Banken mit/ohne MobileTAN-Zwang?

wo liegt der Nachteil beim mobilen TAN?

Almoehy — Thu, 15 Nov 2012 08:13:32 GMT

Hab auch lange nichts davon gehalten, aber die Vorteile überwiegen dann doch. Extrakosten dürfen dafür halt nicht anfallen. Tun sie bei mir auch nicht.

Re: Banken mit/ohne MobileTAN-Zwang?

lsr2 — Wed, 14 Nov 2012 23:08:27 GMT

Easybank.

Nur liegt dann dein Geld halt beim Cerberus

Re(7): Banken mit/ohne MobileTAN-Zwang?

weili — Wed, 14 Nov 2012 20:48:18 GMT

dann weiss ich ja zumindest, dass etwas nicht stimmt und ruf die bank an. lässt sich bestimmt alles relativ leicht rückgängig machen.

korrigiere mich falls ich jetzt komplett daneben liege.

Re(9): Zu dieser blöden Verschwörungstheorie von mir ...

Ardjan — Wed, 14 Nov 2012 15:09:52 GMT

Der Bank braucht ja das Modell um der richtige Version vom Update zuschicken zu können!

Re: Zu dieser blöden Verschwörungstheorie von mir ...

Diabolo2000 — Wed, 14 Nov 2012 15:06:06 GMT

Eine Schadsoftware die sowohl auf Mobiltelefon und Computer installiert werden muss und aktive Mithilfe des Users mit einem auffälligen Popup erfordert?

Das kann doch nicht dein Ernst sein.

Jemandem der auf so etwas reinfällt gehört so und so der Internetführerschein entzogen.

Re: Banken mit/ohne MobileTAN-Zwang?

*Weinberg — Wed, 14 Nov 2012 14:17:49 GMT

IMHO ist aber der Papier-Tan sicher.

Selbst wenn meine Tan-Liste von wem kopiert wurde, kann er nicht wirklich was damit anfangen.

Jetz hab ich schon seit etlicher Zeit den i-Tan, aber früher wurde man beim Freigeben der Überweisung aufgefordert, den Tan mit der vorgestellten Ziffernfolge z.B. 69 xxxxx einzugeben.

Wobei die vorangestellten 2 Stellen auf der Tan-Liste nicht durchnumeriert sind, sondern willkürlich gewählt sind.

Ausserdem musste man die Eingabe innerhalt von 5 oder 10 ? Minuten tätigen, da ansonsten der Vorgang abgebrochen wird.

Natürlich ist nix 100%ig, aber um da gelinkt zu werden, muss man sich schon blöd anstellen.....

Re(9): Zu dieser blöden Verschwörungstheorie von mir ...

User352294 — Wed, 14 Nov 2012 14:06:29 GMT

aber wenns doch ein Update machen müssen ...

Re(4): Banken mit/ohne MobileTAN-Zwang?

*Weinberg — Wed, 14 Nov 2012 14:05:27 GMT

..... dürfte man eigentlich ja nur noch mit bargeld einkaufen gehen .....

...und da fladern sie Dir das Geldbörsl.....

Re(8): Zu dieser blöden Verschwörungstheorie von mir ...

Roliboli — Wed, 14 Nov 2012 14:04:43 GMT

schon, aber die Bank hat ja die Nummer eh schon

Re(7): Zu dieser blöden Verschwörungstheorie von mir ...

User352294 — Wed, 14 Nov 2012 13:59:20 GMT

Nunja, OHNE Nummer KEINE SMS!

Re(4): Zu dieser blöden Verschwörungstheorie von mir ...

Newbie007 — Wed, 14 Nov 2012 13:57:14 GMT

Aber warum sollte das mTAN-Verfahren hier unsicherer sein?

Weils sichs der Chef einbildet

Das Tan abtippen gehts sinvoll nur mit Papiertans weil da gleich ein haufen Tans eingegeben werden.

Re(8): Zu dieser blöden Verschwörungstheorie von mir ...

Roliboli — Wed, 14 Nov 2012 13:56:56 GMT

SMS ist SMS da ist das Handymodell wurscht.

Re(3): Zu dieser blöden Verschwörungstheorie von mir ...

hellbringer — Wed, 14 Nov 2012 13:54:32 GMT

Nein, es funktioniert anders: Ein Trojaner am PC checkt ob eine
Online-Banking Webseite offen ist. Wenn ja, wird ein Fenster gezeigt wo steht
das es ein 'Sicherheitsupdate' fürs mTAN gibt, und der Bitte Handymodell und
-Nummer ein zu geben. Dann kommt ein SMS aufs Handy, mit einen Link zum
'Sicherheitsupdate'. Jetzt gibt es auch ein Trojaner am Android-Handy.Jetzt
können die Kriminellen selber Online-Banking machen, weil ankommende mTANs an
sie weitergeleitet werden...

Aber warum sollte das mTAN-Verfahren hier unsicherer sein? Der "klassische" Anwendungsfall wäre eben, dass der Trojaner direkt am PC zur Eingabe des nächten TANs auffordert. Warum also überhaupt den Umweg über das Handy nehmen, wenn man den TAN auch direkt vom Benutzer bekommt? Ob er diesen von einem Zettel abtippt oder vom Handy ist ja dann auch schon egal.

Re(7): Zu dieser blöden Verschwörungstheorie von mir ...

Ardjan — Wed, 14 Nov 2012 13:52:26 GMT

Handymodell, weil sie der richtige Version der mTAN-Sicherheitsupdate einspielen müssen...

Re(2): Zu dieser blöden Verschwörungstheorie von mir ...

Ardjan — Wed, 14 Nov 2012 13:51:17 GMT

Nein, es funktioniert anders: Ein Trojaner am PC checkt ob eine Online-Banking Webseite offen ist. Wenn ja, wird ein Fenster gezeigt wo steht das es ein 'Sicherheitsupdate' fürs mTAN gibt, und der Bitte Handymodell und -Nummer ein zu geben. Dann kommt ein SMS aufs Handy, mit einen Link zum 'Sicherheitsupdate'. Jetzt gibt es auch ein Trojaner am Android-Handy.
Jetzt können die Kriminellen selber Online-Banking machen, weil ankommende mTANs an sie weitergeleitet werden...

Re(6): Zu dieser blöden Verschwörungstheorie von mir ...

Roliboli — Wed, 14 Nov 2012 13:49:40 GMT

das und das sie mein Handymodell wissen wollen und die Nummer wissen wollen.

Re(5): Zu dieser blöden Verschwörungstheorie von mir ...

User352294 — Wed, 14 Nov 2012 13:30:27 GMT

Das einzige, was mir komisch vorgekommen wäre, wäre das anklicken eines Links in einer SMS!
Trojaner bekomme ich nicht mit am Computer und ein "Update" wäre doch auch legitim!

Re(4): Zu dieser blöden Verschwörungstheorie von mir ...

Roliboli — Wed, 14 Nov 2012 13:27:59 GMT

mit Android wärs auch nicht passiert wenn man net ohne nach zu denken irgendwo einfach seine Daten eingibt

Re(3): Zu dieser blöden Verschwörungstheorie von mir ...

