Forum: Offtopic online banking, jetzt kommt der tan per sms

Klaus Ausderkasse schrieb:
> Vielleicht kann mich einer darüber aufklären? Wie sicher ist das ganze
> per sms?

Sicherer als der TAN-Zettel, sofern in der SMS mehr als die TAN steht.

Die Postbank sendet Empfängerkontonummer und Betrag mit, so daß die 
klassische "man-in-the-middle"-Attacke ausgehebelt wird, bei der der 
Datenverkehr zwischen Dir und dem Bankwebserver durch einen feindlichen 
Rechner manipuliert wird. Da die SMS direkt zwischen Bank und Dir 
übertragen wird, kann der manipulierende "man-in-the-middle" deren 
Inhalt nicht ändern.

> hab auch glesen, dass jede sms 10 cent kosten soll... ja danke bank!

Tja, das handhabt nicht jede Bank so. Die Postbank beispielsweise nennt 
den Dienst "kostenlos".

> bin jetzt eigentlich kurz davor mein online banking auf der bank zu
> beenden und überweisungen am schalter, automat oder eben klassisch über
> das überweisungsformular zu erledigen.

Schalter: Nur für Arbeitslose und Rentner nutzbar, da nur während der 
eigenen Arbeitszeit geöffnet. Toll.

Automat: Gut, könnte man so machen. Ist das sicherer? Automaten werden 
gerne mit "erweiterten Funktionen" ausgestattet, die die Eingabe der PIN 
filmen und den Magnetstreifen kopieren.

Überweisungsformular: Mindestens einige Banken wollen für dessen Nutzung 
Geld sehen. Außerdem kann so ein Formular auch Hinz und Kunz und sein 
Hund ausfüllen und bei der Bank einwerfen, wirklich sicher ist so etwas 
daher auch nicht. Und man muss eine recht ordentliche Handschrift haben, 
da die Klarschriftleser der Banken auch recht ... kreativ sein können.

Rufus Τ. Firefly schrieb:
> Klaus Ausderkasse schrieb:
>> Vielleicht kann mich einer darüber aufklären? Wie sicher ist das ganze
>> per sms?
>
> Sicherer als der TAN-Zettel, sofern in der SMS mehr als die TAN steht.

Der Tanzettel hat einwandfrei funktioniert und war sicher genug. Was sie 
jetzt machen verkompliziert mal wieder alles und kostet obendrein mehr. 
Gegen den Tanzettel waren und sind die Geldautomaten/EC-Kartenlesegeräte 
sehr viel unsicherer. Erst kürzlich waren die Kartenleser in einem 
bekannten Baumarkt manipuliert worden. Die Täter haben die Konten dann 
vom Ausland aus geplündert. Alles was sich per Firmware updaten lässt 
ist grundsätzlich manipulierbar und das binnen Sekunden. Der Tanzettel 
war dagegen eine Wohltat aus grauer Vorzeit und ich nutze den Zettel 
solange es irgend möglich ist, obwohl die Bank (meine) bereits liebend 
gerne ihre Lesegeräte an ihre verkaufen möchte.

PS: Wenn ich jemals vor einer "man in the middle"-Attacke Angst gehabt 
hätte (war nie der Fall), dann hätte ich mir gleich das ganze 
Online-Banking erspart. Ich wette, dass diejenigen, die solchen 
Angriffen anheim fallen die gleichen Leute sind, die auch auf die 
Abo-Fallen hereinfallen. Schade, dass es dazu keine Untersuchung gibt. 
Diese Leute sollten besser grundsätzlich an den Bankschalter gehen.

SMS-TANs sind schon seit einiger Zeit kompromittiert:

   ZeuS-Bot greift SMS-TAN-Verfahren ab
   http://www.websicherheit.org/?p=8136

Mir ist rätselhaft, warum die Banken jetzt noch darauf umstellen.

Klaus Ausderkasse schrieb:
> Den kartenleser will ich auch nicht, ist wieder ein ding mehr das
> rumliegt...

