mTAN ist unsicher

Re(7): mTAN ist unsicher

AVS_reloaded — Tue, 20 Aug 2013 09:39:32 GMT

Tan Liste aus dem Postkasten machen, der erste Tan darauf ist erst gültig,
wenn ich den letzten auf meiner aktuellen Liste verbraucht habe. Die neue
Liste kommt wenn ich den 10. auf der aktuellen Liste verbraucht habe

das scheint von BAnk zu Bank unterschiedlich zu sein.
Ist lange her, daß ich den letzten Papier-TAN verwendet hab, aber die neue Liste war IMHO sofort gültig und verwendbar (wenn ich mich recht erinnere)

Warum gilt ein Papier Tan monatelang? Bei mir ist ein Papiertan nur für genau
eine Aktion gültig.

er gilt natürlich nur 1x, aber die Liste mit 20/50/100 TANs bleibt an sich jahrelang gültig. Sie liegt in der Lade und wird nicht ungültig. Jeder TAN gilt für eine Aktion, aber welche das ist, ist heute (bzw beim Druck der Liste) unbekannt.

Ein mTAN wird erst bei Bedarf von der Bank für EINE GANZ BESTIMMTE Aktion generiert und gilt ~10min. Es ist nicht möglich, diesen Mtan für eine andere Aktion, einen anderen Betrag oder einen anderen Empfänger oder erst morgen zu benutzen.

Re(6): mTAN ist unsicher

MajorTom — Tue, 20 Aug 2013 07:50:45 GMT

da verstehe ich jetzt einiges nicht...

was soll er mit der Tan Liste aus dem Postkasten machen, der erste Tan darauf ist erst gültig, wenn ich den letzten auf meiner aktuellen Liste verbraucht habe. Die neue Liste kommt wenn ich den 10. auf der aktuellen Liste verbraucht habe, d.h. falls keine Liste kommt (da Gauner die mir aus dem Postkasten gestohlen haben) ruf ich bei der Bank an (die sagen mir eine Liste wurde versendet) und ich lasse die Liste, die nun der Gauner hat, sperren (es war noch kein Tan gültig darauf).

D.h. kein Problem wenn mir wer die Liste aus dem Postkasten fischt, diese wird nie gültig sein!

Warum gilt ein Papier Tan monatelang? Bei mir ist ein Papiertan nur für genau eine Aktion gültig.

Re: mTAN ist unsicher

Desolationrob — Mon, 19 Aug 2013 15:27:54 GMT

aber oft vorkommen wird sowas nicht, der Aufwand der hier betrieben wurde ist schon recht hoch, der Angreifer muss sich schon stark mit dem Opfer beschäftigen, heißt er muss schon vorab wissen das sich der ganze Aufwand (und das damit verbundene Risiko) lohnt.

Allerdings ist der gesamte Angriff mit social engineering zu schaffen, tehnisch versiert muss dazu niemand sein und somit wird das schwächste Glied der Kette angegriffen, der User. Nicht mal n trojanisches Pferd ist von Nöten. Und wie will man im nachhinein feststellen mit wem das Opfer über was genau gesprochen hat ? Oder eben ein Call Center Agent bei einer der beteiligten Buden.

Re(3): mTAN ist unsicher

Superfast — Mon, 19 Aug 2013 07:00:25 GMT

Zeigst du mir bitte wie man TANs am Papier unbemerkt kopieren kann, während
sie zu Hause im Safe liegen?

Wieso unbemerkt, das ist eine schweißtreibende Aufgabe

https://netzpolitik.org/2011/bitte-geben-sie-hier-ihre-100-tans-ein/

bei dem ein Phishing-Opfer nach Aufforderung 100 (in Worten: Einhundert) TAN-Nummern in eine Phishing-Seite getippt hat

jo mei.

x-vice — Fri, 16 Aug 2013 14:41:34 GMT

wie oft gabs früher scheckbetrug? eben.

Re(2): mTAN ist unsicher

N8bus — Fri, 16 Aug 2013 08:54:08 GMT

Aber ich muß auch noch ein Sicherheitsmuster zeichnen. Wo soll derjenige
das her haben.
Wenn der Betrüger das auch weiß, dann sollte ich darüber Nachdenken
ob ich nicht auch noch ein anderes, größeres problem habe.

