Nutze immer noch Papier-TAN

Benutzer jtsn schrieb:

Die iTAN lässt sich SEHR leicht angreifen. Ein guter Trojaner verändert die Homebanking-Website so, dass beim Abschicken der Überweisung (für den Computerbenutzer unsichtbar) die Kontonummer und die Bankleitzahl verändert wird. Die Bestätigungsseite wird dem Nutzer eine erfolgreiche Überweisung zeigen. Auch die Kontoübersicht wird entsprechend manipuliert, dass der Schwindel nicht auffällt. Selbst ein komplett sicherer PC kann durch einen kompromittierten Router angegriffen werden.

Also iTAN ist NICHT sicher!

Benutzer BuergerFloyd schrieb:


mTan ja anscheinend auch nicht. So what?

Benutzer tatort schrieb:

sicher wird es erst wenn die banken anfangen zu verbieten dass die eingegebenen Daten in fremde Geräte (Rechner) und fremde Programm (Betriebssystem/browser/Bankprogramm/..) eingetragen werden dürfen sondern mindestens eigene Programme verlangen (etwa mit StartCD oder Start-USB-Stab) oder noch besser mit eigenen Geräten (Eingabe und Anzeige gerät) das sich in einen vorhandenen netzzugang mit Verschlüsselung mit der Bank verbindet.

solange banken zulassen die Daten an Fremde weiterzugaben bleibt alles unsicher.

Ich nutze die Photo-TAN.

Benutzer namorico schrieb:


? was isn das?

Benutzer spunk_ schrieb:

http://www.comdirect.de/cms/photo-tan.html?eCRMLink=S#phototan

Benutzer namorico schrieb:



also sehr sehr unsicher weil:

auf Fremdgeräten mit Fremdprogrammen und sogar Fremdbetriebssystem nutzbar.

Gar nicht.
Um die App zu aktivieren, muss man einen Photo-Code einlesen, der zuvor per Brief geschickt wird.

Benutzer spunk_ schrieb:

Benutzer namorico schrieb:

na eben: dieses Programm läuft auf Fremdgerät (das Mobiltelefon ist sicherlich nicht von der Bank zwingend vorgeschrieben udn wird sicherlich nicht von der Bank ausgegeben) zudem läuft darauf ein fremdes Betriebssystem (evtl. Android oder eine der alternativen android-Systeme oder gar IOS oder WinPhone) vollkommen ohne Kontrollmöglichkeit des Kun den oder der Bank.

total unsicher also.

Also du kennst das Photo-TAN-System nicht, aber du weißt, wie unsicher das ist. Alles klar.

Benutzer namorico schrieb:

du weisst dass das Mobiltelefon sicher ist?
du weisst dass das eingerichtete Betriebsystem sicher ist?
du weisst dass das zugehörende TAN-Programm sicher ist?

alles klar.


solange eine Bank anzeptiert dass die Daten auf fremden unsicheren Geräten mit fremden unsicheren Betriebssystemen und fremden unsicheren Programmen eingegeben und angezeigt werden ist mit Sicherheit an Sicherheit nicht zu denken.

Ein Netbook/Tablet von der Bank, welches nur für Transaktionen und Kommunikation mit der Bank genutzt werden kann ist sicher eine gute Idee - und wenn es gewissenhaft umgesetzt wird, auch nicht angreifbar. Vielleicht sollte man ähnlich dem Kindle Reader noch den Internetzugang (vielleicht weltweit) fest einbauen.

Allerdings würde der einmalige Anschaffungspreis (und vielleicht monatliche Kosten) viele Kunden abschrecken - denn es geht ja auch ohne und "es wird schon nichts passieren".

Benutzer BuergerFloyd schrieb:


egal welches Systeme: derzeit erwartet jede mirbekannte Bank für die Dienstleistung über Internet, dass alle Datern an Fremde weitergegeben werden müssen.
vollkommen ohne Kontrolle durch den Kunden und die Bank.


es recith ein einfaches Eingabegerät. es muss keine Bilddarstellung haben - ich stelle mir das ähnlich "billig" vor wie diese Smart-TAN-Apparate. nur eben eine Netzverbindung mit WLAN/LAN/o.ä.

