Benutzer bartd schrieb:
wie soll das gehen? mTAN ist NUR für die EINE (schon eingegebene!) transaktion gültig (ggf. sogar zeitbeschränkt) und somit für eine ANDERE transaktion völlig unbrauchbar!
Stelle Dir folgendes Szenario vor:
- Du rufst die Website Deiner Bank auf
- Du lässt Dir den aktuellen Kontoauszug anzeigen. Ein vom Trojaner installiertes Browser-Plugin (oder ein manipulierter Browser) speichert Kontostand und Kreditlinie
- Du tippst Name, Kontonummer, BLZ, Betrag und Betreff für eine Überweisung ein
- Sobald Du "absenden" drückst, bewirkt das Trojaner-Plugin, dass nicht die von Dir eingegebenen Werte, sondern vom Plugin gesetzte Werte für Name, Kontonummer, BLZ und Betrag an den Bank-Server übermittelt werden
- Ebenso manipuliert das Plugin die Antwort vom Bank-Server, so dass Dir wieder die Überweisung angezeigt wird, die Du auch ausführen möchtest
- Du bestätigst mit der mTAN. Die folgende Datenübermittlung an die Bank und die Antwort des Bank-Servers manipuliert das Plugin ebenfalls.
- Wenn das Plugin besonders perfide ist, manipuliert es auch angezeigte Kontoauszüge und den Kontostand, auch über das Sitzungsende hinaus. Davon, dass irgendetwas nicht stimmt, erfährst Du dann erst, wenn der Geldautomat Dir kein Geld mehr geben will, eine Zahlung mit ec-Karte im Laden scheitert oder der ursprüngliche Überweisungsempfänger eine Mahnung schickt, weil bei ihm nichts angekommen ist.
Kai