Re(6): mTAN ist unsicher

ZombyKillah — Sat, 10 Aug 2013 18:11:07 GMT

und dann brauchst du das Glück dass einer der TANs von genau diesen Brief abgefragt wird ...
... Neben den "PIN" zur Verfügernummer.

Re(5): mTAN ist unsicher

AVS_reloaded — Sat, 10 Aug 2013 09:40:22 GMT

den Bogen mit 50 oder 100 Papier-TANs fisch ich aus dem Briefkasten

Re: mTAN ist unsicher

ZombyKillah — Fri, 09 Aug 2013 16:29:00 GMT

... wozu dieser Aufwand sich die 2. SIM zu schicken zu lassen???

GSM ist gehackt ... man kann die 2. SIM ohne Problem simulieren ...

---
Einmal davon abgesehen, dass es meiner Meinung nach am einfachsten wäre die Handy Apps der Banken anzugreifen, da hier alle nötigen Daten zusammen-rennen.

Also Verfüger, PIN und TAN

Re(4): mTAN ist unsicher

ZombyKillah — Fri, 09 Aug 2013 16:19:11 GMT

Falsch ... den TAN am Papier kann man mit dem Key-Logger erst in Erfahrung bringen nachdem er eingegeben wurde ...
Und selbst dann ist nur eine Aktion möglich ...

Während der mTAN dem Angreifer die Möglichkeit gibt viele Aktionen (Ändern des Limits, überweisung von Teilbeträgen auf unterschiedliche Konten, ändern des "PIN", etc.) durchzuführen.

Und das eventuell automatisiert ...

Re(2): mTAN ist unsicher

user1806 — Wed, 07 Aug 2013 20:24:56 GMT

lol ich habe mir das geliche gedacht :D

Re(3): Wer hier von "nicht geknackt" schreibt, ist beknackt.

Fly — Tue, 06 Aug 2013 21:20:02 GMT

Was meinst du?

Re(3): Wer hier von "nicht geknackt" schreibt, ist beknackt.

frabos — Tue, 06 Aug 2013 20:17:02 GMT

Nachdem ich eher der schlampige Typ bin, finde ich es recht praktisch, die SMS mit den Überweisungen am Handy zu haben. Und meine Überweisungen an UPC, Wienstrom etc. sind zwar nicht für die Allgemeinheit gedacht- allerdings glaube ich mein bester Schutz ist meine Unauffälligkeit in finanziellen Dingen- kein Gauner wird sich für die paar Euro auf meinem Konto die Arbeit machen...ggg

Re(10): mTAN ist unsicher

lsr2 — Tue, 06 Aug 2013 20:01:34 GMT

>>Eine TAN Nummer von einem TAN-Papier ist solange gültig, bis ein neuer TAN Brief aktiviert wird.

Das stimmt meiner Erfahrung nach nicht ganz, da ein neuer TAN Brief bei noch ~18 (oder so) verbleibenden TANs verschickt wird und dann beide Briefe gleichzeitig gueltig sind.

>>OK - manche Papier-TAN-Verfahren fordern explizit TAN Nr. 38 an. Dann geht's natürlich nicht
Genau - mit ein Grund, warum ich das wesentlich besser finde .

Re(2): Wer hier von "nicht geknackt" schreibt, ist beknackt.

lsr2 — Tue, 06 Aug 2013 19:58:19 GMT

Womit genau?

Re(2): Wer hier von "nicht geknackt" schreibt, ist beknackt.

lsr2 — Tue, 06 Aug 2013 19:57:56 GMT

Ich verwende ein 6310i - aber es geht ja nicht nur darum.

Eine Bank, bei der ich (noch) Kunde bin, bruestet sich, jetzt zusaetzlich zur Kontonummer beim Authorisieren einer Ueberweisung auch noch den Betrag via SMS zu verschicken und verkauft das als Feature (obwohl es ein Bug - bzw ein Fehler im Design) ist. Da fragt man sich als Kunde wirklich - geht's noch?! Klartext via GSM? Hallo? Da kann ich gleich twittern, wem ich wieviel Geld ueberwiesen habe.

