Wie sicher ist mTAN?

Hallo!

Die mobileTAN ist auf jeden Fall sicherer als das "normale" TAN-Verfahren mit einem papierhaften TAN-Bogen oder sogar als die iTAN (TAN's sind nummeriert).

Aus diesem einfachen Grund:
wenn die TAN auf's Handy kommt, werden im Display des Handys die Transaktionsdaten - also EmpfängerkontoNr und der Betrag - angezeigt.
Stimmen diese, kann die TAN eingegeben werden.
Somit ist die TAN "auftragsgebunden", das heißt, mit dieser TAN kann nur diese eine Transaktion an diese Empfängerktonr und über diesen Betrag getätigt werden!

Wenn also jmd die TAN vom Handy abfangen würde, könnte dieser "Betrüger" nichts anderes damit machen, als den Betrag an diese Kontonr zu überweisen.

Wenn das Handy verloren geht, kann man die Handynr für den EMpfang von mobilenTANs sperren, einfach ein Anruf bei der Bank.

LG
Yeannie

Stimmt, hab ich doch glatt vergessen zu erwähnen ops:

ich bin der Meinung, der Secoder ist die sicherste Onlinebanking-Methode.
Warum?
mobileTAN ist imho angreifbarer durch social engineering:
http://de.wikipedia.org/wiki/Social_Engineering

Wenn der Nutzer das Verfahren verstanden hat, ist das Risiko natürlich nicht mehr gegeben.

Außerdem könnte es auch auf Handys Virenangriffe geben.

Gruß
Raimund

Social Engineering wird bei Menschen immer funktionieren.
Ausser ggf. bei Soziopathen, denen sollte man aber besser kein Geld abluchsen

Mit dem Grundsatz schneidest du aber 20% aller Menschen vom heutigen täglichen Leben ab ...

Wir hatten diese Woche eine Kundenveranstaltung zum Thema Sicherheit und einen IT-Spezialisten, der u.a. auch für das BSI arbeitet, als Redner.

Er hat dann von einem Phishing-Fall erzählt, bei dem eine Notarfachangestellte aus Süddeutschland eine Mail auf dem Geschäfts-PC erhielt und dann 70(!) iTANs ins Formular getippt hat. Abgesehen davon, dass die Dame dazu erstmal einen neuen iTAN-Bogen bei der Bank bestellt hat, von der sie dachte, dass auch die Email kommt, hat sie 3 Stunden ihrer Arbeitszeit zum eintippen geopfert. Ergebnis war der laut Aussage des Spezialisten größte Phishing-Fall dieses Landes, da vom Geschäftskonto des Notars 185.000 Euro wegüberwiesen wurden.

Die mTAN ist genau so angreifbar wie die iTAN.

Bei vielen (wenn nicht allen Banken) ist die Handynummer im persönlichen Profil des Kunden hinterlegt. Man benötigt also nur seine PIN um an diese Daten zu kommen. Die PIN zu bekommen ist ja z.B. mittels eines Keyloggers kein zu großes Problem, wenn der Angegriffene unvorsichtig ist.

Anschließend wird an das Handy ein Trojanisches Pferd wie z.B. ZeuS geschickt. Ist der Nutzer unvorsichtig ist das Handy genau so infiziert wie früher der PC beim TAN/iTAn-Verfahren.

Meines Erachtens ist die Manipulation beim mTAN-Verfahren sogar einfacher für Angreifer, da die meisten Menschen zwar bei der reinen Internutzung vorsichtiger geworden sind, weil heutzutage jeder eine blasse Ahnung von Malware hat...während sie beim Handy jede Nachricht annehmen, weil ihnen die Gefahren -noch- nicht bewußt sind.

Der einzige Grund warum das mTAN-Verfahren noch nicht Angriffen in dem Ausmaß wie die iTAN ausgesetzt war, liegt in seiner bisher geringeren Verbreitung.
Die meisten Kunden nutzten halt in der Vergangenheit das iTAN-Verfahren und nicht das der mTAN.
Und bei den weitgehend maschinell vorgetragenen Angriffen geht es nur darum möglichst viele Kunden abzukassieren.

Die ganzen Malware-Attacken dienen heute überwiegend Massengeschäften wie z.B. dem millionenfachen Spamversand, DDoS-Angriffen auf Server, Abräumen von vielen Konten beim Online-Banking, in kleinerem Ausmaß Shop-Einkäufe mit fremden Account mittels Trojanischen Pferden mit Backdoor-Funktion und Geldepressungen (Ransomware) beispielsweise in Form von PC-Blockaden und Verschlüsselungen wichtiger Daten auf dem Rechner des Angegriffenen.

An einer Art Hackerromantik à la "ich knackte das bestabgesicherte Online-Banking-Konto" haben die Angreifer von heute kein Interesse.

Da ist sicher die angezeigte Handynummer in der "Verwaltung" des eBankings gemeint, oder?

Also bei allen Banken, die ich kenne, wird die Handynummer dort nicht komplett dargestellt, sondern jede 2. Zahl wird durch ein "X" ersetzt.

Der Betrüger kommt also nur an die Handynummer, wenn der Kunde - dessen PC bereits infiziert ist - seine Handynummer am Bildschirm eintippt.
Das wiederum würden bestimmt viele tun, denn die Bank fragt ja augenscheinlich nach den Daten :roll:

Deshalb ist Information sooo wichtig!

Bei Volksbanken wirst du die Handynummer nicht im Klartext im Online-Banking vorfinden, da gehts mit deinen Aussagen schonmal los! Ohne den Anwender kann dieser mobileTAN-Trojaner keinen Erfolg haben.

Die aktuellen mobileTAN Trojaner basieren darauf, erst den PC zu infizieren. Danach werden Detailinfos wie Gerätetyp und Handynummer abgefragt. Im Anschluss kommt der maßgeschneiderte Trojaner für das Handy und der muss angenommen und installiert werden.

Die Verbreitung der mTAN oder wie sie jeweils heißen mag, nimmt stetig zu. Allerdings hoffe ich, dass sich ein Infizierungsprozess bei 2 Medien nicht so rasant durchsetzt, wie beim Befall eines PC.