User352294 — Wed, 14 Nov 2012 13:13:43 GMT

Hey, nicht falsch verstehen ... mit einem Nokia wäre das auch nicht passiert!

Re(2): Zu dieser blöden Verschwörungstheorie von mir ...

Roliboli — Wed, 14 Nov 2012 13:12:35 GMT

an apple a day keeps the robber away..

Re: Zu dieser blöden Verschwörungstheorie von mir ...

User352294 — Wed, 14 Nov 2012 13:10:10 GMT

Android ...

Re: Zu dieser blöden Verschwörungstheorie von mir ...

hellbringer — Wed, 14 Nov 2012 13:01:19 GMT

Dass es nicht besonders schlau ist am selben Gerät, wo ma auch die Überweisung tätigt, die SMS zu empfangen, hat eigentlich niemand bestritten, oder?

Zu dieser blöden Verschwörungstheorie von mir ...

mjy@geizhals.at — Wed, 14 Nov 2012 12:57:43 GMT

Hier im Thread wurde ja von diversen Ahnungslosen versucht, die Gefahren von Mobile-TAN kleinuzreden.

Tja, so sieht das heute aus: http://www.berlin.de/polizei/presse-fahndung/archiv/377949/index.html

Re(3): Banken mit/ohne MobileTAN-Zwang?

ruprecht69 — Mon, 25 Jun 2012 21:40:24 GMT

Sicherheit war für mich ein Grund bei der BA auf mTans umzusteigen. Die Kasperln haben damals die Verfügernummer auf den TAN Zettel gedruckt, weiß nicht ob das immer noch so ist, aber das war für mich sicherheitstechnisch ein wenig katastrophal.

Re(10): Banken mit/ohne MobileTAN-Zwang?

cwa — Mon, 25 Jun 2012 11:59:22 GMT

Ja wie gesagt, ich bin bei der Bawag

Re(5): Banken mit/ohne MobileTAN-Zwang?

Stage2 — Mon, 25 Jun 2012 11:36:06 GMT

Natürlich kann man immer alles irgendwie knacken, aber ich denke, dass dieses CardTAN Verfahren das derzeit sicherste am "Markt" ist.

Re(4): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Mon, 25 Jun 2012 10:26:47 GMT

aber dann kann er genau DIE Überweisung unterschreiben, die du selbst
unterschreiben wolltest - und keine andere.

Wie schon woanders geschrieben: der Angriff setzt wie bei entwendeten iTANs voraus, dass er Zugang zum Konto hat. Dann kann er selbst beliebige Überweisungen starten und die MobileTANs dafür abfangen und sie unterschreiben.

Re(3): Banken mit/ohne MobileTAN-Zwang?

saxandl — Mon, 25 Jun 2012 10:00:02 GMT

Dass mobiler Datenverkehr nicht nur vom ISP, sondern auch von Dritten leicht umgelenkt und mitgeschnitten werden kann ( ),...

das mag sein, dass ein "Dritter" den Tan abfängt, aber dann kann er genau DIE Überweisung unterschreiben, die du selbst unterschreiben wolltest - und keine andere.

Re(9): Banken mit/ohne MobileTAN-Zwang?

*patrick star* — Mon, 25 Jun 2012 09:14:44 GMT

welcher schaden soll dir durch einen imsi catcher entstehen wenn du kein opfer einer midm attacke bist?

Re(5): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Mon, 25 Jun 2012 08:53:15 GMT

warum kann man bankomatkarten einfach duplizieren und im ausland damit
abheben?

das geht gar nicht - hat die Bak gesagt

Re(5): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Mon, 25 Jun 2012 08:53:15 GMT

warum kann man bankomatkarten einfach duplizieren und im ausland damit
abheben?

das geht gar nicht - hat die Bank gesagt

Re(8): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Mon, 25 Jun 2012 08:50:50 GMT

Davor kann ich mich ebenfalls schützen.

Vor einem IMSI-Catcher nicht, der liegt außerhalb meines Einflussbereichs.

Re(10): Banken mit/ohne MobileTAN-Zwang?

user96106 — Mon, 25 Jun 2012 08:49:15 GMT

das mag schon stimmen. aber was machst bei online shopping etc? das teil loggt auch kreditkartendaten etc. mit

Re(9): Banken mit/ohne MobileTAN-Zwang?

*patrick star* — Mon, 25 Jun 2012 08:47:51 GMT

kommt darauf an. wenn du den user mit autocomplete einsetzt bzw. bei einigen bankings musst du einen teil der credentials zusammenclicken kommt der keylokgger nicht weit.

Re(8): Banken mit/ohne MobileTAN-Zwang?

user96106 — Mon, 25 Jun 2012 08:41:49 GMT

wennst einen keylogger auf deiner kistn hast bist so oder so eine arme sau

Re(7): Banken mit/ohne MobileTAN-Zwang?

*patrick star* — Mon, 25 Jun 2012 08:39:08 GMT

und wenn dein browser infiziert ist und das ganze vor dem ssl handshake abgreift.
siehe z.b. browserplugins ala tamper im firefox

Re(4): Banken mit/ohne MobileTAN-Zwang?

user96106 — Mon, 25 Jun 2012 07:14:07 GMT

warum kann man bankomatkarten einfach duplizieren und im ausland damit abheben?

irgendwo im system gibt es immer eine schwachstelle. mag sein, dass dieses system etwas mehr sicherheit bietet, aber das es nicht knackbar wäre, davon würde ich nicht ausgehen.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Stage2 — Mon, 25 Jun 2012 06:20:26 GMT

Ähm, ich brauche meine Bankomatkarte - muss meinen PIN eingeben UND der Flicker muss den richtigen Code übermitteln, wie willst das bitte knacken??

Abgesehen davon, dass der "Hacker" noch die Zugangsdaten deines Online Banking benötigt...

Re(6): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Sun, 24 Jun 2012 20:44:44 GMT

Vor einer MITM-Attacke bei https warnt mich http://perspectives-project.org/

Gegen einen Angriff mit einem IMSI-Catcher um ~1000 EUR kann ich nichts ausrichten, ich bemerke ihn nicht.

Re(5): Banken mit/ohne MobileTAN-Zwang?

*patrick star* — Sun, 24 Jun 2012 20:34:01 GMT

wenn du schon opfer einer mitm attacke bist, wird er deinen statischen tan abfangen und damit eine überweisung druchführen und dir vorspielen das deine ok gegangen ist.

Re(2): Banken mit/ohne MobileTAN-Zwang?

user96106 — Sun, 24 Jun 2012 16:55:06 GMT

nunja wir alle wissen aber auch wie sicher bspw. secureid tokens sind.

Re(7): Banken mit/ohne MobileTAN-Zwang?

frabos — Sun, 24 Jun 2012 16:49:30 GMT

Find ich nicht- wenn man e-banking betreibt dann sollte man nicht übers gleiche Handy Internet und SMS-Empfang betreiben.

Re(6): Banken mit/ohne MobileTAN-Zwang?

Thunder — Sun, 24 Jun 2012 16:37:37 GMT

das eine ist dummheit, die sache mit dem handy eine tatsache inkl unglücklichem umstand.