Re: mTAN ist unsicher

*patrick star* — Tue, 06 Aug 2013 15:25:16 GMT

>>Die Täter bestellten eine zusätzliche SIM-Karte für das Mobilfunkkonto und ließen
>>sich diese an eine abweichende Anschrift liefern. Anschließend konfigurierten sie
>>die Multi-SIM so, dass eingehende SMS auf dem Handy mit der Zweitkarte landeten.

das ist imo eine social engineering attacke auf den handy anbieter. was soll die bank da machen?
no na hebelt das die 2 faktor authorisation aus.

Re(3): Wer hier von "nicht geknackt" schreibt, ist beknackt.

frabos — Tue, 06 Aug 2013 14:59:07 GMT

Das ist ja auch schon fast modern- da sind ja "Games" drauf...ggg

Re(2): Wer hier von "nicht geknackt" schreibt, ist beknackt.

Heimkehrer — Tue, 06 Aug 2013 14:33:01 GMT

Es fängt an mit einem Uralt-Handy

Meines:

DAs haben die Leute jetzt davon mit ihren ach so smarten Smartphones. Brauch ich nicht, hab ich nicht.

Re(2): mTAN ist unsicher

Unzeitgemäßer Betrachter — Tue, 06 Aug 2013 11:34:30 GMT

Oder du wechselst zu BAWAG-PSK. Die haben viele Filialen und mit ganz passablen Öffnungszeiten.

Re(3): mTAN ist unsicher

user96106 — Mon, 05 Aug 2013 16:30:14 GMT

zum glück gibts es neben windows auch noch andere systeme

Re(2): mTAN ist unsicher

mjy@geizhals.at — Sun, 04 Aug 2013 18:54:14 GMT

Wie können einen nur derart hochspezifische "Angriffe" die sogar das eigene
Fehlverhalten (Trojaner) voraussetzen auf irgendeine Weise nervös machen?

Ganz einfach: bei Windows ist mein Fehlverhalten keine Voraussetzung für einen Trojaner.

Re: mTAN ist unsicher

Diabolo2000 — Sun, 04 Aug 2013 17:24:44 GMT

Wenn die Paranoia wieder zuschlägt bau/kauf dir halt einen dezidierten netbanking PC...

Wie können einen nur derart hochspezifische "Angriffe" die sogar das eigene Fehlverhalten (Trojaner) voraussetzen auf irgendeine Weise nervös machen?

Re(2): mTAN ist unsicher

Diabolo2000 — Sun, 04 Aug 2013 17:19:58 GMT

Als ich für mein iPhone eine neue Simkarte bekam sagte man mir, dass die erste Simkarte ihren Dienst einstellt sobald die zweite benutzt wurde.

Re(9): mTAN ist unsicher

Superflo — Sun, 04 Aug 2013 00:43:38 GMT

Eine TAN Nummer von einem TAN-Papier ist solange gültig, bis ein neuer TAN Brief aktiviert wird. Das dauert u.U. Jahre. Solange kann man die TAN verwenden. OK - manche Papier-TAN-Verfahren fordern explizit TAN Nr. 38 an. Dann geht's natürlich nicht

Re(3): mTAN ist unsicher

hawi — Sat, 03 Aug 2013 16:58:35 GMT

Aha, wieder was gelernt.

Re: mTAN ist unsicher

pong — Sat, 03 Aug 2013 14:46:54 GMT

Viel zu reißerisch.

Klingt wie die Schlagzeile "Mensch tötet pro Stunde, ungestraft und ungeniert, 5.000 Tiere" und im Artikel steht dann "Der Arbeiter einer Hühnerfarm tut sein täglich Werk".

ong

Re(2): mTAN ist unsicher

Maximus — Sat, 03 Aug 2013 13:54:32 GMT

Man muss hier folgendes unterscheiden:

jede SIM Karte hat eine Art Seriennummer, diese ordnet der Provider einer Telefonnummer zu. Wenn zwei SIM Seriennummern der Rufnummer zugeordnet sind, dann sind beide gleichzeitig mit dieser aktiv.
Und die IMEI hat nur das Endgerät (Handy, UMTS Stick, etc.)

Re: Wer hier von "nicht geknackt" schreibt, ist beknackt.

Fly — Sat, 03 Aug 2013 13:26:53 GMT

Meinst Du dami den TAN auf Papier?

