 116
Dabei seit: 09 / 2007
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 31.08.2011 - 12:07 Uhr  ·  #16
Zitat geschrieben von Wastl
Bei vielen (wenn nicht allen Banken) ist die Handynummer im persönlichen Profil des Kunden hinterlegt. Man benötigt also nur seine PIN um an diese Daten zu kommen.


Da ist sicher die angezeigte Handynummer in der "Verwaltung" des eBankings gemeint, oder?

Also bei allen Banken, die ich kenne, wird die Handynummer dort nicht komplett dargestellt, sondern jede 2. Zahl wird durch ein "X" ersetzt.

Der Betrüger kommt also nur an die Handynummer, wenn der Kunde - dessen PC bereits infiziert ist - seine Handynummer am Bildschirm eintippt.
Das wiederum würden bestimmt viele tun, denn die Bank fragt ja augenscheinlich nach den Daten :roll:

Deshalb ist Information sooo wichtig!
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 100
Dabei seit: 01 / 2006
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 31.08.2011 - 13:01 Uhr  ·  #17
Zitat geschrieben von Wastl
Die mTAN ist genau so angreifbar wie die iTAN.

Bei vielen (wenn nicht allen Banken) ist die Handynummer im persönlichen Profil des Kunden hinterlegt. .


Da dies bei den genoss. Banken im eBanking nicht zutrifft kann man/frau den Rest gleich wieder vergessen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008
Betreff:

Re: Wie sicher ist mTAN?

 · 
Gepostet: 02.09.2011 - 13:30 Uhr  ·  #18
Bei Volksbanken wirst du die Handynummer nicht im Klartext im Online-Banking vorfinden, da gehts mit deinen Aussagen schonmal los! Ohne den Anwender kann dieser mobileTAN-Trojaner keinen Erfolg haben.

Die aktuellen mobileTAN Trojaner basieren darauf, erst den PC zu infizieren. Danach werden Detailinfos wie Gerätetyp und Handynummer abgefragt. Im Anschluss kommt der maßgeschneiderte Trojaner für das Handy und der muss angenommen und installiert werden.

Die Verbreitung der mTAN oder wie sie jeweils heißen mag, nimmt stetig zu. Allerdings hoffe ich, dass sich ein Infizierungsprozess bei 2 Medien nicht so rasant durchsetzt, wie beim Befall eines PC.
Gewählte Zitate für Mehrfachzitierung:   0