Das ist nicht sehr klug, denn HBCI ist das einzige wirklich sichere 
Verfahren und das seit Jahren...

Platinenschwenker .. schrieb:
> Der Tanzettel hat einwandfrei funktioniert und war sicher genug.

Nö. Die "man-in-the-middle"-Attacke hebelt das sehr gut aus.

Beispiel:

Du rufst die Onlinebanking-Seite Deiner Bank auf, aber durch 
entsprechende Manipulationen wird Dir eine nachgeahmte Seite angezeigt. 
Meldest Du Dich mit Deinen Zugangsdaten dort an, greift der nachahmende 
Server auf die tatsächliche Onlinebanking-Seite zu und überträgt die 
dort vorgefundenen Daten in das Dir angezeigte Simulat, so daß Dein 
Kontostand etc. dem entspricht, was Du vorzufinden erwartest.

Führst Du nun eine Überweisung durch, werden durch den simulierenden 
Server die von Dir eingegebenen Daten an die Wünsche des 
Simulatorbetreibers angepasst, d.h. Kontonummer, BLZ und Betrag werden 
verändert.

Also: Du tippst
100 EUR an Tante Erna Konto-Nr 0815 bei Bla-Bank

Der "Man in the middle" macht daraus
1000 EUR an Igor Konto-Nr 4711 bei Wodka-Bank

Die Bestätigungsseite, die Dir angezeigt wird, enthält hingegen die von 
Dir eingegebenen Daten. Gibst Du nun die Tan ein, wird aber die 
Überweisung mit den vom Simulator veränderten Daten durchgeführt.
Das i-Tan-Verfahren (bei der TANs nicht sequentiell, sondern nach einer 
durch den Bankserver vorgegebenen Reihenfolge genutzt werden) schützt 
hier nicht.

Wenn der Simulator gut ist, stellt er nach der Überweisung auch einen 
manipulierten Kontoauszug dar, so daß dort die 100 EUR an Tante Erna und 
nicht die 1000 EUR an Igor draufstehen.

Bei der SMS-Tan müsste auch der Datenverkehr zwischen der Bank und 
Deinem Telephon abgefangen und manipuliert werden, denn sonst sähest Du 
in der SMS die vom Manipulator  veränderten Daten, also (wenn man den 
Datenumfang der Postbank betrachtet) 1000 EUR und 4711 statt 0815.

> Wenn ich jemals vor einer "man in the middle"-Attacke Angst gehabt
> hätte (war nie der Fall), dann hätte ich mir gleich das ganze
> Online-Banking erspart.

Die Frage ist nicht, wovor man Angst haben sollte oder nicht, sondern 
was ein realistisches Angriffsszenario ist. Webbrowser sind realistische 
Angriffsopfer, und Onlinebankingnutzer deutscher Banken sind tatsächlich 
das Ziel entsprechender Personenkreise.

Uhu Uhuhu schrieb:
> SMS-TANs sind schon seit einiger Zeit kompromittiert:
>
>    ZeuS-Bot greift SMS-TAN-Verfahren ab


> Der Angreifer infiziert das mobile Gerät des Anwenders indem er Ihn
> verleitet, eine bösartige Anwendung (der Angreifer sendet eine SMS
> mit einem Link zu der Malicious Mobile-Anwendung) zu installieren.

Das setzt voraus, daß das zum Empfang der SMS genutzte Gerät auf diese 
Art und Weise kompromittiert werden kann. Dazu muss die Telephonnummer 
bekannt sein; zumindest die Postbank stellt diese nicht auf seinem 
Webinterface dar, und dazu muss der Typ des verwendeten Gerätes bekannt 
sein, und obendrein muss der Anwender so ... naiv sein, irgendwelche in 
SMS enthaltenen Links anzuklicken.

Das Gefährdungspotential dürfte daher nicht mit dem eines normalen 
Internetnutzers vergleichbar sein, der z.B. mit dem Internet Explorer 
unter Windows unterwegs ist ...

