mTAN aushebelbar ???

Benutzer bartd schrieb:

Meiner Meinung nach bestehen hier ähnliche Risiken wie beim iTAN-Verfahren, wenn das Opfer die Informationen über Empfänger und Betrag in der SMS nicht liest oder sie gar nicht enthalten sind.

iTAN wird ja auch hauptsächlich durch Unachtsamkeit des Kunden unsicher. Würde der sich vergewissern nicht auf Links in E-Mails zu klicken, auf der richtigen Internetseite zu sein, etc. könnte auch hier nichts passieren.

Wenn die Ausrüstung mit einem angeblich sicheren Gerät mit 5-10 Euro zu Buche schlägt, kann ich kaum glauben dass dies für Banken finanziell unattraktiv ist. Ich wäre sogar bereit einen solchen Preis zu zahlen. Mit den HBCI-Geräten läuft es ja heute auch so, dass der Kunde sie zahlt. Aber der Vorteil gegenüber den TAN-Verfahren ist wohl bei diesen mehr als fraglich.

Benutzer bartd schrieb:


Stelle Dir folgendes Szenario vor:
- Du rufst die Website Deiner Bank auf
- Du lässt Dir den aktuellen Kontoauszug anzeigen. Ein vom Trojaner installiertes Browser-Plugin (oder ein manipulierter Browser) speichert Kontostand und Kreditlinie
- Du tippst Name, Kontonummer, BLZ, Betrag und Betreff für eine Überweisung ein
- Sobald Du "absenden" drückst, bewirkt das Trojaner-Plugin, dass nicht die von Dir eingegebenen Werte, sondern vom Plugin gesetzte Werte für Name, Kontonummer, BLZ und Betrag an den Bank-Server übermittelt werden
- Ebenso manipuliert das Plugin die Antwort vom Bank-Server, so dass Dir wieder die Überweisung angezeigt wird, die Du auch ausführen möchtest
- Du bestätigst mit der mTAN. Die folgende Datenübermittlung an die Bank und die Antwort des Bank-Servers manipuliert das Plugin ebenfalls.
- Wenn das Plugin besonders perfide ist, manipuliert es auch angezeigte Kontoauszüge und den Kontostand, auch über das Sitzungsende hinaus. Davon, dass irgendetwas nicht stimmt, erfährst Du dann erst, wenn der Geldautomat Dir kein Geld mehr geben will, eine Zahlung mit ec-Karte im Laden scheitert oder der ursprüngliche Überweisungsempfänger eine Mahnung schickt, weil bei ihm nichts angekommen ist.


Kai

Benutzer Kai Petzke schrieb:


Nachtrag hierzu: Wenn die Bank in der mTAN-SMS die relevanten Transaktionsdaten noch einmal mitschickt, dann ist das mTAN-Verfahren tatsächlich deutlich sicherer als normale TAN und iTAN, weil die Transaktionsdaten auf einem vom PC unabhängigen Kommunikationsweg noch einmal übermittelt werden.

Die Chancen, dass es einem Angreifer gelingt, beide Endgeräte z.B. per Trojaner unter seine Kontrolle zu bringen, um dadurch auch noch falsche SMS anzeigen zu können, sind natürlich deutlich geringer, als für nur ein Gerät. Man sollte das Szenario des "Doppelvirenbefalls" aber nicht von vornherein total abtun, da Handys immer "smarter" werden und zwischen PC und Handy eines Nutzers immer öfters auch direkte Datenverbindungen aufgebaut werden, z.B. zur Synchronisation von Terminen oder Adressbuch. Sicherheitslücken in der Handy-Software könnten dann wiederum ein Einfallstor für den Bankentrojaner darstellen.


Kai