Re(5): Banken mit/ohne MobileTAN-Zwang?

frabos — Sun, 24 Jun 2012 11:00:52 GMT

Naja- es gibt auch Leute, die ihre Pin auf die Karte schreiben oder sich von Mails verleiten lassen, 20 Tannummern einzugeben...ggg

Re: Banken mit/ohne MobileTAN-Zwang?

Stage2 — Sun, 24 Jun 2012 08:26:32 GMT

Habe mein ELBA kürzlich auf CardTAN umstellen lassen, dass sollte auch für deine Ansprüche genügen!

Da bekommst einen kleinen Generator, wo du deine Bankomatkarte reinstecken musst. Im ELBA wird dann ein optischer Code (ich glaub das nennt sich FLicker in der Fachsprache) angezeigt den die Kamera einfängt und einen TAN generiert.

Das Gerät ist nicht größer als eine Bankomatkarte und funktioniert super!

Re(4): Banken mit/ohne MobileTAN-Zwang?

Thunder — Sun, 24 Jun 2012 04:54:18 GMT

Das System lebt ja vom dualen Zugang Computer und Handy

so gut wie jede bank hat ein ebanking app. wenns blöd hergeht und die ebankinganwendung gerade aktiv ist, kommt der tan gleich aufs selbe gerät - auch praktisch.

Re: Banken mit/ohne MobileTAN-Zwang?

m3t4tr0n — Sat, 23 Jun 2012 14:46:07 GMT

Sei froh - in Deutschland zahlt man bei den meisten Banken auch noch für die SMS (etwa bei den Stadtsparkassen 9 Cent).

Re(3): Banken mit/ohne MobileTAN-Zwang?

m3t4tr0n — Sat, 23 Jun 2012 14:44:16 GMT

und wieviele dieser lösungen funktionieren fernab von windows?

AFAIK hat der Generator der Raiffeisen eine optische Schnittstelle → OS-unabhängig.

Re(7): Banken mit/ohne MobileTAN-Zwang?

frabos — Sat, 23 Jun 2012 11:55:01 GMT

Ich hab ja nicht behauptet, eine mTan sei der Weisheit letzter Schluss- nur bei einer mTan muss er PC UND Handy (Sim kopieren) knacken- bei einer Papier-Tan reicht es, wenn er meinen PC unter Kontrolle hat und bei der Eingabe die Tan abfängt. Also geh ich mal davon aus das beide Verfahren nicht sehr sicher sind (wenn man seinen Computer nicht unter Kontrolle hat) aber mTan bequemer ist.

Re(2): Banken mit/ohne MobileTAN-Zwang?

user96106 — Sat, 23 Jun 2012 08:37:38 GMT

und wieviele dieser lösungen funktionieren fernab von windows? ich kauf mir doch keinen windows rechner, nur damit mein online banking angeblich sicherer wird.

Re: Banken mit/ohne MobileTAN-Zwang?

andvol — Sat, 23 Jun 2012 08:35:53 GMT

Bin bei der steirischen Landesbank und da funktioniert das problemlos. Hab noch nie in meinem Leben einen mobilen TAN Code benutzt!

mfg
Andy

Re(9): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Sat, 23 Jun 2012 07:46:44 GMT

man braucht in jedem Fall auch den Kontozugang.

das immer.
Das spricht aber weder für noch gegen eine Methode, das ist bei beiden gleich.

Er stellt sich in seinem IMSI-Catcher-Mobil irgendwo hin

dazu muß er aber doch in deiner Nähe sein und auch noch wissen, an welche Nummer die SMS geht. Denn die Nummer wird in den Einstellungen NICHT vollständig angezeigt.

weiß nicht warum das so schwer zu verstehen ist.

ich versteh dich schon.
Ich versteh nur nicht, warum du diese Bedrohung als größer und gefährlicher ansiehst als die bei anderen Methoden.

Re: Banken mit/ohne MobileTAN-Zwang?

mb_82 — Sat, 23 Jun 2012 06:02:52 GMT

Dann such dir eine Bank die cardTAN anbietet oder frag nach ob sie das nicht schon selbst machen.

Dabei steckst du deine Bankomatkarte in einen Kartenleser mit Scanner der in Kombination mit einem Flickr am Bildschirm eine TAN generiert die nur auf diese eine Überweisung passt. Sollte derzeit ziemlich sicher sein das Verfahren.

Re(3): Banken mit/ohne MobileTAN-Zwang?

matrox — Fri, 22 Jun 2012 22:16:55 GMT

versuchs doch mal mit der bürgerkarte. auf der e-card kostenlos freischaltbar.
(k.a., ob das alle banken anbieten.)

Re(6): Banken mit/ohne MobileTAN-Zwang?

ZombyKillah — Fri, 22 Jun 2012 21:20:46 GMT

Annahme:
- Hacker kann auf dein eBanking zugreifen (user und passwort bekannt)
Nun ist das ja der Zustand in welchen der TAN Sicherheit geben soll.
In den Settings kann er nun nachsehen, welche Tel. du hast ...
Mit den entsprechenden equipment deine SIM im Netz simulieren, einen Auftrag eingeben und mit mTAN zeichnen sagen ...
Du sitzt gerade in der Schnellbahn und wunderst dich, warum du einen TAN zugesendet bekommst ... welcher der Hacker auch gerade empfängt ...

=> du bekommst die TAN die der Hacker angefordert hat ...
Habe ja nie behauptet, dass der Hacker die TAN für sein konto angefordert hat.

Re(10): Banken mit/ohne MobileTAN-Zwang?

Fitz — Fri, 22 Jun 2012 19:50:21 GMT

ACK

Re(5): Banken mit/ohne MobileTAN-Zwang?

Fitz — Fri, 22 Jun 2012 19:44:34 GMT

Yep, gerade auf RTL findet sich fast nur mehr Scripted Reality Nonsens...

Re(5): Banken mit/ohne MobileTAN-Zwang?

frabos — Fri, 22 Jun 2012 19:01:16 GMT

Wie bitte? Versteh ich jetzt nicht. Warum sollte ich die mTan eines Hackers haben?

Re(4): Banken mit/ohne MobileTAN-Zwang?

ZombyKillah — Fri, 22 Jun 2012 16:35:06 GMT

Was fängst du mit der mTAN des Hackers an wenn du in der Schnellbahn sitzt?

Re(4): Banken mit/ohne MobileTAN-Zwang?

ZombyKillah — Fri, 22 Jun 2012 16:34:28 GMT

Dafür kann ein Angreifer den TAN bei der Eingabe abfangen und für eigene
Zwecke missbrauchen. Wenn jemand den mobilen TAN abfängt, kann er damit genau
gar nix anfangen. Also was bringt ihm das?

Wenn der Computer einmal derart verseucht ist, kann weder ein mobileTAN noch ein TAN irgendwas machen.

Der mobileTAN wurden in der Praxis bereits mit einfachen Mitteln hintergangen ...
durch die Leichtgläubigkeit des Providers dass man die eigene Tel. auf den neuen Vertrag übernimmt ...
Die Zugriffsdaten auf das Bankkonto war vorher bereits bekannt ... dort war den Settings die Telefonnummer angezeigt ... auf ein Mehrwerttelefon wurde dann einfach die Telefonummer übernommen und abkassiert.
Tatort: Australien

Wenn man jetzt bedenkt, dass nach heutigen Stand der Technik, für das abhören der SMS nicht mal mehr die kooperation der Provider von nötgen ist ... es also ausreicht benutzer, telefonnumer und passwort zu kenne ...

