Es gibt ja sehr viele verschiedene TAN-Verfahren, die auch unterschiedlich sicher sind. Für mein Tagesgeldkono habe ich jetzt das mTAN-Verfahren in Benutztung.
Jetzt bin ich mir aber total unsicher, ob mTAN auch wirklich sicher ist.
Wie groß ist die Gefahr, dass die TAN irgendwie vom Handy abgezweigt werden kann oder was passiert, wenn ich mein Handy mal verliere?

Hallo!

Die mobileTAN ist auf jeden Fall sicherer als das "normale" TAN-Verfahren mit einem papierhaften TAN-Bogen oder sogar als die iTAN (TAN's sind nummeriert).

Aus diesem einfachen Grund:
wenn die TAN auf's Handy kommt, werden im Display des Handys die Transaktionsdaten - also EmpfängerkontoNr und der Betrag - angezeigt.
Stimmen diese, kann die TAN eingegeben werden.
Somit ist die TAN "auftragsgebunden", das heißt, mit dieser TAN kann nur diese eine Transaktion an diese Empfängerktonr und über diesen Betrag getätigt werden!

Wenn also jmd die TAN vom Handy abfangen würde, könnte dieser "Betrüger" nichts anderes damit machen, als den Betrag an diese Kontonr zu überweisen.

Wenn das Handy verloren geht, kann man die Handynr für den EMpfang von mobilenTANs sperren, einfach ein Anruf bei der Bank.

LG
Yeannie

Ergänzend:
Wenn das Handy verloren geht, was soll passieren? Ohne das Wissen über die anderen Zugangsdaten (PIN, ggfs. weiteres wie Identifikationsdaten für die Anmledung) kann niemand einen Auftrag einreichen, der dann zum TAN-Versand an das Handy führt.

Diese Daten gehören (nicht nur daher) nur in den eigenen Kopf.

Stimmt, hab ich doch glatt vergessen zu erwähnen ops:

Hallo,

mTAN ist zur Zeit das sicherste TAN Verfahren das es im Online Banking gibt. Nur SmartTAN plus ist noch vergleichbar.

Aber: Der Kunde muss die Transaktionsdaten auf dem Handy schon verifizieren, ansonsten bringt das beste Verfahren nichts.

Grüße
VR

ich bin der Meinung, der Secoder ist die sicherste Onlinebanking-Methode.
Warum?
mobileTAN ist imho angreifbarer durch social engineering:
http://de.wikipedia.org/wiki/Social_Engineering

Wenn der Nutzer das Verfahren verstanden hat, ist das Risiko natürlich nicht mehr gegeben.

Außerdem könnte es auch auf Handys Virenangriffe geben.

Gruß
Raimund

Vergiss alles von wegen sicher. Du hast das eigentliche Problem doch genannt:



Die Leute, die Tans in Forms getastet haben, werden in Zukunft nach drei Tagen anrufen warum im Secoder 5.000 genannt war, wo sie doch nur 100 überweisen wollten. Du bist sowieso schuld, dass die 5.000 jetzt in Lettland sind. Hast schließlich gesagt, das Verfahren sei sicher ....

Oder wir sagen es mit Einstein:
"Die Dummheit der Menschen und das Universum sind unendlich. Beim Universum bin ich mir nicht sicher."

CU
Frank

Social Engineering wird bei Menschen immer funktionieren.
Ausser ggf. bei Soziopathen, denen sollte man aber besser kein Geld abluchsen

Nach dem Grundsatz "Mache nur, was du auch verstehst" darf man schon noch behaupten, dass mobileTAN sicher ist.

Mit dem Grundsatz schneidest du aber 20% aller Menschen vom heutigen täglichen Leben ab ...

Hallo Fellini,

die 20% sind aber seeeeehr optimistisch geschätzt... :noidea:

Otto

Wir hatten diese Woche eine Kundenveranstaltung zum Thema Sicherheit und einen IT-Spezialisten, der u.a. auch für das BSI arbeitet, als Redner.

Er hat dann von einem Phishing-Fall erzählt, bei dem eine Notarfachangestellte aus Süddeutschland eine Mail auf dem Geschäfts-PC erhielt und dann 70(!) iTANs ins Formular getippt hat. Abgesehen davon, dass die Dame dazu erstmal einen neuen iTAN-Bogen bei der Bank bestellt hat, von der sie dachte, dass auch die Email kommt, hat sie 3 Stunden ihrer Arbeitszeit zum eintippen geopfert. Ergebnis war der laut Aussage des Spezialisten größte Phishing-Fall dieses Landes, da vom Geschäftskonto des Notars 185.000 Euro wegüberwiesen wurden.

na die hat ja schon fast nen pokal verdiehnt... :hbang:

Die mTAN ist genau so angreifbar wie die iTAN.

Bei vielen (wenn nicht allen Banken) ist die Handynummer im persönlichen Profil des Kunden hinterlegt. Man benötigt also nur seine PIN um an diese Daten zu kommen. Die PIN zu bekommen ist ja z.B. mittels eines Keyloggers kein zu großes Problem, wenn der Angegriffene unvorsichtig ist.