Re(3): mTAN ist unsicher

Burnsen — Sat, 03 Aug 2013 11:25:51 GMT

Wenn du die Multisim meinst, die hat nur bei der Telefonie die selbe Nummer, bei SMS ist sie anders

Re(3): mTAN ist unsicher

Burnsen — Sat, 03 Aug 2013 11:22:21 GMT

Hat jeder den du kennst einen Safe?

es ist nun mal so wie mit fast allem dass das Leben einfacher macht, es ist ein Risiko

Re(9): mTAN ist unsicher

AVS_reloaded — Sat, 03 Aug 2013 10:08:44 GMT

na wieviele TANs hast dann auf einem Blatt Papier?

Re(13): mTAN ist unsicher

AVS_reloaded — Sat, 03 Aug 2013 10:07:09 GMT

ach so

Re: Wer hier von "nicht geknackt" schreibt, ist beknackt.

frabos — Sat, 03 Aug 2013 09:58:41 GMT

Geknackt ist relativ: Wenn ich selber mit halbwegs vertretbarem Aufwand die Methode absichern kann, ist die Diskussion nur mehr theoretischer Natur. Es fängt an mit einem Uralt-Handy, auf dem es keine Trojaner-Apps geben kann, geht weiter mit einer Wertkarten-Sim von der niemand die Nummer weiß und der Betreiber keine 2te Sim hergibt. Und dann noch ein altes NB, das von eine Linux-CD jedes mal frisch gebootet wird. Alles zusammen um 50€ und sicher genug.

Re(8): mTAN ist unsicher

lsr2 — Sat, 03 Aug 2013 09:24:43 GMT

Du hast von einem TAN gesprochen, jetzt ploetzlich vom ganzen TAN sheet?

Re(12): mTAN ist unsicher

Fly — Sat, 03 Aug 2013 08:42:57 GMT

Ömm.... wir reden hier von PapierTANs. Für mTANs hab ich leider grad (noch) kein beweiskräftiges Sample rumliegen.

Re(7): mTAN ist unsicher

Fly — Sat, 03 Aug 2013 08:41:04 GMT

Bringt trotzdem nix.

Re(4): mTAN ist unsicher

user96106 — Sat, 03 Aug 2013 08:38:53 GMT

das ist so oder so konstruiert.

wennst eine multisim hast und dort die weiterleitung von anrufen und sms deaktivierst ist das eine. das fällt aber spätestens dann auf, wenn der typ mit der original sim eine sms versendet. denn der müsste dann eine nebenkartennummer haben und nicht mehr die hauptnummer. und spätestens wenn seine kumpels dann nachfragen ob er eine neue nummer hat, wird es spannend.

Re(7): mTAN ist unsicher

AVS_reloaded — Sat, 03 Aug 2013 06:52:48 GMT

das Blatt mit den 50 oder 100 TANs liegt monatelang in der Lade und ist gültig.

Re(11): mTAN ist unsicher

AVS_reloaded — Sat, 03 Aug 2013 06:51:38 GMT

daß ein mTAN aber genau 10min, für eine ganz bestimmte Übererweisung mit fester Summe an ein bestimmtes Konto gilt, ist dir bekannt?

Da müßtest du doch auch die Kommunikation von der Bank zu mir manipulieren.

Re(3): mTAN ist unsicher

hellbringer — Sat, 03 Aug 2013 06:44:03 GMT

in dem das phone mit originalsim mit trojanern verseucht sein muss, die bei
bestimmten sms reagiert und diese unterdrückt.

Dann kann man sich das Theater mit der zweiten SIM ja gleich sparen, wenn das Smartphone verseucht ist.

Re(6): mTAN ist unsicher

lsr2 — Fri, 02 Aug 2013 23:49:42 GMT

>>Der Papier-TAN hingegen gilt für alles, monatelang.

Das ist falsch. Der Papier TAN gilt fuer genau die eine Aktion, fuer die er angefordert wird. Danach gilt er nicht mehr.

Ausserdem darf man sich selbstverstaendlich nicht irgend einen TAN vom Sheet aussuchen, man bekommt ihn vorgeschrieben.

oder man faengt halt das SMS ab...

lsr2 — Fri, 02 Aug 2013 23:44:32 GMT

ist ja plain text.

Edith: Um genauer zu sein: Man faengt es im GSM Netz ab.

oder man faengt halt das SMS ab...

lsr2 — Fri, 02 Aug 2013 23:44:32 GMT

ist ja plain text.