Ich verstehe nicht, was die Banken im mobileTAN sehen.
Es kann die Sicherheit nicht heben.
Bleibt also nur die Möglichkeit das die Haftung sich ändert.

Re(4): Banken mit/ohne MobileTAN-Zwang?

Justin B. — Fri, 22 Jun 2012 15:29:35 GMT

ich würd ned alles glauben was im tv, insbesondere auf RTL, gezeigt wird.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Superfast — Fri, 22 Jun 2012 15:19:31 GMT

nur gilt nun zusätzlich dieses Limit bei Überweisung ohne MobileTAN.

Jep, ich schreib meinem Bankmenschen immer, aufesetzen des Limit für den Tag dann geht es auch

Lästig ist, jedoch sind es die Doddln denen wir es zu verdanken haben!

Da war eine einmal im TV(eh RTL) die hat alle 100 TAN abgetippt und denen geschickt.

Das war für die Verbrecher wie ein Elfer mit einem blinden Torwart

Re(6): Banken mit/ohne MobileTAN-Zwang?

Justin B. — Fri, 22 Jun 2012 14:49:32 GMT

Die wurden dir aber sicher nicht ausn Postkasten gestohlen.
Die chance ist doch recht recht gering, dass ein böser Menschen genau an dem Tag wo der Brief ankommt, seine Finger im Spiel hat.

Re(12): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:39:15 GMT

Sicher aber glaubst du wirklich das sowas gezielt gemacht wird

Ich kann es mir vorstellen - ist jedenfalls weitaus weniger dumm und erfolgsversprechender als ein Bankraub und der passiert sehr häufig (http://blogs.wsj.com/ideas-market/2012/06/13/bank-robbery-doesnt-pay-much/ ).

ist es echt so einfach eine SMS abzufangen?

Ja! Wird doch von Ermittlern andauernd gemacht - und einen Anruf vorzutäuschen ist genauso einfach, leider.

Re(12): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:39:15 GMT

Sicher aber glaubst du wirklich das sowas gezielt gemacht wird

ist es echt so einfach eine SMS abzufangen?

Ja! Wird doch von Ermittlern andauernd gemacht - und einen Anruf vorzutäuschen ist genauso einfach, leider.

Außerdem: diese "billigen" IMSI-Catcher wurden bereits 2008 demonstriert. Seitdem sind sicher zig Hobbyisten und vermutlich auch einige Kriminelle am Experimentieren mit so etwas, das ist ja kein Geheimnis und keine Hexerei mehr.

Re(12): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:39:15 GMT

Sicher aber glaubst du wirklich das sowas gezielt gemacht wird

ist es echt so einfach eine SMS abzufangen?

Ja! Wird doch von Ermittlern andauernd gemacht - und einen Anruf vorzutäuschen ist genauso einfach, leider.

=> http://www.interceptors.com/intercept-solutions/Passive-GSM-Interceptor.html

Außerdem: diese "billigen" IMSI-Catcher wurden bereits 2008 demonstriert. Seitdem sind sicher zig Hobbyisten und vermutlich auch einige Kriminelle am Experimentieren mit so etwas, das ist ja kein Geheimnis und keine Hexerei mehr.

Re(12): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:37:20 GMT

. ich meine zig mtan anfragen und keine wird dann quitiert da hat es ja was.

Ganz normaler Fall wenn mal ein Mobilfunknetz ausfällt / überlastet ist und der User es deshalb mehrmals probiert weil er ungeduldig ist.

wenn ich beim login 3 oder 5 mal das falsche pw eingebe ist ja auch gleich mal schicht im schacht.

Falsche Eingabe und Übermittlung verzögert oder nicht erfolgreich, sind 2 paar Schuhe. Ist ja auch nicht so dass dein Konto gesperrt wird wenn du 3 Minuten lang kein Passwort eingibst.

Re(11): Banken mit/ohne MobileTAN-Zwang?

john-cord — Fri, 22 Jun 2012 14:36:51 GMT

Sicher aber glaubst du wirklich das sowas gezielt gemacht wird bzw. ist es echt so einfach eine SMS abzufangen?

Re(10): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:35:28 GMT

Wie er dann an die Tans kommt ist beim Mobilen Tan weitaus aufwändiger als einen Tan Brief abzufangen.

Nein, eben nicht. Es ist viel einfacher (kein physischer Zugriff nötig) und vor allem kann der Angreifer sich einen geeigneten Zeitpunkt aussuchen statt monate- bis jahrelang den Briefkasten durchsuchen zu müssen.

Re(9): Banken mit/ohne MobileTAN-Zwang?

john-cord — Fri, 22 Jun 2012 14:33:49 GMT

Sicher, ohne Risiko ist keins der beiden Verfahren aber in beiden Fällen muss der Angreifer zugriff auf dein E-Banking Konto haben. Wie er dann an die Tans kommt ist beim Mobilen Tan weitaus aufwändiger als einen Tan Brief abzufangen.

Schlussendlich ist es also wurscht welches Tan Verfahren du verwendest solange du deine Zugangsdaten schützt.

Re(11): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 14:29:14 GMT

ist halt die frage ob die bank dann nicht vorher was sperrt. ich meine zig mtan anfragen und keine wird dann quitiert da hat es ja was. wenn ich beim login 3 oder 5 mal das falsche pw eingebe ist ja auch gleich mal schicht im schacht.

Re(11): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 14:28:06 GMT

bei easybank und bawag geht immer alles.

Re(10): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:25:09 GMT

insofern schaust du bei dir jedesmal im ebanking nach ob mtan aktiv ist?

Wenn man MobileTAN aktiviert, geht iTAN gar nicht mehr bei der BA, also ist das einfach.

Re(10): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 14:24:10 GMT

Dann probiert er es halt so lange bis es hinhaut. Ich schlafe ja in der Zwischenzeit...

Re(9): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 14:18:04 GMT

wozu so umständlich?

ein iTAN reicht aus um eine beliebige handynummer für mtan freizuschalten. bei vielen ebanking seiten bekommst nichtmal mit ob mtan freigeschalten ist oder nicht. da man so oder so immer per itan, mtan oder signaturkarte zeichnen können und man erst beim absenden darauf aufmerksam gemacht wird das bspw. mtan gar nicht aktiv ist.

insofern schaust du bei dir jedesmal im ebanking nach ob mtan aktiv ist?

Re(9): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 14:14:53 GMT

das garantiert aber noch immer nicht, dass er in der gleichen funkzelle ist.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Thing — Fri, 22 Jun 2012 13:22:33 GMT

Also zumindest bei der Easybank ist es so, dass innerhalb der SMS weder die BLZ noch der Betrag enthalten ist.

Es stehen darin lediglich die letzten 7 Stellen der Empfänger-Kontonummer (davor sind Sternchen) und die fünfstellige mTAN.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Thing — Fri, 22 Jun 2012 13:22:33 GMT

Re(12): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 13:18:36 GMT

Und der Briefträger ist natürlich 100% vertrauenswürdig? Genauso wie die
neuen, offenen Postkastl?

