ZitatOriginal geschrieben von BartS1975
Ohne Schadprogramm kein Schaden.
Bei manchen ist es wahrscheinlicher als bei anderen. Etliche Betriebssysteme sind sicherer als Windows (und sei es nur weil sie noch so selten sind, daß sich die Schadsoftwareentwicklung nicht lohnt). Aber vollständig lässt es sich nicht ausschließen - auch bei vorsichtigstem Verhalten.
ZitatOriginal geschrieben von sparfux aber wer vergleicht denn schon noch Empfänger IBAN? Ich jedenfalls nicht.
Tja, dann kann die Bank aber sagen: Selber schuld. Ich vergleiche mindestens die ersten vier Stellen (Land+Prüfziffern) der IBAN.
ZitatOriginal geschrieben von sparfux
... aber wer vergleicht denn schon noch Empfänger IBAN? Ich jedenfalls nicht.
Das ist wirklich sehr fahrlässig.
Aber auch beim flüchtigen Blick auf die Daten ohne genauere Prüfung sollte einem doch in der Regel schon auffallen, dass da komplett andere Ziffern stehen. Man müsste die Empfängerdaten wohl schon aktiv ausblenden um nicht zu merken, dass etwas nicht stimmt.
Was ich daran jetzt nicht ganz verstehe:
Wenn der "man-in-the-middle" es bei einer iTan-Transaktion schafft, bei der endgültig abgeschickten und mit iTan bestätigten Transaktion noch dem Empfänger und das Konto zu ändern - warum soll ihm das bei einer mobile-Tan-bestätigten Transaktion nicht gelingen, auch wenn der Kunde vorher ordungsgemäß die Empfänger-Angaben geprüft hat?
Oder ist bei der Berechnung der mobile TAN irgendwie die Empfänger-Konto-Nummer im Berechnungs-Algorithmus? (so daß bei Änderung des Empfängerkontos durch man-in-the middle die mobile-TAN nicht mehr paßt...)
Ich glaube du hast da einen Denkfehler. Bei einem man-in-the-middle Angriff mit iTAN wird der Empfänger nicht nachträglich geändert.
Du loggst dich bei deiner Bank ein und tippst ein "Überweise 10€ an Klaus", dieser Auftrag geht aber nicht zur Bank, sondern an den Angreifer. Dieser tippt jetzt ein "Überweise 1000€ an Angreifer" und sendet den Auftrag an die Bank. Die Bank sagt "Ich überweise 1000€ an Angreifer. Gib dazu TAN 89 ein". Jetzt kommt wieder das Schadprogramm ins Spiel. Das zeigt dir auf deinem PC an "Gib für Überweisung von 10€ an Klaus die TAN 89 ein".
Du gibst TAN 89 ein. Diese geht zum Angreifer und er hat nun die benötigte TAN um den Auftrag "1000€ an Angreifer" auszuführen.
Die gleiche Vorgehensweise bei mobile-TAN führt dazu, dass du eine SMS bekommst in der steht "Die TAN für Überweisung von 1000€ an Angreifer lautet ...". An dieser Stelle merkst du, dass etwas nicht stimmt und brichst den Vorgang ab.
ZitatOriginal geschrieben von kmak
Warum nur? Das Man-in-the-middle Angriffe möglich sind und tatsächlich erfolgen ist offensichtlich. Daher ist dieses Verfahren aus technischer Sicht unzureichend.
das ist aber bei mTAN auch nicht anders. Die Schwachstelle sind hier die Mobilfunkprovider. Da gab es doch vor nicht allzulanger Zeit einen Fall mit ich meine mobilcomdebitel und O2.
Die Angreifer hatten, vermutlich mit einem Trojaner, die Zugangsdaten zu Onlinebanking abgegriffen. Auf dem gleichen Weg haben sie vermutlich auch noch herausgefunden wie die Handynummer lautet und bei welchem Provider diese läuft. Dann haben sie sich einfach eine neue SIM-Karte beschafft.