Wer hier von "nicht geknackt" schreibt, ist beknackt.

lsr2 — Fri, 02 Aug 2013 23:26:49 GMT

Ich finde das ja immer lustig, wenn sich Leute in den Sack luegen, dass der mTAN nicht geknackt sei.

Fakt ist: Das Geld kann weg sein. Wo nun das schwaechste Glied ist, kann man natuerlich diskutieren, aendert aber nix an der Situation. Die Loesung ist somit gestorben.

Wenn man sich auf ein Glied in der Kette verlaesst, dass man nicht kontrollieren kann (Mobilfunkfirmen), dann ist man eben der Angeschmierte.

Wenn ich die Moeglichkeit habe, eine der sichersten Methoden ueberhaupt (https://en.wikipedia.org/wiki/One-time_pad ) zu verwenden - warum sollte ich dann den Mobile-Dreck nutzen? Nur weil's billiger fuer die Banken ist? Nein danke.

Re(3): mTAN ist unsicher

Fly — Fri, 02 Aug 2013 17:04:17 GMT

Na glücklicherweise ist mein "Smart"-Phone zu blöd dafür.

Re(10): mTAN ist unsicher

Fly — Fri, 02 Aug 2013 17:03:08 GMT

Das ist hier wie gesagt nicht Phishing 101. Man kann aber Browser entsprechend manipulieren dass Du selbst dorthin überweist wo ich das hin haben will ohne dass Du das bemerkst.

Re(3): mTAN ist unsicher

user96106 — Fri, 02 Aug 2013 16:25:36 GMT

hehe da lob ich mir bob. da kann einem so ein *PIEP* erst gar ned passieren.

aber wenn sich der angreifer mal eine 2. sim organisieren kann, dann hat man generell mal ein problem.

Re(2): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 16:23:20 GMT

gibt es denn zwei SIMs mit der gleichen Nummer?

bei jedem?

Jedenfalls bei A1. Kostet IMHO 7€/M

Re(2): mTAN ist unsicher

user96106 — Fri, 02 Aug 2013 16:23:12 GMT

da ist das problem aber wie in 99,999999% der fälle der der nutzer des jeweiligen smartphones. ohne zutun des users wird man so einfach nicht kompromitiert.

Re(9): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 16:22:39 GMT

wie denn?

Re(2): mTAN ist unsicher

user96106 — Fri, 02 Aug 2013 16:17:50 GMT

in dem das phone mit originalsim mit trojanern verseucht sein muss, die bei bestimmten sms reagiert und diese unterdrückt.

Re(8): mTAN ist unsicher

Fly — Fri, 02 Aug 2013 16:07:55 GMT

Jo, nur beim Papier-TAN kann ich ihnen sofort den empirischen Beweis liefern.

Re: mTAN ist unsicher

Paulas_Papa — Fri, 02 Aug 2013 15:37:03 GMT

Aufwendig aber vielleicht machbar.

Wie schaffen sie es, dass die SMS nicht mehr auf der funktionsfähigen
Originalsim ankommt?

Mfg lukas

Re: mTAN ist unsicher

user96106 — Fri, 02 Aug 2013 15:23:34 GMT

bei dem geschilderten fall ist alles nur nicht mtan das problem.

Re: mTAN ist unsicher

Alkestis — Fri, 02 Aug 2013 15:17:40 GMT

Es gibt keine 100%ige Sicherheit ... auch dein 1000 € Safe kann von nem Profi geknackt werden und dann hat er scheinbar mehr als nur deine Tans in der Hand ...

Re(7): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 14:52:53 GMT

dass die Banken behaupten es ist sicher

das tun sie bei allen anderen auch

Re: mTAN ist unsicher

hawi — Fri, 02 Aug 2013 14:23:13 GMT

Bei welchem (österreichischen) Provider gibt es denn zwei SIMs mit der gleichen Nummer?
Die Aktivierung der Zweit-SIM erfolgt nach Abschaltung der ersten - sie hat ja auch eine andere IMEI.

Re(3): mTAN ist unsicher

Fly — Fri, 02 Aug 2013 14:18:14 GMT

Das ist gar nicht das Problem, ich hab hier einen Trojaner bei mir der durch Papier-TANs definitiv nicht "gestört" wird.

Ohne hier Phishing 101 veranstalten zu wollen, aber überleg mal was ein Browser-Plugin anrichten kann, das die angezeigten Daten verändern kann. In Kurz, der User selbst signiert die Phishing-Überweisung, ohne es zu merken.