Benutzer BuergerFloyd schrieb:


Bevor man argumentiert, sollte man zumindest das reelle Bedrohungsszenario kennen. Niemand betreibt einen solch absurden Aufwand, üblich ist es per Popup möglichst viele iTANs anzufordern, damit "das Konto nicht gesperrt wird" o. ä, so daß "Finanzagenten" dann später per ganz regulärem Login das Konto abräumen können.

Wer Banking-Software verwendet, ist von der Webseiten-Malware sowieso nicht betroffen. Die Anzahl der Hibiscus-Anwender ist bspw. schlicht zu klein, damit lohnende Angriffe möglich werden...

Benutzer jtsn schrieb:

Diesen Aufwand (nämlich das Programmieren und Testen des Trojaners) brauch man ja nur einmal (pro Bank) machen und dann raus in die Welt schicken, Viren verteilen sich und arbeiten ja selbstständig. Und da bei dieser Methode der Betrug erst Tage später auffällt, haben die Kriminellen auch genug Zeit das Geld weiterzuleiten oder abzuheben.

Das Bedrohungsszenario ist durchaus real! Ich bin selbst Web-Programmierer und schätze den Aufwand auf weniger als einen Arbeitstag, um einen Trojaner für eine bestimmte Bank anzupassen. Und wenn man die drei größten Banken abgedeckt hat, hat man Millionen potenzielle Opfer.

Der Aufwand für einen Angriff auf mTAN, nämlich für jeden einzelnen Kunde die SIM-Karte beim Anbieter zu bestellen, ist sehr viel aufwändiger und riskanter und lohnt daher nur bei gut gefüllten Konten.

Benutzer BuergerFloyd schrieb:


Der Betrug scheitert am Online-Überweisungslimit.

Benutzer BuergerFloyd schrieb:


Seltsam, eine der größten deutschen Direktbanken hat bis heute auf die Einführung der mTAN völlig verzichtet und setzt weiterhin auf die iTAN, (bei sehr weitgehender Haftungsfreiststellung des Kunden). Offenbar ist der Schaden durch Betrug mit der iTAN insgesamt geringer als die Kosten des SMS- Versands wären.

Ich würde mich als Kunde nicht auf die Haftungsfreistellung der Bank verlassen - wenn kurz vor dem Urlaub das ganze Geld weg ist, weiß ich nicht, ob die Bank innerhalb von Stunden unbürokratisch hilft - vielleicht am Sonntag. Wenn man als Kunde weiß, dass iTAN unsicher ist, sollte man auf andere Verfahren umsteigen.

Soweit ich weiß, bieten auch die Direktbanken mindestens HBCI an (Terminal mit Chipkarte).

Benutzer BuergerFloyd schrieb:


Ja, aber völlig unpraktikabel. Bei mir laufen die meisten Bankgeschäfte per Lastschrift. Die Zahl der online- Überweisungen pro Jahr kann ich an einer Hand abzählen. Ich weiß aber nicht, ob es Anderen genau so geht. Der Aufwand eines Terminals lohnt in meinen Augen nicht. Vermutlich müsste ich es noch selbst bezahlen. Da nehme ich lieber ein "Rest"- Risiko in Kauf.

Höchstwahrscheinlich muss man das Terminal und die Karte bezahlen - aber das sind Einmalkosten.

Bei einem Auto bezahlt man eine Versicherung - auch wenn man nur 3x im Jahr fährt. Dort ist es sogar verboten, ohne Versicherung unterwegs zu sein. ;-)

Benutzer BuergerFloyd schrieb:


nur Haftpflicht ist Pflicht (also der Schaden an anderen)

Kasko (egakl ob Teil- oder Voll-) ist freiwillig. lohnt sich auch nur wenn der mögliche Restwert höher als ein selber verkraftbarer Schaden ist. selber lass ich meine Autos nach 5 oder 6-7 jahren immer ohne Versicherung fahren.

denn eine Versicherung lohnt sich für den Kunden nur wenn sie genutzt wird (im Gegensatz zur Versicherung: da lohnt sich eine Versicherung immer - wenn sie nicht genutzt wird als Gwinn durch die jährl. Kosten - wenn sie genutzt wird durch Erhöhung der jährlichen kosten)

Benutzer BuergerFloyd schrieb:

Damit das ganze Geld weg
ist, braucht es weit mehr
als eine einzige iTAN.