Anschließend wird an das Handy ein Trojanisches Pferd wie z.B. ZeuS geschickt. Ist der Nutzer unvorsichtig ist das Handy genau so infiziert wie früher der PC beim TAN/iTAn-Verfahren.

Meines Erachtens ist die Manipulation beim mTAN-Verfahren sogar einfacher für Angreifer, da die meisten Menschen zwar bei der reinen Internutzung vorsichtiger geworden sind, weil heutzutage jeder eine blasse Ahnung von Malware hat...während sie beim Handy jede Nachricht annehmen, weil ihnen die Gefahren -noch- nicht bewußt sind.

Der einzige Grund warum das mTAN-Verfahren noch nicht Angriffen in dem Ausmaß wie die iTAN ausgesetzt war, liegt in seiner bisher geringeren Verbreitung.
Die meisten Kunden nutzten halt in der Vergangenheit das iTAN-Verfahren und nicht das der mTAN.
Und bei den weitgehend maschinell vorgetragenen Angriffen geht es nur darum möglichst viele Kunden abzukassieren.

Die ganzen Malware-Attacken dienen heute überwiegend Massengeschäften wie z.B. dem millionenfachen Spamversand, DDoS-Angriffen auf Server, Abräumen von vielen Konten beim Online-Banking, in kleinerem Ausmaß Shop-Einkäufe mit fremden Account mittels Trojanischen Pferden mit Backdoor-Funktion und Geldepressungen (Ransomware) beispielsweise in Form von PC-Blockaden und Verschlüsselungen wichtiger Daten auf dem Rechner des Angegriffenen.

An einer Art Hackerromantik à la "ich knackte das bestabgesicherte Online-Banking-Konto" haben die Angreifer von heute kein Interesse.

sorry, das ist einfach Unsinn.
Ein Betrüger muss es schaffen, mindestens zwei verschiedene Systeme zu infizieren, erstmal den PC - und in dieser Stufe hätte es sich schon mit der Sicherheit der iTAN erledigt - und dann zusätzlich auch noch das Handy.
Dazu muss das Handy UND PC angreifbar sein, viele verwendete Mobiltelefone sind z.B. technisch gar nicht in der Lage, Programme zu installieren.
Und wenn: der User muss so dämlich sein, einfach auf eine obskure Anforderung hin eine App, das trojanische Pferd, zu installieren.

Das alleine zeigt, dass deine Aussage so pauschal nicht stimmen kann!

Der Sicherheitsvorteil der mobilen TAN zum TAN-Bogen ist immens und zwar schon deshalb, weil der Benutzer überhaupt eine sehr gute Chance hat, den Angriff zu erkennen. Das ist nämlich wesentlich! Ein geschickt programmierter und brandaktueller Banktrojaner kann bei der Nutzung der iTAN nicht erkannt werden. Bei aktuellen Verfahren halt schon.

Ich stimme dir aber sofern zu, dass die Gefahr des Handvirus noch recht unbekannt ist und das die User dringend darüber aufgeklärt werden müssen. Es gehört unbedingt dazu, dass sich ein heutiger Nutzer des Onlinebanking unbedingt mit der verwendeten Technik auseinander setzen sollte. Er sollte auch hinterfragen, welches Verfahren für ihn und sein Nutzerverhalten das richtige ist - und sich gegebenenfalls für eine andere Bank entscheiden...

Gruß
Raimund

Da ist sicher die angezeigte Handynummer in der "Verwaltung" des eBankings gemeint, oder?

Also bei allen Banken, die ich kenne, wird die Handynummer dort nicht komplett dargestellt, sondern jede 2. Zahl wird durch ein "X" ersetzt.

Der Betrüger kommt also nur an die Handynummer, wenn der Kunde - dessen PC bereits infiziert ist - seine Handynummer am Bildschirm eintippt.
Das wiederum würden bestimmt viele tun, denn die Bank fragt ja augenscheinlich nach den Daten :roll:

Deshalb ist Information sooo wichtig!

Da dies bei den genoss. Banken im eBanking nicht zutrifft kann man/frau den Rest gleich wieder vergessen.

Bei Volksbanken wirst du die Handynummer nicht im Klartext im Online-Banking vorfinden, da gehts mit deinen Aussagen schonmal los! Ohne den Anwender kann dieser mobileTAN-Trojaner keinen Erfolg haben.

Die aktuellen mobileTAN Trojaner basieren darauf, erst den PC zu infizieren. Danach werden Detailinfos wie Gerätetyp und Handynummer abgefragt. Im Anschluss kommt der maßgeschneiderte Trojaner für das Handy und der muss angenommen und installiert werden.

Die Verbreitung der mTAN oder wie sie jeweils heißen mag, nimmt stetig zu. Allerdings hoffe ich, dass sich ein Infizierungsprozess bei 2 Medien nicht so rasant durchsetzt, wie beim Befall eines PC.