Re(6): mTAN ist unsicher

Fly — Fri, 02 Aug 2013 14:16:19 GMT

Naja, insofern dass die Banken behaupten es ist sicher und man bleibt deswegen auf'm Schaden sitzen, nein.

Re(7): mTAN ist unsicher

User352294 — Fri, 02 Aug 2013 14:13:43 GMT

Darum haben wir ja Tele-Banking!

Re: mTAN ist unsicher

Stage2 — Fri, 02 Aug 2013 14:04:40 GMT

Es lebe der cardTAN

Re(6): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 14:02:58 GMT

Das werden die Banken schon mit Schikanen wie früher die Zahlscheingebühren zu verhindern wissen.

Re(5): mTAN ist unsicher

User352294 — Fri, 02 Aug 2013 13:57:16 GMT

Bevor ich 1.000 Euro für die Sicherheit eines TAN-Briefes ausgebe, gehe ich lieber wie früher wieder auf die Bank!

Re(4): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 11:56:52 GMT

muss bei den mTANs auch von der höchst möglichen Sicherheit ausgehen.

und die wäre?

musst perfekt gelagerte TANs mit perfeklt abgesicherten mTANs vergleichen.

Nein, nur dem Anwender realistisch zur Verfügung stehende Mittel.

Ein brauchbarer Safe kostet ca. 1000,-

Wieviel kostet ein Mobiltelefon, bei dem niemand eine Zweit-SIM vom Betreiber bestellen kann?

Re(3): mTAN ist unsicher

Engelbert2000 — Fri, 02 Aug 2013 11:52:56 GMT

Sorry, aber da wennst von einem Safe ausgehst muss bei den mTANs auch von der höchst möglichen Sicherheit ausgehen. Denn wer legt schon seine TANs in einen Safe

Wennst vergleichst musst perfekt gelagerte TANs mit perfeklt abgesicherten mTANs vergleichen.

Re(2): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 11:02:31 GMT

Aber eines sollte man auf keinen Fall machen - das Mobiltelefon welches die
mTAN SMS erhält auch gleichzeitig für den Internet-Zugang zur Bank nutzen
(Direkt oder über Tethering). Wenn dieses kompromitiert ist erhält der
Verbrecher beides, Login und mTAN.

Wenn das Endgerät, auf dem die Überweisung getätigt wird, kompromittiert ist, erhält der Angreifer den TAN so oder so. Denn der User muss ja irgendwo den TAN eintippen und spätestens hier kann man ihn abfangen.

Aber du hast teilweise Recht. Gibt man seinen PIN auf einem kompromittierten Smartphone ein, kann er dazu verwendet werden um neue TANs anzufordern. Also statt einer Überweisung können dann beliebig viele Überweisungen getätigt werden.

Re(2): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 11:02:31 GMT

Aber eines sollte man auf keinen Fall machen - das Mobiltelefon welches die
mTAN SMS erhält auch gleichzeitig für den Internet-Zugang zur Bank nutzen
(Direkt oder über Tethering). Wenn dieses kompromitiert ist erhält der
Verbrecher beides, Login und mTAN.

Wenn das Endgerät, auf dem die Überweisung getätigt wird, kompromittiert ist, erhält der Angreifer den TAN so oder so. Denn der User muss ja irgendwo den TAN eintippen und spätestens hier kann man ihn abfangen.

Aber du hast teilweise Recht. Gibt man seinen PIN auf einem kompromittierten Smartphone ein, kann er dazu verwendet werden um neue TANs anzufordern und diese dann ohne Mithilfe des Users automatisiert zu verarbeiten. Also statt einer Überweisung können dann beliebig viele Überweisungen getätigt werden.

Re: mTAN ist unsicher

gp — Fri, 02 Aug 2013 10:53:33 GMT

Nun, auch wenn es hier nicht erwähnt wurde.

Aber eines sollte man auf keinen Fall machen - das Mobiltelefon welches die mTAN SMS erhält auch gleichzeitig für den Internet-Zugang zur Bank nutzen (Direkt oder über Tethering). Wenn dieses kompromitiert ist erhält der Verbrecher beides, Login und mTAN.

Re(5): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 10:41:07 GMT

Den verwendet man viel öfter, man gibt ihn ein und er bleibt immer gleich.

