Online-Banking: Forscher knacken photoTAN-Verfahren

Anzeige

Bei einem Offline Tan-Generator eben nicht, da die Tan nur für die gewünschte Überweisung gültig ist. Ein Dritter kann mit dieser Tan nichts anfangen.
Wichtig ist, die Daten auf dem Gerät wie IBAN, Betrag usw. zu kontrollieren, bzw. man muss diese Bestätigen um die Tan angezeigt zu bekommen.

 

Da wäre es aber schon zu spät gewesen.

Da gebe ich Dir recht.

 

Dann müßte aber genau in diesem Moment jemand irgendwo sitzen und eine Zahlung vornehmen ansonsten so schnell wie ich Kontakt mit der Bank aufgenommen hätte könnte keiner agieren, also so einfach ist es wohl nicht gewesen.

 

Das ist eben das Wesen der sog. "Man in the Middle" Angriffe.

 

Am sichersten ist immer noch das ChipTAN-Verfahren mit einem TAN-Generator.
Der Generator hat keinen Kontakt mit dem Rechner, außer beim Scannen der Blink-Codes und das kann man auch offline machen, wenn man keinen Browser, sondern eine Banking-Software nimmt, die wirklich nur in dem kurzen Moment online geht, wenn Daten gesendet oder empfangen werden.
Mehr Sicherheit gibt es noch dazu, wenn man mit Linux arbeitet, weil da aufgrund des wesentlich besseren Rechtemanagements und infolgedessen wesentlich besseren Sicherheitskonzeptes, Dinge nur mit Passwort installiert oder ausgeführt werden können und ein Trojaner so nichts ausrichten kann.
Und diesen wehrt man eh am besten ab, indem man nicht gierig auf jeden fremden Mail-Anhang klickt, um ihn sich gar nicht erst einzufangen und sich auch nicht in irgendwelchen dubiosen Untiefen des Web rumtreibt.

Ich persönlich bin z.B. sehr zufrieden mit Linux Mint und der Banking-Software Hibiscus (gibt es auch für Windows und Mac).
Die geht wirklich nur dann kurz online, wenn Daten übertragen werden sollen.

Mobiles Online-Banking mache ich nicht, denn keine Überweisung der Welt kann so dringend sein, dass ich sie nicht verschieben kann, bis ich wieder zu Hause bin.

 

Es gibt neben dem optischen ChipTAN-Verfahren auch das manuelle. Dort gibt's du einen transaktionsgebunden Startcode, die letzten 10 Stellen des Empfängerkontos und den Betrag ein. Das ist dann auch ohne abstöpseln des LAN-Kabels "offline".

 

Komisch. Wir nutzen hier einen Generator für zwei EC-Karten von unterschiedlichen Konten aber selbe Bank.

 

Da habe ich mich falsch ausgedrückt. Der Generator benötigt zum Erstellen einer für Deine Überweisung gültigen Tan Deine EC-Karte.

 

Ich bin immer offline! Ich hab WLAN!
Nein, im Ernst:
Das optische Verfahren ist auch fast komplett offline, weil der Blink-Code nur lokal am Rechner produziert wird, entsprechend der eingegebenen Überweisungsdaten und der eingesteckten Karte. Nur für den Datenabgleich (Empfang von Kontostand und Umsätzen, Senden des Überweisungsdatensatzes) geht die Software kurz online.
Das manuelle Verfahren hab ich noch nicht benutzt.
Ich denke auch, das optische geht schneller.

 

Jep, geht natürlich schneller weil man nur den Generator an den Bildschirm halten und die vorgefertigten Eingaben bestätigen muss. Übers manuelle Verfahren muss man halt noch allerhand Dinge eingeben (die 3 Sachen wie oben beschrieben).