Wie bereits geschrieben: wenn der TAN-Brief gar nicht ankommt oder geöffnet wurde, dann merke ich das im Normalfall. Und um den abzufangen muss man (bei mir) ca. 1 Jahr lang jeden Tag in den Briefkasten schauen, denn häufiger bekomme ich sie nicht.

Re(11): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 13:16:51 GMT

Was alles noch sein könnte und im Normalfall nicht ist, ändert aber wenig an
dieser Schwachstelle. Solange der SMS-Empfang so unsicher ist und auch von
Behörden regelmäßig umgeleitet wird, ist das kein adäquater Mechanismus um
einen TAN zu übertragen.

Und der Briefträger ist natürlich 100% vertrauenswürdig? Genauso wie die neuen, offenen Postkastl?

Re(10): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 13:14:48 GMT

das erstmal deine IMEI+IMSI gefiltert werden muss um dein handy eindeutig zu identifizieren was in der stadt durchaus zur monatsaufgabe werden kann...

Ach was, solche Angriffe wurden doch schon mehrmals demonstriert.

Edit: gut möglich, dass das auch mit einer einzigen malware-Mail oder -SMS/-MMS möglich ist, Android & Co hatten ja schon genug Schwachstellen.

weiters könnte es ja möglich sein dass du 2 handy benutzt(firma+privat) die TANS lässt dir an dein privates schicken welches du über den tag nicht
mitführst => erschwert die identifizierung deines handy per IMSO catcher da ja
nur die IMSI deines firmenhandy's mitwandert

Was alles noch sein könnte und im Normalfall nicht ist, ändert aber wenig an dieser Schwachstelle. Solange der SMS-Empfang so unsicher ist und auch von Behörden regelmäßig umgeleitet wird, ist das kein adäquater Mechanismus um einen TAN zu übertragen.

Re(10): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 13:14:48 GMT

das erstmal deine IMEI+IMSI gefiltert werden muss um dein handy eindeutig zu identifizieren was in der stadt durchaus zur monatsaufgabe werden kann...

Ach was, solche Angriffe wurden doch schon mehrmals demonstriert.

weiters könnte es ja möglich sein dass du 2 handy benutzt(firma+privat) die TANS lässt dir an dein privates schicken welches du über den tag nicht
mitführst => erschwert die identifizierung deines handy per IMSO catcher da ja
nur die IMSI deines firmenhandy's mitwandert

Re(9): Banken mit/ohne MobileTAN-Zwang?

bigboss007 — Fri, 22 Jun 2012 13:10:36 GMT

Wo liegt das Problem?

das erstmal deine IMEI+IMSI gefiltert werden muss um dein handy eindeutig zu identifizieren was in der stadt durchaus zur monatsaufgabe werden kann...

weiters könnte es ja möglich sein dass du 2 handy benutzt(firma+privat) die TANS lässt dir an dein privates schicken welches du über den tag nicht mitführst => erschwert die identifizierung deines handy per IMSO catcher da ja nur die IMSI deines firmenhandy's mitwandert

Re(8): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 13:04:51 GMT

Nein, nicht immer. Nur dann, wenn er das machen will. Also stellt er sich um ca. 4 Uhr nachts neben meiner Wohnung auf die Straße und macht das. Wo liegt das Problem?

Re(8): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 13:03:43 GMT

Ich weiß nicht warum das so schwer zu verstehen ist.

Egal ob man einen iTAN oder einen MobileTAN klauen kann, man braucht in jedem Fall auch den Kontozugang. Da es angeblich iTAN-Missbrauch gab, wird das nicht daran gescheitert sein.

Nehmen wir also an, der Angreifer kann auf mein Konto zugreifen.

Er stellt sich in seinem IMSI-Catcher-Mobil irgendwo hin, loggt sich ein, startet eine Transaktion, der MobileTAN wird von seinem IMSI-Catcher abgefangen und er unterschreibt damit. So einfach geht das.

Re(7): Banken mit/ohne MobileTAN-Zwang?

bigboss007 — Fri, 22 Jun 2012 13:02:04 GMT

Gleich nachdem er die Transaktion einträgt und unterschreiben will

dann müsste er immer in der gleichen funkzelle sein wo du auch angemeldet bist

Re(8): Banken mit/ohne MobileTAN-Zwang?

Tintifax76 — Fri, 22 Jun 2012 12:57:48 GMT

ja dann ist das system der BACA nicht sehr sicher
ebenso bei der BAWAG, wie weiter oben jemand geschrieben hat

Re(7): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Fri, 22 Jun 2012 12:51:50 GMT

brauchte man bei der BACA nicht!

Re(7): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Fri, 22 Jun 2012 12:51:29 GMT

genau das meine ich:

1. man muß sich bei der Bank mit User+Pin einloggen
2. man gibt die Überweisung(en) ein und speichert sie am Server der Bak
3. man startet die Unterschrift
4. der Server der Bank scjickt mir die Überweisungsdaten (mit BLZ, Konto und Betrag) und einen zeitlich begrenzten TAN nur für diese angeführten Transaktionen
5. ich gebe den Tan an
6. TAN wird geprüft, Transaktion durchgeführt.

Man müßte PC UND das Hendi GLEICHZEITIG übernehmen, um mir die Aktion abnehmen zu können. Was aber noch nichts an meiner Zahlung/dem Empfänger ändert.

Um die auch noch umzuleiten, müßte man mir auch noch die Bank vorgaukeln, wo ich meine Summe und Empfängerdaten eingebe. Zeitgleich müßte man mit meinen Daten am echten Bankserver einloggen, dort die betrügerische Überweisung beginnen, und mit dem TAN, den ich aufs Hendi bekomme, signieren. Das alles in Echtzeit und so echt, daß ich überzeugt bin, wirklich auf der originalen https-HP der Bank zu sein.
Das erscheint mir als nicht PC-Experten etwas sehr SEHR aufwändig um nicht zu sagen: zumindest derzeit technisch unmöglich.
Ich kenne auch keinen Fall, wo das schon gelungen wäre.

Da wäre es doch viel viel einfacher, einen Papier-TAN als man-in-the-middle abzufangen und den dann später zu verwenden. DAS ist ja schon passiert.

Re(6): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 12:51:08 GMT

und wie meinst du weiss ein angreifer WANN du die SMS bekommst?

Gleich nachdem er die Transaktion einträgt und unterschreiben will. Am besten dann, wenn ich eher schlafe.

Re(5): Banken mit/ohne MobileTAN-Zwang?

bigboss007 — Fri, 22 Jun 2012 12:48:21 GMT

etwas umständlicher, da er nicht weiß, wann ich ihn per Post bekomme

und wie meinst du weiss ein angreifer WANN du die SMS bekommst?

Re(4): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 12:47:16 GMT

selbst wenn mittels zugriff durch einen IMSI catcher die sms mitgelesen wird hilft einem das noch gar nix weil ich ja 1.) noch keinen zugang zum konto habe
und 2.) ich eh nur die eine Überweisung zu der der mTAN generiert wurde
durchführen kann

MITM - wie auch mit dem Papierbogen braucht ein Angreifer natürlich Zugang zu meinem Online-Banking-Login (per Trojaner o.ä.).