Ändert aber nichts daran, dass man auch die Eingabe eines Papier-TANs abfangen kann.

Weil man TANs seltener benötigt und jeder ist nur einmal gültig.

Das macht es schwieriger, aber nicht unmöglich. Wenn jemand Zugang zum Rechner verschafft, kommt er früher oder später auch an den TAN ran. Egal ob der TAN vom Papier oder vom Handy abgetippt wird.

Re(3): mTAN ist unsicher

User352294 — Fri, 02 Aug 2013 10:10:29 GMT

Verschwörungstheorie!

Ja und? Die gibt es hier im Forum ja ständig!
Und so abwegig ist der Gedanke nicht, warum die Schuld nicht anderen in die Schuhe schieben! Weil mal ehrlich, es gibt einfacherer Wege an Geld zu kommen, als über Telebanking!

Re(2): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 10:05:35 GMT

Vielleicht waren es die Besitzer dieser Konten selbst. Geldwäsche vielleicht?

Verschwörungstheorie!

Re(4): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 10:04:50 GMT

Und wie kann man unbemerkt einen PIN kopieren, wenn er zu Hause im Safe liegt?

Den verwendet man viel öfter, man gibt ihn ein und er bleibt immer gleich.

Mit anderen Worten, wenn jemand fahrlässig mit dem PIN umgeht, warum sollte er dann bei den TANs sorgfältiger sein?

Weil man TANs seltener benötigt und jeder ist nur einmal gültig.

Re: mTAN ist unsicher

User352294 — Fri, 02 Aug 2013 10:02:57 GMT

Ich könnte jetzt echt nicht sagen, wie "Verbrecher" zu allen benötigten Informationen bei meiner Bank (Volksbank) kommen sollten, um so etwas machen zu können ... mal abgesehen davon, das ich ein eher "unattraktives" Ziel sein dürfte!

Vielleicht waren es die Besitzer dieser Konten selbst. Geldwäsche vielleicht?

Re(3): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 09:30:00 GMT

Zeigst du mir bitte wie man TANs am Papier unbemerkt kopieren kann, während sie zu Hause im Safe liegen?

Und wie kann man unbemerkt einen PIN kopieren, wenn er zu Hause im Safe liegt?

Mit anderen Worten, wenn jemand fahrlässig mit dem PIN umgeht, warum sollte er dann bei den TANs sorgfältiger sein?

Re(3): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 09:30:00 GMT

Zeigst du mir bitte wie man TANs am Papier unbemerkt kopieren kann, während sie zu Hause im Safe liegen?

Und wie kann man unbemerkt einen PIN kopieren, wenn er zu Hause im Safe liegt?

Re(5): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 09:29:18 GMT

die kann ich dir jederzeit aus dem Postkasten fischen, wenn sie dir zugestellt werden

Und wenn dein PC "offen" ist, ist ein eingegebener Papier-TAN viel wertvoller als ein mTAN, denn der mTAN gilt nur wenige Minuten, für eine Aktion und einen bestimmten Betrag.
Der Papier-TAN hingegen gilt für alles, monatelang.

Mir ist kein Fall bekannt, wo mit mTANs durch man-in-the-middle, keylogger oder pishing (geben zur Verifizierung bitte 5 TANs ein) Schaden angerichtet wurde.

Daß mTAN auch ned 100000%ig ist, das ist klar. Aber das geringste Über von allen derzeit in Verwendung stehenden Systemen.

Re(2): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 09:25:36 GMT

Nicht unsicherer, als TANs am Papier.

Zeigst du mir bitte wie man TANs am Papier unbemerkt kopieren kann, während sie zu Hause im Safe liegen?

Der sichere Transport von der Bank zum Kunden dürfte ein eher gelöstes Problem sein (wenn man mal vom unsicheren Postversand abgeht).

Re(4): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 09:24:13 GMT

das gilt für Papier-TANs aber doch noch viel mehr

Inwiefern kann man die z.B. daheim im Safe kompromittieren?

Re(3): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 09:22:38 GMT

Das "gravierende Sicherheitsloch" ist ein durchschnittlicher PC und ein
durchschnittliches Smartphone (mit irgendwelchen heruntergeladenen Apps).

das gilt für Papier-TANs aber doch noch viel mehr

Re(3): mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 09:20:45 GMT

damit heble ich dir aber ALLES aus. Da kann der mTAN nix dafür, da liegt die Schwachstelle ganz wo anders.