Rufus Τ. Firefly schrieb:
ert.
>
> Also: Du tippst
> 100 EUR an Tante Erna Konto-Nr 0815 bei Bla-Bank
>
> Der "Man in the middle" macht daraus
> 1000 EUR an Igor Konto-Nr 4711 bei Wodka-Bank
>

ROFL Rufus ist so geil :D

Rufus Τ. Firefly (rufus) (Moderator) schrieb:

Platinenschwenker .. schrieb:
>> Der Tanzettel hat einwandfrei funktioniert und war sicher genug.

> Nö. Die "man-in-the-middle"-Attacke hebelt das sehr gut aus.

> Beispiel:

> Du rufst die Onlinebanking-Seite Deiner Bank auf, aber durch
> entsprechende Manipulationen wird Dir eine nachgeahmte Seite angezeigt.

Ach komm, dieses ewige konstruieren von sinnlosen Beispielen kann man 
genau so gut für jedwede Zusatzhardware anbringen. Handys sind 
manipulierbar, lassen sich via aufgespielter Schadsoftware 
ausspionieren. Zusatzgeräte lassen sich "dank" 
Firmware-Updatemöglichkeiten manipulieren und das alles wesentlich 
intransparanter als eine Webseite. Dein Einwand stimmt sowieso nicht 
wenn man sich an gewisse Gepflogenheiten beim Aufrufen der Bankwebseite 
hält so wie es die Bank empfiehlt. Aber es soll Leute geben, die 
vermeintliche Bankseiten aus irgendwelchen zugespielten URLs aus Mails 
heraus aufrufen. Solche Deppen gibt es natürlich. Wie ich schon sagte, 
schau dir dir Leute an die auf Abofallen reinfallen ..

Und denke mal an das Beispiel aus dem Baumarkt, das letztens durch die 
Gazetten ging.

Wer Phishing-Angriffe mühelos erkennt und Bankaktivitäten stets nur dort 
erledigt, wo er seine TAN Liste sicher aufbewahrt, also i.d.R. zu Hause, 
für den sind SMS-Verfahren unnötig.

Aber wenn man mobil ist, dann hat das SMS-Verfahren gewisse Vorteile. 
Wobei dann aber die Sicherheit etwas leidet, wenn man nun wieder für 
Transaktion und Absicherung das gleiche Gerät verwendet, d.h. 
Transaktion auf dem gleichen Phone wie die SMS. Der Charme an der SMS 
ist ja eigentlich, dass normalerweise zwei völlig getrennte Systeme 
involviert sind. Optimal wärs wohl, wenn man für die SMS ein separates 
weniger manipulationsgefährdetes Strohdummphone rumschleppt.

Auch die bisherige Phishing-Methode der simplen Sorte, "wenn sie uns 
schon nicht direkt das Geld überweisen wollen, dann schicken Sie uns 
ersatzweise bitte 5 TANs und wir machen es selber", funktioniert nicht 
mehr. Irgendwas werden sich die Gauner aber sicher auch hier einfallen 
lassen.

Haltet euer Bankkonto, das nicht überzogen werden kann, auf niedrigem 
Niveau, dann ist der Verlust nicht ganz so schlimm, wenn es einem doch
mal passiert.

Platinenschwenker .. schrieb:
> Und denke mal an das Beispiel aus dem Baumarkt, das letztens durch die
> Gazetten ging.

Die rätseln noch wie die Gauner das gedreht haben ohne Einbruchspuren
zu hinterlassen? Meiner Meinung nach dürfte es nicht schwer sein sich
in so einem großen unübersichtlichen Markt kurz vor Ladenschluss zu 
verstecken und sich einschließen zu lassen, hat dann, sofern kein
Wachdienst oder IR-Geräte vorhanden sind, die ganze Nacht Zeit und 
manipuliert die Geräte, und wenn der Laden nächsten Tag wieder
öffnet ist der Täter wieder frei und keiner hat was gemerkt.
Ich verstehe bloß nicht, warum da nicht mal einer selbst drauf kam
und das in der Presse zu lesen war? Angst vor Nachahmern?
Die Märkte(alle) sollen solche Geräte in Tresore an der Kasse nachts
wegschließen, dann passiert so was auch nicht.

