Sicherheitspaket

Hallo,

da ich bisher auf meine Anfrage per Mail bei der Sparkasse noch keine Antwort erhalten habe,habe ich mir die Website mit dem Angebot des Zahlungsverkehrsschutzes nochmal auf Plausibilität hin angeschaut.

Zitat Sparkasse:
"Je beliebter das Online-Banking wird, umso intensiver sollten Sie an den Zahlungsverkehrsschutz bei Phishing-Fällen unter Einsatz der Sicherungsverfahren smsTAN, chipTAN, HBCI-Chipkarte und qualifizierte Signatur denken.
Mit Konto PREMIUM und Konto KOMPLETT sind Sie ohne Zusatzkosten auf der sicheren Seite,
bei Konto ONLINE können Sie das Sicherheitspaket zusätzlich erwerben.

Keine Selbstbeteiligung im Schadensfall
Haftungsübernahme bis zu 10.000 €
Direkter Kontoausgleich binnen 72 Stunden
Sichere smsTAN-Flatrate inklusive" Zitat Ende.

Phishing Fälle beim Einsatz der Sicherungsverfahren smsTAN - chipTAN , HBCI Chipkarte und qualifizierte Signatur

Wie soll das technisch funktionieren?
Meines Erachtens ist Phishing nicht möglich bei Legitimationsverfahren die auf 2 Faktoren basieren... Man braucht hier entweder ein Mobiltelefon oder eine Girocard oder eine HBCI Karte oder eine Karte für die Signatur...

Meine telefonische Nachfrage nach dem Phishingrisiko der genannten Verfahren brachte auch keine Klärung...

kragenbär

Bei quali. Sig., Chipkarte und chipTAN kann ich es mir auch nur schwer vorstellen. Aber bei smsTAN wäre es theoretisch möglich, wenn der Trojaner sowohl PC als auch Handy befallen hat und gleichzeitig zuschlägt. Dann fälscht er auf dem PC nach TAN-Eingabe den Auftrag und auf dem Handy fälscht er Kontonummer und Betrag in der SMS.
Bei chipTAN vielleicht noch bei Sammlern, weil da nur Postenzahl und Gesamtbetrag überprüft werden kann. Aber auch extrem theoretisch.

Phishing bei smsTAN und ChipTAN ist realistisch und bei unachtsamen Kunden auch erfolgreich. Die Trojaner dazu gibt es schon, den Rest (nicht aufpassen) macht der Kunde dann leider selbst.

So wie ich dieses Sicherheitspaket der Sparkasse verstehe, ist es ein weiterer Schritt hin zur "Kopf aus" Mentalität in der Kundschaft. Ob die Sparkasse durch die Gebühren für das Paket die Schadensfälle begleichen kann, wage ich mal zu bezweifeln.

Welcher Trojaner kann die Anzeige im TAN-Generator fälschen?
Oder war das anders gemeint?

ich denke das zielte auf die unaufmerksamkeit des kunden ab, die anzeige des tan-generators kann definitiv nicht manipuliert werden.

Japp genau. Der Generator zeigt die "neue" sprich manipulierte Bankverbindung und den Betrag ein. Der macht quasi seinen Job. Wer dies aber nicht bemerkt, die Daten bestätigt und die erzeugte TAN eingibt, wurde Opfer.

Kam bei uns schon vor, daher die traurige Gewissheit.

OK. Ich dachte, es gäbe schon welche, die den Flickercode manipulieren.
Unaufmerksamkeit des Benutzer ist immer ein Problem. Kragenbär hinterfragte ja die Technik:

eine technische manipulation der transaktionsdaten im leser ist wie gesagt nicht möglich. denkbar sind aber z.b. manipulierte sammelüberweisungen, hier wird lediglich die gesamtsumme und eine kontrollsumme der kontonummern und keine einzeldetails angezeigt. eine kontrolle ist hier nur erschwert und selbst beim nachrechnen der kontrollsumme nicht zu 100% sicher.

bei einzelüberweisungen ist die ursache definitiv vor dem leser da hier die daten komplett kontrollierbar sind.

Basieren die errechneten Werte nicht auf der Flickergrafik beim opt. Verfahren?
Angenommen, der Trojaner sendet die gefälschte Überweisung zur Bank. Dann fängt er die Flickergrafik, die zurück kommt, ab und rechnet daraus die TAN und sendet diese.
Zur Tarnung zeigt er eine gefälschte Flickergrafik die im TAN-Generator zur Anzeige der ursprünglich richtigen Überweisungsdaten führt, damit es der User nicht merkt. User gibt die TAN auch ein, die wird aber garnicht mehr zur Bank gesendet.

Das hälst du für technisch ausgeschlossen? Woher kommt diese Sicherheit?