Re(3): mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 09:18:29 GMT

Ein Endgerät mit nur UMTS (kein GSM), ohne Installationsmöglichkeit / UI wie
ein Pager, mit eigenem SIM-Standard, wäre mal ein guter Anfang.

Und wenn das Endgerät gestohlen bzw. unbemerkt ausgetauscht wird?

Re: mTAN ist unsicher

hellbringer — Fri, 02 Aug 2013 09:17:03 GMT

Nicht unsicherer, als TANs am Papier. Was ist die Alternative? Wieder persönlich zur Bank gehen um Beträge zu überweisen? Bei den Öffnungszeiten kann ich mir dann wohl jedesmal einen Urlaubstag nehmen.

Re(2): mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 09:14:01 GMT

Bei einem so gravierenden Sicherheitsloch

Das "gravierende Sicherheitsloch" ist ein durchschnittlicher PC und ein durchschnittliches Smartphone (mit irgendwelchen heruntergeladenen Apps).

Bei mTAN ist daher das ganze Konzept unsicher, da es einen überdurchschnittlich gut abgesicherten PC und ein Mobiltelefon ohne unsichere Apps voraussetzt, sowie einen Mobilfunkanbieter mit hohen Sicherheitsstandards z.B. beim Versand von SIM-Karten, um einigermaßen sicher zu sein.

Ein Endgerät mit nur UMTS (kein GSM), ohne Installationsmöglichkeit / UI wie ein Pager, mit eigenem SIM-Standard, wäre mal ein guter Anfang.

Re(2): mTAN ist unsicher

Robert Craven — Fri, 02 Aug 2013 09:07:35 GMT

Ungeklärt ebenfalls: wie kommen die an den PIN zum Einsteigen auf der HP der Bank?

Keylogger?

Re: mTAN ist unsicher

Robert Craven — Fri, 02 Aug 2013 09:06:40 GMT

Bevor der mTan "geknackt" wurde gabs aber einiges: Einbruch ins System. Diebstahl der Kontodaten samt PIN. Diebstahl der Mobilfunktdaten samt Benutzerpasswort. Bei einem so gravierenden Sicherheitsloch wüsste ich keine sichere Methode der online Bezahlung.

Re: mTAN ist unsicher

Thunder — Fri, 02 Aug 2013 08:51:22 GMT

na der hinweis ist ja richtig zielführend und hilfreich:

Auch das Dispo-Limit auf dem Girokonto sollte immer nur dem tatsächlichen Bedarf entsprechen. Die regelmäßige Kontrolle der Kontostände verhindert in Verbindung mit Überweisungslimits allzu großen Schaden.

was nutzt ein kleines limit, wenn jemand zugang zu tans hat und online das limit ändern kann?

Re: mTAN ist unsicher

Veitl — Fri, 02 Aug 2013 08:49:48 GMT

Höchst bedenklich dabei:

Die Täter bestellten eine zusätzliche SIM-Karte für das Mobilfunkkonto und ließen sich diese an eine abweichende Anschrift liefern.

Was hilft es, wenn Banken um hohe Sorgfalt bemüht sind, während ...

Mobilfunkfirmen haben ein geringeres Risiko, wenn eine Karte in falsche Hände gerät, und nehmen die Identitätsprüfung bei Aufträgen offenbar nicht so genau. Genau hier liegt eine Schwäche des mTAN-Verfahrens, das davon ausgeht, dass die Zustellung einer SMS per Mobilfunk stets ein sicherer Kanal sei.

Re: mTAN ist unsicher

AVS_reloaded — Fri, 02 Aug 2013 08:48:07 GMT

Ähmm - wieso??

Der mTAN ist NICHT geknackt, die Drecks-Telefonfirmen haben ihre eigenen Vorschriften wie so oft nicht im Griff, wenn es so leicht ist, eine Zweit-SIM zu erhalten

Ungeklärt ebenfalls: wie kommen die an den PIN zum Einsteigen auf der HP der Bank?

mTAN ist unsicher

mjy@geizhals.at — Fri, 02 Aug 2013 08:32:57 GMT

Wieder mal Schlagzeilen dazu:

http://www.heise.de/security/meldung/Angriffe-auf-mit-mTAN-geschuetzte-Konten-1928312.html