Platinenschwenker .. schrieb:
>> Du rufst die Onlinebanking-Seite Deiner Bank auf, aber durch
>> entsprechende Manipulationen wird Dir eine nachgeahmte Seite angezeigt.
>
> Ach komm, dieses ewige konstruieren von sinnlosen Beispielen

Achso, das ist ein sinnloses Beispiel. Na, dann ist ja schön, daß Du 
darauf hingewiesen hast, daß das kein Problem sein kann.

> Handys sind manipulierbar, lassen sich via aufgespielter Schadsoftware
> ausspionieren.

Gewiss, aber -von Smartphones abgesehen- haben Handies keine 
Internetverbindung und sind nicht permanent allen möglichen 
Angriffsvektoren ausgesetzt. Auch ist die Gerätevielfalt deutlich 
größer, und der, der das Onlinebanking angreifen will, muss es auch 
irgendwie schaffen, an das zum jeweiligen Konto gehörende Telephon 
heranzukommen.

Das ist an erheblich längeren Haaren herbeigezogen als der 
"man-in-the-middle" beim Aufruf der Bankingseite.

> Zusatzgeräte lassen sich "dank"  Firmware-Updatemöglichkeiten manipulieren
> und das alles wesentlich intransparanter als eine Webseite.

Bieten die Chip-TAN-Generatoren, die manche Banken verteilen, etwa 
Firmwareupdatemöglichkeiten? Oder die vom BSI zertifizierten Kartenleser 
für HBCI und weiß nicht was alles?

> Dein Einwand stimmt sowieso nicht wenn man sich an gewisse Gepflogenheiten
> beim Aufrufen der Bankwebseite hält so wie es die Bank empfiehlt.

Deine Ahnungslosigkeit ist beeindruckend. Gewiss, es gibt keine 
DNS-Manipulationen, es gibt keine sich irgendwie im Browser 
einrichtenden Schadfunktionen und ... ach ja, genau: 
Sofortüberweisung.de ist sicher, vertrauenswürdig und zuverlässig.

Fast schon könnte man meinen, Du bist eine Sockenpuppe derer, die hinter 
den verschiedenen Angriffsszenarien auf Onlinebankingnutzern stecken, so 
vehement verteidigst Du massive Sicherheitslücken.

ich persönllich finde immer noch dieses Verfahren am vernünftigsten:

http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

auch wenn das mit den Sammelüberweisungen nicht vernünftig implementiert 
ist.

Solange man auf die angezeigte Kontonummer achtet, sollten doch 
Manipulationen ausgeschlossen sein. Vorausgesetzt natürlich die haben 
keine weitere handwerklichen Fehler (wie z.B. die TAN ließe sich auch 
ohne Chipkarte berechnen) an an irgendeiner Stelle eingebaut .

oder?

Man bedenke, dass die Umstellung auf SMS auch sein Ursache hat:

Und die ist eben jene, dass beliebig doofe Benutzer in jedes Formular, 
das man ihnen vorlegt, ihren TAN-Zettel reinhacken. Von wegen 
unrealistische Angriffsszenarien. Die Banken könnten uns wahrscheinlich 
Stories erzählen, dass einem die Haare zu Berge stehen: "Wunderten Sie 
sich nicht, dass für die Überweisung 10 TANs notwendig waren?" - "Nö."

Rufus Τ. Firefly schrieb:
> muss es auch
> irgendwie schaffen, an das zum jeweiligen Konto gehörende Telephon
> heranzukommen.

Habe ich auch gedacht - muss man aber leider nicht. Es ist auch völlig 
egal, ob das Handy ein Smartphone oder ein uralter Knochen ist :-(

Prinzipiell reicht auch hier der Trojaner.

