Online-Banking: Forscher knacken photoTAN-Verfahren

Anzeige

Soviel dumme Sprüche bin ich von Dir garnicht gewohnt, aber egal.
Wer zu faul ist seinen Hintern mal hinterm Ofen hervorzuholen und sein Geld am Bankschalter mit einem richtig sprechenden Beamten zu verwalten der ist es halt selber schuld.

 

Dann bekommst du halt weniger Zinsen
Es ist dein Geld mit dem die Betrogenen bezahlt werden.

Du, oder ein etwas unbedarfter Nutzer bekommt eine Email von seiner Bank. Er klickt den Link an, der ihn auf die Seite seiner Bank führt, bis auf einen kleinen Buchstabendreher in der Adresse, sieht die Seite genau so aus wie die seiner Bank. Dort wird er aufgefordert die Internetadresse seiner Bank neu im Browser zu speichern, da in letzter Zeit eine Sicherheitslücke geschlossen wurde, und nur über diesen Link kann er sicher Onlinebanking betreiben. Muss ich das fortführen oder weisst du schon was als nächstes passiert?
Er will 100 Euro auf 12345 überweisen, aber die falsche Webseite zwischen ihm und seiner Bank fängt das ab und überweist stattdessen 3000 Euro auf 5434321. Bei den üblichen TAN Verfahren kein Problem, und schon oft genug so passiert.
Beim SMS TAN Verfahren steht Betrag und Empfänger mit der TAN im Text, der Nutzer kann also überprüfen ob die Kommunikation zwischen ihm und seiner Bank manipuliert wurde.

 

Allerdings müsste man dann schon sehr unbedarft sein.
Aber gut, diese Vorgehensweise würde für die Betrüger sicher in einigen Fällen zum Erfolg führen.

Das ist natürlich Voraussetzung für die nötige Sicherheit.
Mein Fazit: Für mich gibt es zur Zeit keine Veranlassung von iTAN auf ein anderes Verfahren zu wechseln, bei anderen mag das aber durchaus anders aussehen.

 

Ich hätte ja gar nichts gegen eine echte Bank mit echten Mitarbeitern und echten Schaltern, aber wo gibt es das denn heute noch? Das Filialnetz wurde überall ausgedünnt, der Mitarbeiterbestand runter gefahren, und die Beratung verdient den Namen nicht mehr. Warum soll man das noch unterstützen?

 

Oh, die gibt es reichlich!

P.S Aber was bespricht ihr denn so mit Bankmitarbeitern...?

 

Wie ich mein Geld anlegen soll zB.
Der Bankberater kann mir dann Lehman-Brothers Zertifikate empfehlen, da bekommt er die beste Prämie. Oder griechische Staatsanleihen, auch ein heißer Tipp, ähnlich wie das britische Pfund.

 

Ach so. Ich dachte ihr hättet was seriöses zu besprechen ala Kaffee trinken gehen o.ä.

 

Das kann ja wohl nicht stimmen. Es hängt von der Karte bzw. Bank ab. Bei einer deutschen EC-Karte mit aktiviertem PIN wirst du nie um eine Unterschrift gebeten. Bei ausländischen EC-Karten hängt es vom Einzelhändler ab, ob er Mitglied bei der betreffenden Organisation ist. Wenn nicht, nützt auch eine Unterschrift nicht Bei grösseren Ketten oder z.B. Tankstellen klappt es aber immer.

 

Wie soll das bei einer HTTPS-Verbindung mit Zertifikat gehen?

Soll ich hier jetzt noch Links über die Lücken beim SMS-TAN posten?

Das sehe ich anders. Für das SMS-TAN muß nur jemand Deine neue SIM-Karte abfangen und hat dann beliebig viele TANs (das ist auch schon praktisch vorgekommen), bei der Papier-TAN muß die neue Liste erst mit einer TAN der vorhergehenden Liste aktiviert werden.

 

Alle bekannten Lücken setzten voraus dass du nur ein Gerät für Internet und SMS Empfang nutzt, was man nicht tun sollte. Einen Schädling der das Ausnutzt hat man in der Praxis noch nicht gefunden. Aber zeige mir eine Lücke die funktioniert, wenn du die Webseite der Bank im Browser deines PC öffnest, und die TAN per SMS auf dein Smartphone bekommst.

Der muss nicht nur deine neue SIM-Karte haben, sondern auch den PIN dazu der immer getrennt versendet wird, da fängt es schonmal an. Zudem muss er auch deine Passworte für das Online-Banking kennen. Also er muss deine Post über mehrere Tage komplett abfangen, zu einem Zeitpunkt zu dem du dir eine neue SIM-Karte schicken lässt. Und er muss deine Bank kennen, deine Kontonummer und dein Passwort um dich bei deiner Bank anzumelden... das ist schon eine Menge.
Und wer auf Nummer sicher gehen will, der deaktiviert das SMS TAN Verfahren wenn er eine neue SIM-Karte bestellt und aktiviert es erst wieder wenn die neue SIM da ist. Das ist auch kein Problem.

Und wo das praktisch vorgekommen ist würde ich gerne wissen, ich höre davon zum ersten mal.