Wenn er das hat, kann er zu einem beliebigen Zeitpunkt eine andere Transaktion starten, per IMSI-Catcher den MobileTAN abfangen und die Transaktion durchführen.

Um dasselbe mit einem iTAN zu erreichen, muss er den Papierbogen schon stehlen und das ist etwas umständlicher, da er nicht weiß, wann ich ihn per Post bekomme und auch verhindern muss, dass ich vom Diebstahl erfahre (meine Bank informiert mich ja über neue TAN-Bögen bzw. manche wollen den Erhalt bestätigt haben).

Re(3): Banken mit/ohne MobileTAN-Zwang?

Erinaceidae — Fri, 22 Jun 2012 12:45:58 GMT

Das müßte sich mit einem anonymen Zweithandy umgehen lassen das nur für diesen Zweck verwendet wird.

Re(2): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 12:42:25 GMT

Du wirst dich wohl oder übel an modernere Mechanismen gewöhnen müssen.
Papier-TANs werden immer weiter reduziert und spätestens 2014 komplett
aussterben.

Sieht wohl so aus ... Dafür weiß jetzt mein Mobilfunkanbieter immer wann ich wieviel an welche BLZ überweise und wo ich zu dem Zeitpunkt bin. Völlig unnötiges Datenleck.

Re(3): Banken mit/ohne MobileTAN-Zwang?

bigboss007 — Fri, 22 Jun 2012 12:15:53 GMT

diverse sicherheitsexperten so

naja eher "experten" würd mich interessieren was bei einem temporären TAN der nur einen einzigen überweisung zugeordnet ist und nur ~5min gültig ist unsicher sein sollte?
selbst wenn mittels zugriff durch einen IMSI catcher die sms mitgelesen wird hilft einem das noch gar nix weil ich ja 1.) noch keinen zugang zum konto habe und 2.) ich eh nur die eine Überweisung zu der der mTAN generiert wurde durchführen kann

Re: Banken mit/ohne MobileTAN-Zwang?

Gott — Fri, 22 Jun 2012 12:14:03 GMT

Du wirst dich wohl oder übel an modernere Mechanismen gewöhnen müssen. Papier-TANs werden immer weiter reduziert und spätestens 2014 komplett aussterben.

Raiffeisen bietet seinen Kunden cardTAN an. Vielleicht ist das ja etwas für dich.

Re(4): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 11:57:02 GMT

das sehe ich genauso. nur gibt es halt leute, die das anders sehen.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Robert Craven — Fri, 22 Jun 2012 11:47:21 GMT

Und was machst mit der SMS? Du musst zuerst noch Zugang zum online Banking erhalten. Und dann kannst du mit dem online TAN nur innerhalb von wenigen Minuten eine bestimmte Überweisung bestätigen. Für neue oder geänderte Aktionen brauchst du erst wieder einen neuen TAN.
Da sind offline TANs gefährlicher, weil hier ein Angreifer gleich eine lange Liste an gültigen TANs erhält und der Benutzer kein Feedback erhält bis der Kontoauszug kommt.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Tintifax76 — Fri, 22 Jun 2012 11:41:57 GMT

auf die straße gehen is auch unsicher, könntest ja überfahren werden

Re(6): Banken mit/ohne MobileTAN-Zwang?

Tintifax76 — Fri, 22 Jun 2012 11:40:37 GMT

wenn der tan bogen nicht mit einer tan eines "alten" bogens aktiviert ist, kannst damit gar nix machen
ist zumindest bei meiner raiba in oö so

Re(2): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 11:32:09 GMT

weil die angeblich so unsicher sind und jeder die sms abfangen könnte. zumindest behaupten das diverse sicherheitsexperten so

Re(9): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 11:31:25 GMT

ja ich weiss. bei mir bei der bawag war das aber damals so, sowie die neue tan sets verschickt haben wurde das alte set deaktiviert und das neue eingestellt. blöd halt, wenn du das neue tan set nie erhalten hast. steht ja auch bei den beiden tan sets dabei an welchem tag die versendet wurden.

Re(6): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 11:23:22 GMT

den einen mtan kannst einfach nicht zweck entfremden. vor allem was nützt er ohne login?

aber klar kann man mit irgendwelchen scannern irgendwelche sms umleiten oder mit trojanern am handy verhindern, dass der benutzer eine sms bekommt. in der theorie ist das alles immer wieder sehr schön was die jünger vom CCC da bringen. blos ob es in der praxis relavant ist, darüber denkt keiner nach.

Re: Banken mit/ohne MobileTAN-Zwang?

bigboss007 — Fri, 22 Jun 2012 11:04:32 GMT

Alternativ dazu können Sie auch unser mobileTAN Verfahren verwenden, für das
dieses Limit nicht gilt.

warum verwendest du nicht die mobileTAN's? gibts dafür einen speziellen grund?

Re: Banken mit/ohne MobileTAN-Zwang?

Tintifax76 — Fri, 22 Jun 2012 10:54:23 GMT

raiffeisenbank in oö zumindest

Re(3): Banken mit/ohne MobileTAN-Zwang?

*patrick star* — Fri, 22 Jun 2012 10:54:22 GMT

imo ist das risiko einer man in the browser attacke bei statischen tans wesentlich höher als das jemand deinen (an die transaktion gebundenen) mobile tan kommt.

Re(3): Banken mit/ohne MobileTAN-Zwang?

RuVy — Fri, 22 Jun 2012 09:58:29 GMT

Also bei der Raiffeisen ist der Mobile Tan 5 Minuten gültig und auch nur für die Anweisung/en für die der mTan angefordert worden ist.

Da kann mitlesen oder umlenken wer will, wenn der/die diesen einen mTan hat, muss er erst noch einloggen in "mein" Internet Banking und dann kann er mit dem gestohlenen Tan meine eingegebenen Anweisungen freigeben

Ist mir persönlich allemal lieber als die Papierliste ...

Re(6): Banken mit/ohne MobileTAN-Zwang?

zeddicus — Fri, 22 Jun 2012 09:48:50 GMT

+1
Find das System eigentlich auch mit geringem Aufwand relativ sicher (verglichen mit Papier TANs). Meine gelten sogar nur 5min, hab im Ausland teilweise mehrmals anfragen müssen weil die SMS verzögert zugestellt wurden (Zensur in gewissen Ländern dauert halt seine Zeit )

Re(9): Banken mit/ohne MobileTAN-Zwang?

zeddicus — Fri, 22 Jun 2012 09:46:32 GMT

Also zu meinen TAN Zeiten bei der Raika (bis vor ca. 4 Jahren) war es so daß die neue TAN Liste automatisch mal gesperrt war, und ich sie mit einem TAN der alten Liste aktivieren musste.

Re(8): Banken mit/ohne MobileTAN-Zwang?

cwa — Fri, 22 Jun 2012 09:40:51 GMT

Du musst sie auch nicht freischalten, du kannst selektiv sperren.

Re(7): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 09:28:41 GMT

das gilt aber nur für Papier-TANs

Ja eh.