Das besondere war dass die die Karte nicht telefonisch oder online bestellt wurde, sondern persönlich in einem entsprechenden Shop.
Bei ganz vielen Anbietern kann mit wenigen Klicks die Adresse online geändert werden. Genauso einfach kann auch eine Ersatzkarte bestellt werden.
Am Telefon wird auch heute sehr oft nur Adresse und Geburtsdatum abgefragt.
ZitatOriginal geschrieben von horstihorsthorst
.... man-in-the-middle Angriff mit iTAN ...
Du loggst dich bei deiner Bank ein und tippst ein "Überweise 10€ an Klaus", dieser Auftrag geht aber nicht zur Bank, sondern an den Angreifer. Dieser tippt jetzt ein "Überweise 1000€ an Angreifer" und sendet den Auftrag an die Bank. Die Bank sagt "Ich überweise 1000€ an Angreifer. Gib dazu TAN 89 ein". Jetzt kommt wieder das Schadprogramm ins Spiel. Das zeigt dir auf deinem PC an "Gib für Überweisung von 10€ an Klaus die TAN 89 ein".
Du gibst TAN 89 ein. Diese geht zum Angreifer und er hat nun die benötigte TAN um den Auftrag "1000€ an Angreifer" auszuführen.
Das gleiche Szenario ist aber auch mit chipTAN denkbar - dieses Verfahren wird jedoch z.B. von Sparda als sichere Alternative zur bald abgeschafften iTAN empfohlen.
Den bereits erfolgten Missbrauch mit mTAN hat der Vorposter erwähnt. Dort muss man zwar zwei Systeme knacken, die Mobilfunkprovider haben jedoch längst nicht die gleichen Sicherheitsanforderungen wie Banken. Wer musste in dem Fall eigentlich den Schaden tragen? Der fahrlässige Mobilfunkshop wohl kaum - und falls es doch in die Richtung geht, dann werden die Mobilfunkprovider bald generell den Gebrauch für mTAN per AGB-Änderung ausschließen.
ZitatOriginal geschrieben von kmak
Tja, dann kann die Bank aber sagen: Selber schuld. (..)
Ich glaube inzwischen, dies ist der "Kasus Knacktus" bei dem ganzen.
Es geht nicht so sehr darum, Mehrwegesicherheit für den Endverbraucher zu schaffen, sondern um eine immer weitergehende, immer weiter getriebene perfekte Sicherheit für die Bank, für nichts einstehen zu müssen und ihren EDV-Aufwand immer mehr auf den Kunden outsourcen (abwälzen) zu können.
Es ist doch seit jeher so, dass Passwörter und Authentifizierungsverfahren ein Katz-und-Maus-Spiel mit den unlauteren Elementen des Internets sind. Eine Art Wettrüsten. Der Kreativität auf beiden Seiten sind keine Grenzen gesetzt. Deswegen wird sich das Spiel immer wiederholen, und neue Situationen entstehen von denen man jetzt noch nichts weiß (unknown Unknowns).
Ich sehe eine deutliche Parallele zur Problematik "PIN oder Unterschrift" bei Kreditkarten und statt der aalglatten "Digitalität", die man ohne Hochschulstudium der Informatik im Konfliktfall nicht erschüttern kann, hat die analoge Unterschrift deutliche Vorteile was Transparenz, Nachvollziehbarkeit und Beweisbarkeit angeht.
Und da würde ich analoge Verfahren gegenüber digitalen immer bevorzugen, und weniger perfekte digitale immer den perfekteren.
Ich möchte hier auch auf das klassische Telefonbanking - ohne zwischengeschaltetes Internet - aufmerksam machen: solange man die Nummern per Telefontastatur eingibt und diese nicht aufgezeichnet werden bzw. niemand das gesprochene Telefonkennwort mithören kann, ist dieses recht sicher. Und da alles Gesprochene aufgezeichnet wird in der Bank, ist eine ähnliche "analoge" Beweissituation gegeben wie bei der Unterschrift auf der Kreditkarte.