Leider lassen sich SMS wohl doch sehr viel leichter abfangen und 
decodieren, als ich dachte:

http://bazonline.ch/wirtschaft/unternehmen-und-konjunktur/So-einfach-lassen-sich-SMS-abfangen-und-entschluesseln/story/25854824

Das ist schon bitter :-(

Szenario:
Der Trojaner sitzt bei mir auf dem Rechner und protokolliert 
Zugangspasswort und z.B. auch noch die Daten der Banküberweisungen.

Wenn jemand als in derselben Funkzelle sitzt, dann kann er durch 
Rückmeldung seines Trojaners z.B. einfach feststellen, zu welcher 
Handynummer die SMS-TAN geht: einfach alle SMS dieser Funkzelle der 
nächsten 20 Sekunden decodieren und auf die Bankdaten überprüfen. Dazu 
hat man erstmal beliebig lange Zeit - es eilt ja nicht.

Nun setzt derjenige sich einfach an seinen Rechner, gibt die Überweisung 
mit dem erschnüffelten Passwort ein und wartet auf die Bestätigung für 
genau diese Handynummer. Dann noch schnell decodieren, TAN eingeben und 
weg ist das Geld.

Das Ganze geht, ohne das Handy zu manipulieren ... leider.

Bevorzugt macht man das dann noch nachts oder wenn man sich sicher sein 
kann, dass der Besitzer das Handy nicht kontrolliert (Sport, Kino, was 
weiss ich). Aber selbst wenn, ist das geld erstmal weg.

Und damit wäre dann die SMS-TAN nicht sicherer als die normale 
Papier-TAN ... man benötigt in beidne Fällen nur Zugriff auf den 
Rechner.

Smart-TAN oder HBCI (zumindest die neueren) scheinen tatsächlich die 
einzig wirklich sicheren Verfahren zu sein.

Chris D. (wird wohl wieder zu HBCI wechseln)

Wenn die SMS-TAN so leicht aushebeln ist, wie in den verschiedenen 
Einlassungen [1] dargelegt wurde, stellen sich zwei Fragen für mich:

Warum gibt es keine massenhaften Plünderungen von Konten?

Gibt es überhaupt schon belegbare Fälle von "geknackten" SMS-TAN?


[1] Leider lassen sich SMS wohl doch sehr viel leichter abfangen und
decodieren, als ich dachte:

http://bazonline.ch/wirtschaft/unternehmen-und-konjunktur/So-einfach-lassen-sich-SMS-abfangen-und-entschluesseln/story/25854824

Markus Selter schrieb:

> Warum gibt es keine massenhaften Plünderungen von Konten?

Vielleicht weil man dazu in der betreffenden Funkzelle selbst sitzen 
muss, statt gemütlich irgendwo in der Pampa darauf warten zu können, 
dass jemand die TANs frei Haus liefert.

S. B. schrieb:

> schon gar nicht, da es fürs Handy m.W. keine großartige Schutzsoftware
> gibt.

Aber nicht doch. Was meinst du denn, warum Kaspersky grad wieder 
trommelt, dass sich die Gauner neuerdings verstärkt den Androiden 
widmen? Wie etwa in
http://www.heise.de/newsticker/meldung/Android-vermehrt-Ziel-von-Schadsoftware-1332133.html
Passenderweise haben sie nämlich was dafür anzubieten:
http://www.kaspersky.com/de/kaspersky-mobile-security

Ich warte ja noch auf den Skandal, der eine Verbindung der Produzenten 
von Trojanern und Herstellern der Schutzsoftware herstellt. ;-)

Markus Selter schrieb:
> Wenn die SMS-TAN so leicht aushebeln ist, wie in den verschiedenen
> Einlassungen [1] dargelegt wurde, stellen sich zwei Fragen für mich:
>
> Warum gibt es keine massenhaften Plünderungen von Konten?

Ganz einfach: So lange es noch genügen Opfer gibt, die man mit den 
bisherigen Methoden über den Löffel balbieren kann, machen sie es wie 
bisher.