Re(6): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Fri, 22 Jun 2012 09:27:26 GMT

das gilt aber nur für Papier-TANs

Re(5): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Fri, 22 Jun 2012 09:24:09 GMT

bis du merkst, daß ein TAN-Bogen verschwunden ist, können Tage vergehen und zahlreiche Aktionen dein Konto geleert haben.

Mobil-TAN kann aber nur EINER verschwinden, der sich für nix anderes als DIESE EINE Aktion verwenden läßt. Und welche genau steht sogar in der SMS drinnen.
Der Tan kann maximal ungültig werden, aber mir ist nicht klar, wie man den auch nur theoretisch zweckentfremden wollte.

Re(8): Banken mit/ohne MobileTAN-Zwang?

Thing — Fri, 22 Jun 2012 09:21:33 GMT

Bei der Easybank hat man über das Internet-Portal die Möglichkeit, die im Umlauf befindlichen TAN-Briefe selektiv zu aktivieren/deaktivieren. Wenn man also nur den aktuellen im Besitz befindlichen TAN-Brief als aktiv setzt, dann sollte eigentlich bei einem automatisch zugesandten und von einem Fremden abgefangenen TAN-Brief theoretisch auch nichts passieren.

Re(5): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 09:06:38 GMT

Im einen Fall merke ich es und führe keine Transaktionen durch, im anderen nicht...

Ändert jetzt genau was? Der Angreifer fängt selbst mit 100 abgefangen mobilen TANs nix an.

Re(5): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 09:06:38 GMT

Im einen Fall merke ich es und führe keine Transaktionen durch, im anderen nicht...

Ändert jetzt genau was? Der Angreifer fängt selbst mit 100 abgefangen mobilen TANs nix an.

Im schlimmsten Fall hast du die Bezahlung nicht getätigt. Bringt dem Angreifer nix und du ärgerst dich ein bisschen. Aber wo ist jetzt der Schaden?

Re(5): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 09:04:46 GMT

Und was fängt er mit einem abgefangenen TAN (der ja mit Absenden praktisch
nicht mehr gültig ist, weil Transaktion abgeschlossen) an??

Wenn jemand einen TAN abfangen kann, kann er auch die komplette Transaktion abfangen. Der Benutzer bekommt dann irgendeine gefakete Fehlermeldung (zB. "Es ist ein Verbindungsfehler aufgetreten, bitte wiederholen sie den Vorgang mit dem nächsten TAN.", o.ä.). Entweder lässt man den nächsten Vorgang dann seinen gewohnten Weg gehen, oder man greift noch ein paar zusätzliche TANs ab

Re(4): Banken mit/ohne MobileTAN-Zwang?

harddein — Fri, 22 Jun 2012 08:59:50 GMT

Und was fängt er mit einem abgefangenen TAN (der ja mit Absenden praktisch nicht mehr gültig ist, weil Transaktion abgeschlossen) an??

Re(4): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Fri, 22 Jun 2012 08:55:03 GMT

Du bist der EDV-Experte, nicht ich, aber meinst du wirklich, das sei so viel einfacher und v.a. realistischer, als einfach den TAN-Bogen aus dem Postkastl zu fischen? Oder den TAN abzufangen?

Im einen Fall merke ich es und führe keine Transaktionen durch, im anderen nicht...

Re(3): Banken mit/ohne MobileTAN-Zwang?

AVS_reloaded — Fri, 22 Jun 2012 08:51:01 GMT

Datenverkehr ... auch von Dritten leicht
umgelenkt und mitgeschnitten werden kann

Empfänger kann man auch nicht so leicht mit
einem IMSI-Catcher fälschen.

Du bist der EDV-Experte, nicht ich, aber meinst du wirklich, das sei so viel einfacher und v.a. realistischer, als einfach den TAN-Bogen aus dem Postkastl zu fischen? Oder den TAN abzufangen?

Der mobile-TAN hat doch weit mehr Vorteile und Sicherheitsfeatures als die Papierbögen:
es gibt immer nur 1 gültigen TAN (nicht 50 oder 100)
der verfällt nach 10min
er gilt auch nur für diese EINE Transaktion
er wird vom Bankserver für diese eine Transaktion in exakt dieser Höhe an exakt dieses Empfängerkonto kreiert. Selbst wenn der Tan abgefangen würde, wird er ungültig, wenn 10min vorüber sind oder man versucht, Betrag oder Empfänger zu ändern.

Re(7): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Fri, 22 Jun 2012 08:30:56 GMT

Die helfen demjenigen allerdings nicht viel, da du die neue TAN Liste mit einem TAN der letzten aktiven Liste freischalten musst. (Ist zumindest bei der Raika so)

Ist das neu? Kann mich nicht erinnern jemals eine TAN-Liste freigeschalten zu haben.

Re: Banken mit/ohne MobileTAN-Zwang?

woagla — Fri, 22 Jun 2012 08:09:14 GMT

Bawag PSK

Re(8): Banken mit/ohne MobileTAN-Zwang?

zeddicus — Fri, 22 Jun 2012 06:42:21 GMT

Ah ok, das wußte ich nicht. Verwende inzwischen auch m-tan, aber damals war das bei mir so. Dann ist das wohl ein (in meinen Augen sinnvolles) Sicherheitsfeature der Raika

Re(7): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 06:35:02 GMT

bei der bawag war das nie so. bei der easybank vermutlich auch nicht. kann ich jetzt bei letzterer aber nicht sagen, da ich nur noch m-tan verwende.

Re(6): Banken mit/ohne MobileTAN-Zwang?

zeddicus — Fri, 22 Jun 2012 06:33:32 GMT

Die helfen demjenigen allerdings nicht viel, da du die neue TAN Liste mit einem TAN der letzten aktiven Liste freischalten musst. (Ist zumindest bei der Raika so)

Re: Banken mit/ohne MobileTAN-Zwang?

section_control — Fri, 22 Jun 2012 06:15:43 GMT

Bei der DKB hab ich mit den TAN Bögen auch noch nie ein Problem gehabt, wobei ich jetzt auf die schnelle aber kein Limit finden konnte.

Re: Banken mit/ohne MobileTAN-Zwang?

cwa — Fri, 22 Jun 2012 05:53:35 GMT

Bei der BAWAG habe ich nach wie vor die freie Auswahl! Egal ob TAN, Signaturkarte oder mobileTAN

Re: Banken mit/ohne MobileTAN-Zwang?

cwa — Fri, 22 Jun 2012 05:53:35 GMT

Bei der BAWAG habe ich bezüglich Limit nach wie vor die freie Auswahl! Egal ob TAN, Signaturkarte oder mobileTAN, das Limit ist separat einstellbar.

Re: Banken mit/ohne MobileTAN-Zwang?

cwa — Fri, 22 Jun 2012 05:53:35 GMT

Bei der BAWAG habe ich bezüglich Limit nach wie vor die freie Auswahl! Egal ob TAN, Signaturkarte oder mobileTAN, das Limit ist separat einstellbar.

100k hab ich zwar noch nicht überwiesen aber 5-stellig zuhauf.

