neues TAN-Verfahren: Display-TAN

Eben...
das Ganze hat neben der technischen auch immer noch eine kaufmännische Sicht! Und die eingesetzte Technik ist nur Mittel für den Zweck... kein Selbstzweck...

Erfahrungen zu der PushTAN gibt es naturgemäß noch zu wenige... Aktuell ist das große EInfallstor IMMER der Browser beim Kunden. Egal welche TAN Verfahren...
Und wenn die Popup-Fenster gut genug sind ist es egal ob der Kunde eine SMS nicht richtig liest oder eine App-Meldung... egal ob gepusht oder per Foto vom
Display... Es wird hier gemeinhin der "soziale Faktor Mensch" überschätzt oder unterschätzt - je nach Formulierung ...
Um es sicherer zu machen, müßten die Kunden freiwillig weg vom Browser...

Da helfen die App-Lösungen. Denn so wird das komplette Banking per App populärer... und Banking Apps sind i.d.R. schon "richtige" Banking Programme und nicht
leicht kaperbare Browser. Aber das wird noch dauern bis die "Generation-Mobile" hier die Mehrheit übernimmt. Oder App-Lösungen auch auf dem Desktop ankommen...
Windows 10?...

Od

Ja gut, jetzt können wir uns natürlich darüber streiten, ob jede einzelne Sparkassen oder Volksbank Filiale als eigene Bank gilt. Die handhaben das nämlich nach Region auch sehr unterschiedlich. Sagen wir mal so, spontan fallen wir schonmal Ing Diba (immerhin drittgrößte Privatenkundenbank in Deutschland), DKB, NetBank, Sparda (auch je nach Region) und selbst die Targobank ein. Die werben alle aktiv damit. Hinzu kommen dann noch diverse Banken welche im Hintergrund auch still den Schaden erstatten und das nicht aktiv kommunizieren.

Da interessiert mich mal wo die Zahl her kommt. Ohne weitere Angaben dazu spare ich mir mal einen Kommentar - Vermutung: statistische Reduzierung der Basis, damit eine hohe Prozentzahl raus kommt. - Mist das ist ja doch ein Kommentar...

Und auch die Display-TAN ist machtlos bei einem "Rücküberweisungs-Trojaner", wenn der Kunde der Meldung in seinem Browser glaubt, dann bestätigt der nahezu alles! Auch die Betrüger denken nicht im technisch machbaren Dimensionen sondern kaufmännisch: wo habe ich mit geringem Aufwand die größten Erfolge... Das ist das Browserkapern. Und auch alle anderen Banking Programme sind in der Theorie hackbar... Auch das HBCI-Chipkarte-System (zumindest in der Theorie im Labor)Nur das ist halt technisch ein ganz anderer Stiefel, der (noch!) nicht angezogen wird, weil es sich nicht lohnt. Wenn nun immer Apps auf z.B. Android-Systemen zum Einsatz kommen und vielleicht den Browser als gängige Banking Oberfläche verdrängen, wird das ganz anders aussehen!

Es wird NIE eine 100%-Lösung geben - gibt es im Papiergeschäft auch nicht... auch da haftet bei gefälschten Aufträgen meist die Bank. Es ist immer eine Kosten/Nutzen-Beziehung.. Und ja - ich sehe technische Vorteile bei der Display-TAN aber für die Praxis wg dem "Sozialem Ingeneurtum" keinen Mehrwert für die Bank... Und wie gesagt: Wenn die Kunden bei CHipTAN die Meldungen nicht abgleichen, bei der SMS diese nicht lesen und sich auf jede
OK-Strasse lenken lassen, bringt das wenig... Was bei uns die Schadensfälle deutlich nach unten gefahren hat, war ein internes Monitoring im Zahlungsverkehr... Viel effektiver als jedes neue TAN-Verfahren - da frei vom Endanwender...

Od

HBCI mit Chipkarte ist aufgrund der Verbreitung von Smartphones und Tablets im Massenkundengeschäft keine Alternative, wird es auch niemals sein. Desweiteren hilft es gegen die bereits erwähnten Rückbuchungstrojanern auch nichts. Das mit dem von Odin erwähnten Monitoring und der Einsatz von Limiten bei Auslandsüberweisungen, ist derzeit wirklich die effektivste Methode Schäden zu vermeiden.

Wie sollte es dagegen helfen? Wenn der Trojaner eine Fehlbuchung vortäuscht und den Nutzer dazu auffordert diese zurückzubuchen, wird er im HBCI Leser genau das bestätigen was im Banking angezeigt wird. Das dir kein Fall bekannt ist, wird eher an der geringen Verbreitung von HBCI liegen. Und daran das HBCI Nutzer meistens erfahrene Anwender sind die auf sowas nicht reinfallen. Jemand der aber 100 TAN Nummern in einer Maske eingibt und sich dabei nicht wundert, würde auch eine solche Überweisung mit nem HBCI Leser einfach durchdrücken.