Auch Betrüger sind nicht arbeitsgeil ;-)

Warum allerdings Banken auf ein System umrüsten, das bereits 
kompromittiert ist, bleibt rätselhaft. (Ich halte es für eine 
Fehlentscheidung, die den Laden letztlich mehr kosten wird, als wenn sie 
gleich auf Chip-TAN umgestellt hätten.)

Die 1822direkt z.B. hat das Papier-TAN-Verfahren offiziell abgeschafft 
und SMS-TAN eingeführt, das ich mangels Equiment nicht kann und auch 
nicht können will. Als Ausweichmöglichkeit haben sie mich auf 
Telefon-Banking verwiesen.

Das habe ich allerdings schon vor Jahren lahmlegen lassen, als sie die 
Authentifizierung per Telefontastatur einführten - man fragt sich, wo 
die denken lassen...

Da sie aber offenbar doch gemerkt haben, daß das Papier-TAN-Verfahren 
für manche Kunden die einzige Möglichkeit, außer Postbrief ist, ihnen 
eine authentifizierte Nachricht zukommen zu lassen, funktioniert das 
alte TAN-Verfahren zumindest bei gewissen Funktionen des Bankportals - 
ich hab bisher nur eine Terminüberweisung darüber storniert - immer 
noch.

Uhu Uhuhu schrieb:

> Die 1822direkt z.B. hat das Papier-TAN-Verfahren offiziell abgeschafft
> und SMS-TAN eingeführt,

Hmm. Entweder die halten das je nach Konto oder Kunde unterschiedlich 
oder sie haben vergessen mich entsprechend umzustellen. Denn weder 
wurden die Papier-iTANs abgeschafft, noch wurden die anderswo üblichen 
SMS-TANs aka mTANs zwangsweise eingeführt.

Was die 1822 tatsächlich (als Option) anbietet ist die Möglichkeit, sich 
eine oder mehrere TANs auf Vorrat per SMS aufs Handy zu legen. Das ist 
das Schlechteste aus beiden Welten, denn diese TANs werden versandt 
bevor die Transaktion eingegeben wird und sind daher nicht an eine 
bestimmte Transaktion gebunden.

Das als mTAN anderswo verwendete Verfahren versendet die TAN erst 
nachdem die Transaktionsdaten eingegeben wurden und sie eignet sich 
daher nur zur Bestätigung dieser konkreten und über den Inhalt der SMS 
verifizierbaren Daten.

PS: Die Webseite weiss von der Umstellung auch noch nichts: 
https://www.1822direkt.com/1822central/cms/dreiwege.jsp

"Spannend" wird es ja auch, wenn ein Bankmitarbeiter selbst ein Gauner 
ist. Es gibt genug VerkäuferInnen, die zu tief in die Kasse greifem, 
warum dann nicht auch Bank-Menschen. Wenn der befristete Arbeitsvertrag 
ausläuft, hat man ja eh nichts mehr zu verlieren. Da kann man auch mal 
ein Konto unter falschem Namen eröffnen, bei Papierüberweisungen aus 
einer 0 eine 8 machen, das Konto wieder kündigen und schwups ist die 
Kohle weg...

Kontonummern haben Prüfziffern, d.h. eine gezielte Manipulation auf dem 
Papier ist nicht ganz so simpel wie hier skizziert.

Mit der Löschung eines Kontos ist der Datenbestand nicht gelöscht und 
mit der elektronischen Erfassung dürfte eine Erfassung des jeweiligen 
Mitarbeiters erfolgen, d.h. das Risiko ist hoch, dass man erwischt wird.

Banken besitzen automatisierte interne Kontrollmechanismen, die 
ungewöhnliches Verhalten bei Transaktionen identifizieren.

A. K. schrieb:
> PS: Die Webseite weiss von der Umstellung auch noch nichts:

Seltsam, ich hatte einen entsprechenden Brief in der Mailbox und dann 
noch einen Briefwechsel über EMail mit denen wegen dem Scheiß.

Haben die das etwa still und leise einfach abgeblasen?