Re(3): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 05:48:03 GMT

wenn die itans nie den weg in den briefkasten finden, sind sie auch relativ nutzlos. blöd wenn man erst bei der eingabe bemerkt, dass man längst neue bekommen hätte sollen.

was hilft der der imsi catcher, wenn du nur einen tan und keine zugangsdaten hast? vor allem ist der tan einer buchung zugeordnet, den kannst nicht einfach für was anderes verwenden. zudem ist er nach kurzer zeit wieder ungültig. ausserdem kannst ja dynamisch die limits für deine buchungen setzen.

man sollte halt immer abschätzen können ob da eine reale gefahr besteht oder ob der crack eher nur theoretischer natur ist.

nachdem ja alles irgendwo lücken hat, dürfte man eigentlich ja nur noch mit bargeld einkaufen gehen und sollte sämtliche überweisungen vor-ort in der bank erledigen. und selbst da könnt es dann nach zu problemen kommen.

Re(5): Banken mit/ohne MobileTAN-Zwang?

user96106 — Fri, 22 Jun 2012 05:43:07 GMT

in den letzten jahren sind bei mir nachweislich 3 itan sets per post nicht angekommen. blöd halt nur, dass man das erst merkt wenn man buchen will.

da bleib ich bei dem "ach so unsicheren" mobile-tan verfahren.

Re(3): Banken mit/ohne MobileTAN-Zwang?

frabos — Fri, 22 Jun 2012 02:51:43 GMT

Naja- aber was fängt ein eventueller Lauscher mit der mTan alleine an? Das System lebt ja vom dualen Zugang Computer und Handy. Eine TAN auf dem Papier kann man für jede Überweisung benutzen (wenn man sie abfängt)- die mTan ist ja der jeweiligen Überweisung zugeordnet?

Re: Banken mit/ohne MobileTAN-Zwang?

muhrly — Thu, 21 Jun 2012 22:22:33 GMT

kann ebenfalls die easybank empfehlen. das überweisungslimit kann individuell festgelegt werden, überweisungen mit itan sind problemlos möglich. hab erst heute einen fünfstelligen betrag überwiesen.

Re(4): Banken mit/ohne MobileTAN-Zwang?

Justin B. — Thu, 21 Jun 2012 22:09:50 GMT

dieser mythos wird wohl auch ewig leben..

Re: Banken mit/ohne MobileTAN-Zwang?

hariw — Thu, 21 Jun 2012 22:08:30 GMT

hi,
http://www.easybank.at
lg,
hariw

Re(3): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Thu, 21 Jun 2012 21:51:52 GMT

TAN-Bögen auf Papier werden zumindest versiegelt

Und dann in die neuen, tollen Postkästen geworfen, wo sie jeder rausfischen kann

TAN-Bögen auf Papier werden zumindest versiegelt und sind nicht zig Personen leicht zugänglich und den Empfänger kann man auch nicht so leicht mit einem IMSI-Catcher fälschen.

Dafür kann ein Angreifer den TAN bei der Eingabe abfangen und für eigene Zwecke missbrauchen. Wenn jemand den mobilen TAN abfängt, kann er damit genau gar nix anfangen. Also was bringt ihm das?

Re(3): Banken mit/ohne MobileTAN-Zwang?

hellbringer — Thu, 21 Jun 2012 21:51:52 GMT

TAN-Bögen auf Papier werden zumindest versiegelt

Und dann in die neuen, tollen Postkästen geworfen, wo sie jeder rausfischen kann

Re: Banken mit/ohne MobileTAN-Zwang?

japh — Thu, 21 Jun 2012 21:34:14 GMT

bei meinem konto bei BAWAG P.S.K. koennt's noch gehen, hab aber schon lang nichts mehr in der von dir gewuenschten groessenordnung ueberwiesen.

Re(2): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Thu, 21 Jun 2012 21:13:39 GMT

Dass mobiler Datenverkehr nicht nur vom ISP, sondern auch von Dritten leicht umgelenkt und mitgeschnitten werden kann (http://www.gulli.com/news/6871-handys-abhoeren-leicht-gemacht-gsm-knacken-fuer-jedermann-2008-02-22 ), was durch die zusätzlichen Schwachstellen durch die VDS (mehr Leute in entsprechende Schnittstellen / Protokollierung involviert) noch verschärft wurde. TAN-Bögen auf Papier werden zumindest versiegelt und sind nicht zig Personen leicht zugänglich und den Empfänger kann man auch nicht so leicht mit einem IMSI-Catcher fälschen.

Re: Banken mit/ohne MobileTAN-Zwang?

Thing — Thu, 21 Jun 2012 20:57:43 GMT

Also von meinem Easybank-Girokonto hab ich Anfang April 100 Riesen per TAN über MS-Money zu einer anderen Bank überwiesen. Ich musste davor natürlich das Überweisungs-Limit im Internet-Portal raufsetzen. Dies funktioniert aber auch mittels TAN. Ich glaube, dass die Easy da auch keinen grossen Unterschied zwischen Tan UND iTAN macht.

Etwas lästig ist es, dass das Überweisungslimit nach Ablauf des gewünschten Zeitraumes für die Erhöhung nicht wieder auf den vorherigen Normalzustand zurückschaltet, sondern auf die lächerlichen 1000 Euro. Wenn man beim nächsten mal nicht daran denkt, hat man gleich wieder eine Verweigerung und einen unnütz verbrauchten TAN. Vergebührt wird das aber wenigstens nicht.

Re(3): Banken mit/ohne MobileTAN-Zwang?

Suffix — Thu, 21 Jun 2012 20:41:42 GMT

hab dich ... hab' ich überlesen.

spezieller grund warum du keinen mobile-tan willst?

Re: Banken mit/ohne MobileTAN-Zwang?

frabos — Thu, 21 Jun 2012 20:41:38 GMT

Was spricht gegen einen Wechsel zu Mobile TAN?

Re(2): Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Thu, 21 Jun 2012 20:30:57 GMT

Nein, kann man nicht. Mein Überweisungslimit ist bereits viel höher, nur gilt nun zusätzlich dieses Limit bei Überweisung ohne MobileTAN.

Re: Banken mit/ohne MobileTAN-Zwang?

Suffix — Thu, 21 Jun 2012 20:18:30 GMT

das limit kannst dir ja im ebanking selbst (zu bestätigen via mobile-tan ) raufsetzen!

Banken mit/ohne MobileTAN-Zwang?

mjy@geizhals.at — Thu, 21 Jun 2012 20:16:14 GMT

Gibt es noch Banken, die nicht MobileTAN mittels lächerlicher Limits erzwingen wollen (anstelle von TAN-Briefen)? Die BA meint gerade, während ich gerade ca. eine Größenordnung mehr überweisen muss:

Die Unterschrift von Aufträgen ist derzeit auf 1.000,00 EUR (EUR-Gegenwert bei Auslandsaufträgen) pro iTAN limitiert. Bitte teilen Sie Ihre Aufträge, wenn möglich, auf mehrere Aufträge unter EUR 1.000,00 auf und unterschreiben Sie diese separat.
Alternativ dazu können Sie auch unser mobileTAN Verfahren verwenden, für das dieses Limit nicht gilt.
Bei Fragen steht Ihnen die OnlineBanking-Hotline unter 050505 - 26100 (ohne Vorwahl aus ganz Österreich) rund um die Uhr zur Verfügung.

Ist wohl wirklich endlich an der Zeit, zu wechseln - nur wohin?