Die Software kann per FinTS auch jeder andere Nutzer verwenden, egal ob mit Chipkarte oder ohne. Das Argument war ja hier das speziell der Kartenleser davor schützen soll, dass ist ja aber nicht der Fall. Das wäre in dem Fall ja die mangelne Verbreitung von Banking Software, bzw. die Tatsache das ein Angreifer da ein paar Dutzend verschiedene Programme die auf den Markt sind manipulieren müsste. Das würde er aber auch bei entsprechender Verbreitung solcher Software tun. Hat aber rein gar nichts mit dem Sicherheitsmedium Kartenleser per HBCI zu tun.

Ich schrieb schon deutlich "HBCI mit Chipkartenleser", oder?
Und es nützt definitiv gegen die telefonisch abgefragte TAN.
Denn diese Gefahr ist ebenfalls reel, ich kenne mindestens zwei Sparkassen-Kunden, die am Telefon ihre Daten herausgegeben haben, während mir kein HBCI Rücküberweisungstrojaner noch eine andere Variante bekannt ist.
Bei FinTS/HBCI haben die Banken mehr Einfluss, die Kontrolle über den Browser haben sie ja kaum, es sei denn, man nutzt Spezialbrowser, wie VR-Protect.

Widerspruch! Leider falsch... Unsere Fälle gehen zu ca 50% auf Rücküberweisungstrojaner mit manipulierter Umsatzanzeige und zu ca 50% auf "Test- oder Bestätigungstrojaner" zurück. Die "soziale Komponente" ist leider sehr bzw. überwiegend relevant... Die Technik zur TAN-Erzeugung und Anzeige ist (noch?) nicht der Angriffspunkt... Die vorhandenen TAN-Verfahren funktionieren soweit gut.

Ansonsten helfen nur deine erwähnten Ergänzungen. Und auch hier gilt wieder die Regel: so aufwendig wie nötig und nicht wie möglich... Damit sind wir dieses Jahr ganz gut unterwegs - auch ohne neues TAN-Verfahren...

By the way: PushTAN ist vor allem dann kompliziert wenn 2 verschiedene PW genommen werden...

Od

Die Trojaner sind aber mittlerweile so gut gemacht, dass die Manipulation für einen normalen Nutzer gar nicht mehr zu erkennen ist. Da wird sogar das Design der Webseite so beibehalten und nicht irgendwelche farblosen Fenster oder ähnliches zwischengeschoben. Die schrecken auch nicht davor zurück, die Daten live bei sich einzugeben. Da werden den Nutzer schonmal kleine Rechenaufgaben oder Minispiele in die Ansicht geschoben damit der Hacker in Ruhe auf der anderen Seite die Überweisung vorbereiten kann.



Du musst es sogar selber zurücküberweisen. Eine fehlerhafte Überweisung durch Dritte darf die Bank nicht einfach so von deinem Konto wieder abziehen. Wie soll sie auch prüfen ob die berechtigt war oder nicht? Wenn das dann doch berechtigt war und der Auftraggeber nur betrügen wollte, hat die Bank ja die A-Karte. Sie kann nur ihre Kunden über die Fehlbuchung informieren. Wenn dieser sich weigert, muss der Betroffende rechtliche Schritte gehen.

Der Witz ist aber ja auch, dass mit dem zur Bank gehen schlagen die Trojaner ja sogar vor. Kein Scherz. Es gibt Rückbuchungstrojaner, welche auf die angebliche Fehlbuchung hinweisen und vorschlagen zusammen mit den Personalausweis in eine Filiale zu gehen. Aber wenn man keine Zeit haben sollte, darf man die Rückbuchung natürlich auch gerne online vornehmen. Damit denkt der Nutzer dann erst recht es kommt von seiner Bank. Denn welcher Trojaner sollte schon vorschlagen in die Filiale zu gehen wo der Schwindel auffliegen würde?

Also nutzt man lieber die Online-Möglichkeit und bucht das Geld eben fix selber zurück. Und bevor man darüber nachgedacht hat und vielleicht nochmal Rücksprache mit der Bank hält, ist der Schaden schon entstanden.

Wenn sich jemand mit Nadelstreifenanzug, Schlips und Seitenscheitel an den Geldautomaten stellt, artig auf sein Namensschild zeigt, kriegt er auch die ec-Karte und die PIN von bestimmmt 20% der Kunden in die Finger...

Die Trojaner bauen übrigens die Seite nicht nach, sie nutzen einfach die Stylesheets.

Gruß
Raimund