Und bei der Manipulation des TAN-Generators an sich bin ich ja noch garnicht.
Leute, die auf Phishing-Seiten TAN's eingeben würden es auch glauben, wenn sie per Post von ihrer Bank einen neuen TAN-Generator zugeschickt bekämen den sie dann nur noch verwenden sollen...........Uhhh, Phantasie

Wenn das funktionieren würde, wäre der Markt mit einschlägigen Trojanern überschwemmt und die Banken hätten die TAN-Generatoren längst aus dem Verkehr gezogen.

Da die Generatoren ja mit der Chip-Karte arbeiten, ist ein Emulieren der Generatorfunktion eben nicht möglich.

Was mich mehr beschäftigt ist, dass sowohl sms-TAN als auch Chip-TAN (wie immer man das Verfahren auch nennt) meist (?) nur Betrag und Kontonummer zum Vergleich anbieten. Was ist, wenn ein Trojaner die BLZ manipuliert? Zugegeben der 'Spalt' ist nicht breit, aber ich würde schon gern die gesamte Kontoverbindung kontrollieren.

Viele Grüße
Rautka

Weiß nicht. Wie lange hat es gedauert, bis das alte TAN-Verfahren großflächig angegriffen wurde und die Banken die TAN-Listen aus dem Verkehr ziehen mussten? Du tust so als wäre das das erste mal


Das heißt, auf der Karte ist irgendein Schlüssel, der für die Berechnung hinzugezogen wird? Dann wäre das doch wirklich um Meilen sicherer als smsTAN, oder nicht?
Natürlich mal davon abgesehen, dass man nicht gerade ein Siemens S10 oder so verwendet, das kaum "schlauer" als ein TAN-Generator ist
Denn bei so einem Gerät kann ja kein Trojaner aufgebracht werden.


Du hast vollkommen Recht. Aber den meisten Nutzern ist das jetzt schon zu "affig". Und bei SEPA bzw. Ausland wird das auch schon wieder schwierig mit der Anzeige.

Ist es nicht so,dass der TAN Generator vollkommen austauschbar ist und über keine eigene "Intelligenz" verfügt?
Meines Wissens nach ist es allein der Seccos Prozessor auf der Girocard der die TAN Berechnung unter Einbeziehung der Kontoindividuellen Daten und der aktuellen Auftragsdaten vollführt.
Nur dieser eine fest an das Konto gebundene Prozessor kann TAN"s zu Lasten dieses Kontos generieren...

Der Seccos Prozessor führt ja auch noch viele anderen Anwendungen aus...

EMV,Geldkarte,Ticketing und eben auch ChipTAN.

kragenbär

Entscheidende Frage: Kann das wirklich nur die Anwendung auf dem Chip? Oder werden Daten für die Berechnung verwendet, die auch in den Einstellungen des Onlinebankings abgefragt werden können, wie Kontonummer, Kartennummer und BLZ?
Ansonsten wäre ja die Frage, ob dann von jeder Karte das Pendant des Chip bei der Bank vorrätig ist, um das "Gegenstück" in Form der Flickergrafik zu verschlüsseln. Wäre das nicht extrems aufwendig?

Ja,warum soll der Bankrechner nicht erkennen,dass zur Errechnung der individuellen TAN genau jener Prozessorchip verwendet worden sein muß, der von der Bank in Form der Girocard dem Kunden ausgehändigt wurde?

Von meiner HBCI/FinTS Karte liegt der entsprechende Schlüssel ja auch bei der Bank vor.

kragenbär

Wenn ich mich in mein PayPal Konto einloggen will, verwende ich seit einiger Zeit das Security Token.
Dieses Teil in der Form einer Girocard mit integriertem Display generiert auf Knopfdruck einen 6 stelligen Sicherheitsschlüssel den ich beim Login zusätzlich zur Mailadresse und dem Passwort eingeben muß.
Hier haben wir also wieder eine 2 Faktor Authentifizierung.
(Ich muß eine Hardware,den Token und ein Wissen(Passwort) vorweisen.)
Keylogger können Mailadresse und Passwort ausspähen - den Token zur Generierung des Sicherheitsschlüssels habe nur ich.

PayPal ist in der Lage für jeden ausgegebenen Token mit seiner individuellen Seriennummer nachzuvollziehen welchen Code er in welcher Minute erzeugt.
Und der Code wechselt alle 30 Sek. und ist nur 60 Sek. gültig.

Bei Zeitabweichungen des Token eigenen Zeitgenerators stimmt sich der PayPal Server nach jedem erfolgreichen Login sogar auf die Token eigene Zeit ab.
Technisch scheint also vieles möglich...

kragenbär

Mit HHd 1.4 kam die BLZ als Sicherheitsmerkmal dazu....

Das o.a. Szenario scheitert a) wegen der fehlenden Bankkarte, die der Trojaner nicht hat und b) sollte diesem die Berechnungsmethode für die TAN nicht bekannt sein. Man errechnet nicht einfach mal so eine TAN....