Hallo Experten,

ich suche eine Antwort auf folgendes Problem:

Angenommen ein Betrüger hat Kenntnis von Tan-Nummern. Kann er eine dieser Tan-Nummern verwenden, um im iTan-Verfahren eine betrügerische Banküberweisung zu veranlassen ? Er kennt doch die Tan-index-Nummer nicht, die zu der Tan gehört.

Wie könnte das funktionieren oder ist das nicht möglich ?

Da müßte doch der Bankserver mitspielen, oder...?

Für jeden Hinweis oder hilfreichen Link bin ich sehr dankbar.

Juppi

Er kann nur etwas mit der TAN anfangen, wenn er auch den Index kennt oder für seine Überweisung zufällig genau dieser Index abgefragt wird. Die Chance steht (X-3):1 wobei X die Anzahl der noch freien TAN-Nummern bedeutet und 3 für die Aktivierung der neuen TAN-Liste abgezogen werden.

Außerdem braucht er natürlich den PIN und den Anmeldenamen.

Hallo Michael,

danke für die schnelle Antwort. Die TAN-Liste habe ich vor mir liegen. Sie enthält 180 TAN-Nummern. Daraus könnte man eine Wahrscheinlichkeit errechnen. Soweit verstanden.

Aber wie kommst Du (ok?) auf die 3 für die Aktivierung der neuen TAN-Liste?

Bei Sparkassen können die letzten drei TAN-Nummern nur für die Aktivierung der neuen TAN-Liste verwendet werden und nicht für anderweitige Aufträge.

EDIT: Ich nahm jetzt an, dass andere Institute die gleiche oder ähnliche Regelungen haben. Muss aber nicht, ist nicht Vorschrift soweit ich weiß.

Wenn der Betrüger Pharming oder URL Spoofing statt "normalem" Phishing benutzt funktionierts mit iTAN genauso gut.

Hallo,

muss ich jetzt annehmen, dass die Verwendung einer TAN-Nummer, deren Kenntnis sich ein Betrüger wie auch immer beschafft hat, ein ziemlich schlechtes Werkzeug für die Durchführung eines online-Betruges darstellt, denn es setzt gegebenenfalls längeres "Ausprobieren" der TAN-Nummer voraus, bis sie schließlich die richtige Index-Nummer trifft. Das ist eigentlich sehr zeitaufwendig und daher kaum geeignet.

Geeigneter d.h. erfolgsversprechender scheint mir ein Phishing, Pharming oder Spoofing-Angriff zu sein.

Könntet Ihr mir da zustimmen ?

Ja, können wir zustimmen.
Im übrigen werden Onlinebanking-Zugänge nach drei TAN-Fehlversuchen ohnehin gesperrt - zumindest bei Sparkassen.
Daher fragen typische Pharming-Seiten auch meist 10 oder mehr TAN-Nummern inkl. zugehörigem Index ab mit total unsinnigen Begründungen. Leider fallen heutzutage trotzdem noch mündige Bürger auf soetwas herein.

Bei den Volksbanken im Fiducia-Gebiet werden zwar keine iTAN´s für die AKtivierung des Folgebogens benötigt, dafür kann aber eine gewisse Anzahl iTAN´s generell nicht genutzt werden (zB die letzten 20). Dies stellt auch ein gewisses Sicherheitspotential dar. Und das Anfordern mehrerer iTAN´s führt auch Sicherheitsgründen auch zur Sperre. Die reinen Phishing-Seiten sehe ich dank permanenter Aufklärung in den Medien nicht mehr als das Problem. Ich glaube die Betrüger arbeiten mitlerweile verstärkt an Trojanern, welche den Browser manipulieren und einfach nur die Empfängerbankverbindung im Hintergrund ändern. Ist insofern einfacher, weil damit keine Daten bekannt sein müssen. Der Kunde gibt ja alles selber ein.

...und dagegen hilft mTAN oder chipTAN.

Hallo alle zusammen,

ich möchte mich bei allen sehr für die Mühe und den Gehirnschmalz bedanken !!!
Freundliche Grüße aus Würzburg
:winke:

Hallo Zimmi,

ich möchte dich deshalb noch etwas fragen, weil du dich offensichtlich mit der Fiducia auskennst.

In eine Antwort von dir (s.o.) steht: "Das Anfordern mehrerer iTANs führt aus Sichheitsgründen auch zur Sperre". Muß ich das so verstehen, dass eine automatische Sperre erfolgt, wenn man hintereinander (z.B. 3mal) eine falsche iTAN eingibt? Ist das schon immer so gewesen?

Danke für die Antwort

Gruß Juppi :roll:

Tschuldigung das ich dazwischenfunke...
Hier geht es aber um ein Sicherungskonzept, das an der Stelle nicht RZ spezifisch ist - ich denke auch das das aus den bisherigen Postings so nicht hervorgeht.

Natürlich werden OB-Zugänge automatisch gesperrt und das war auch schon immer so. 3xPIN oder 3xTAN falsch haben schon immer zu einer Sperre geführt.

Mit der iTAN Einführung kam auch die 3x unbeantwortete TAN-Anforderung dazu, die sogenannte Index Sperre. Mit Ihr verhindert man, das ein Betrüger der eben keine komplette Liste sondern z.B. nur ein paar TAN samt Index kennt, solange einen Auftrag einreicht, bis die bekannte Position erfragt wird.

Und das ist das was Zimmi meinte. Also nicht 3x TAN falsch, sondern 3x keine TAN. Zur Sperre führt natürlich trotzdem beides.

So ist es