Generell muß man sagen, daß die 1822direkt in letzter Zeit schwer 
nachgelassen hat. Hätte sie seinerzeit ähnlich agiert, hätte ich dort 
bestimmt kein Konto eröffnet.

Uhu Uhuhu schrieb:

> Haben die das etwa still und leise einfach abgeblasen?

Wenn die oben skizzierte SMS TAN als einziges Verfahren geblieben wäre, 
dann wärs sicherlich peinlich für die Bank gewesen. Gegen die mTAN hätte 
ich jedoch nichts, wobei man über die entstehenden Kosten mal 
diskutieren müsste - für Massenversender sind SMS ziemlich günstig, 10c 
oder so wäre bischen viel.

> Generell muß man sagen, daß die 1822direkt in letzter Zeit schwer
> nachgelassen hat. Hätte sie seinerzeit ähnlich agiert, hätte ich dort
> bestimmt kein Konto eröffnet.

Volle Zustimmung. Die hatten mal ein prima Verfahren für Kontoauszüge 
per PGP-Mail. Das so lange lief, bis irgendwann vor einigen Jahren mal 
wieder der PGP-Key ablief. Danach war es mir nie mehr gelungen, 
erfolgreich einen Key dort zu platzieren. Ich habe den Eindruck, dass 
die in ihren Verfahren seit vielen Jahren nur noch von der Substanz 
leben.

Rufus Τ. Firefly (rufus) (Moderator) schrieb:

>> Ach komm, dieses ewige konstruieren von sinnlosen Beispielen

> Achso, das ist ein sinnloses Beispiel. Na, dann ist ja schön, daß Du
> darauf hingewiesen hast, daß das kein Problem sein kann.

Ich halte eben nicht viel davon sich das gerade passende Beispiel 
herauszusuchen, um die vermeintliche Sicherheit eines neuen Systems 
herauszustellen. Warte mal ab bis auch dort wieder die ersten 
Manipulationen laufen. Ist nur eine Frage der Zeit.

>> Handys sind manipulierbar, lassen sich via aufgespielter Schadsoftware
>> ausspionieren.

> Gewiss, aber -von Smartphones abgesehen- haben Handies keine
> Internetverbindung und sind nicht permanent allen möglichen
> Angriffsvektoren ausgesetzt. ..

Das kannst du glatte vergessen. Selbst die Wühltischware kann heutzutage 
Internet. Da musst du dir schon so ein 15 Euro Handy kaufen, aber die 
sind für viele einfach nicht mehr zeitgemäß bzw. wenig attraktiv mit 
ihren popligen Displays. Mein letzter Billigheimer (ein LG) hat mir mehr 
Probleme bei der Verständigung bereitet als Nutzen. Seit dem bin ich weg 
von diesen Teilen und das aktuelle hat wie so ziemlich jedes Handy mit 
halbwegs gescheitem Display quasi alle modernen Schnittstellen (facebook 
Zeugs etc).

> Bieten die Chip-TAN-Generatoren, die manche Banken verteilen, etwa
> Firmwareupdatemöglichkeiten?

Wird schon so sein, wenn sie einen Controller drin haben. Noch habe ich 
meinen Zettel mit den Tans und der funktioniert. Was will ich mehr?!

> Oder die vom BSI zertifizierten Kartenleser
> für HBCI und weiß nicht was alles?

Brauche kein HBCI. Für was?!

> Deine Ahnungslosigkeit ist beeindruckend.
> Fast schon könnte man meinen, Du bist eine Sockenpuppe derer, die hinter
> den verschiedenen Angriffsszenarien auf Onlinebankingnutzern stecken, so
> vehement verteidigst Du massive Sicherheitslücken.