Vielleicht wird künftig ein menschlicher Schalterbeamter den Kunden in einer Videositzung auffordern, "vor ihm " den Papierbeleg zu unterschreiben und ihn danach in den Scanner zu schieben ... dann wäre auch eine Analog-Beweissituation geschaffen, ähnlich Video-Ident.
ZitatAlles anzeigenOriginal geschrieben von horstihorsthorst
Ich glaube du hast da einen Denkfehler. Bei einem man-in-the-middle Angriff mit iTAN wird der Empfänger nicht nachträglich geändert.
Du loggst dich bei deiner Bank ein und tippst ein "Überweise 10€ an Klaus", dieser Auftrag geht aber nicht zur Bank, sondern an den Angreifer. Dieser tippt jetzt ein "Überweise 1000€ an Angreifer" und sendet den Auftrag an die Bank. Die Bank sagt "Ich überweise 1000€ an Angreifer. Gib dazu TAN 89 ein". Jetzt kommt wieder das Schadprogramm ins Spiel. Das zeigt dir auf deinem PC an "Gib für Überweisung von 10€ an Klaus die TAN 89 ein".
Du gibst TAN 89 ein. Diese geht zum Angreifer und er hat nun die benötigte TAN um den Auftrag "1000€ an Angreifer" auszuführen.
Die gleiche Vorgehensweise bei mobile-TAN führt dazu, dass du eine SMS bekommst in der steht "Die TAN für Überweisung von 1000€ an Angreifer lautet ...". An dieser Stelle merkst du, dass etwas nicht stimmt und brichst den Vorgang ab.
Der Denkfehler hierbei ist, dass bei den heutigen IBANs Banken ja nicht mehr überprüfen (müssen), ob Name des Empfängers mit der Kontonummer übereinstimmen. Der Empfängername ist beliebiger Stuß und wenn die Nummer mit Prüfsumme stimmt, geht die Überweisung durch, egal wohin, egal wie falsch und unbeabsichtigt. "Dein Geld ist nicht weg, es hat nur jemand anders jetzt." 
Bei Papierüberweisungen ist das weitgehend Realität.
Damit mTAN wirklich funktioniert, müsste die Bank etwas machen was sie sich bisher hütet zu tun, nämlich eine Datenbank mit Zuordnungen IBAN <--> Empfängernamen pflegen und korrekt halten und im Einzelfall auch abfragen.
Wenn es nämlich so ist wie bei regulären Überweisungen, könnte ein Schadprogramm einfach das Textfeld "Klaus" in seine Fake-Überweisung einsetzen und bei der IBAN die Zahlenkolonne des Angreifers bzw. seines Begünstigten. :o
Und dann die Gretchenfrage:
Wenn in der mTAN - Kontroll-SMS der Name "Klaus" aus deinem Beispiel drinsteht, wieviel % der Durchschnittsbürger werden dann die nachfolgende 22stellige Zahlenkolonne Ziffer für Ziffer kontrollieren und vergleichen?
ZitatOriginal geschrieben von rmol
Das gleiche Szenario ist aber auch mit chipTAN denkbar
Nein, da der chipTAN Generator den Betrag und die IBAN (teilweise abgeschnitten) des Empfängerkontos anzeigt. Man muss natürlich die Anzeige auf dem chipTAN Generator mit den gewünschten Überweisungsdaten vergleichen, ansonsten ist das ganze Verfahren sinnlos.
In diesem Sinne ist chipTAN auch eines der sichersten (das sicherste?) TAN-Verfahren, da sich so ein chipTAN Generator erstmal nicht so einfach hacken lässt. Ein möglicher Angriffsvektor wäre da z.B. die Ausgabe von manipulierten chipTAN Generatoren oder so.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