Ich glaube echt du tickst mal wieder nicht ganz richtig. Ich will dir 
mal was sagen, mir geht die Großmäuligkeit einiger Forenspezies 
zunehmend auf den Sack, besonders wenn mir Leute von Dingen erzählen die 
- im Gegensatz zu ihnen - ich permanent nutze und das schon seit Jahren 
UND ZWAR SICHER. Auf solche Besserwisserei gebe ich einen feuchten 
Kehricht. Die Sicherheitslücke seid ihr selbst, wenn ihr euch zu doof 
anstellt, das sieht man immer wieder am Thema Abofallen. Und solange 
Leute in erster Linie an Geldautomaten und Kartenlesegeräten abgezockt 
werden ist das ganze Gesülze vom angeblich sooo unsicheren Pin/Tan 
Verfahren nichts als gequirlter Quark und der macht getreten breit - 
aber nicht stark.

> ach ja, genau:
> Sofortüberweisung.de ist sicher, vertrauenswürdig und zuverlässig.

Ja genau das ist es. Es ist sicher, ich habe Vertrauen in dieses bereits 
umfangreich etablierte Bezahlsystem und zuverlässig ist es obendrein UM 
LÄNGEN MEHR als Paypayl und Konsorten. Aber über letzteres schweigt ihr 
ja beharrlich aus Gründen der eigenen Opportunität hinweg. Lebt mal 
schön mit euren Lebenslügen wenn ihr damit kein Problem habt.

Platinenschwenker .. schrieb:
> um die vermeintliche Sicherheit eines neuen Systems
> herauszustellen.

Hier liegt ein Missverständnis vor. Ich habe nicht das SMS-TAN-Verfahren 
als prinzipiell sicher dargestellt, ich habe es nur als sicherer als 
das Papier-TAN-Verfahren bezeichnet.

Rufus Τ. Firefly schrieb:
> Platinenschwenker .. schrieb:
>> um die vermeintliche Sicherheit eines neuen Systems
>> herauszustellen.
>
> Hier liegt ein Missverständnis vor. Ich habe nicht das SMS-TAN-Verfahren
> als prinzipiell sicher dargestellt, ich habe es nur als sicherer als
> das Papier-TAN-Verfahren bezeichnet.

Die ganze Diskussion ist doch im Grunde eh müßig. Die Banken verschicken 
einfach die Ankündigung der Änderung des bisheringen Verfahrens. Der 
Kunde muss wie immer akzeptieren bzw. darf sich gerade noch entscheiden 
zwischen den geänderten Varianten die dann (vermeintlich) sicherer sein 
sollen, wobei da wieder alle über einen Kamm geschert werden. Das ist 
wie Führerscheinzwang auf Probe für 5 Jahre für Jeden, bloß weil es eine 
Minderheit gibt, die Ärger macht. Bzw. auf die Thematik hier bezogen, 
weil es eine Minderheit gibt, die mit ihrem Tan-Zettel Schindluder 
getrieben haben (dazu gehört auch Pin/Tan in gefakte Bankseiten 
einzugeben, die man sich HIRNLOS per Mail unterjubeln ließ etc.). 
(letzteres wenn's geht noch mit dem Internet-Explorer v5.x, einem nicht 
geflegten Virenschutz, die URL wird sowieso nicht beachtet usw. usw.)

von wegen mTAN ist sicher..

http://www.heise.de/security/meldung/Trojaner-aendert-Rufnummer-fuer-mTANs-1356847.html

Icke ®. schrieb:
> von wegen mTAN ist sicher..

Gegen Blödheit ist halt kein Kraut gewachsen...

Onlinebanking lasse ich grundsätzlich sein. Überweisungen am Papier sind 
mir am liebsten.

Ich traue diesem ganzen Onlinezeugs nicht wirklich. Nicht etwa aus dem 
Grund, da ich keine Ahnung davon hätte, sondern weil ich selbst seit 
mehreren Jahren im Onlinebereich als Programmierer arbeite. Und da wird 
einem dann langsam klar, dass es keine totale Sicherheit geben kann.

Die hast du offline aber auch nicht.

Siehe: Skimming etc.

Gibt auch genug Fälle, da wurden über nacht die Bank-Briefkästen 
geplündert und die Überweisungsträger umgeschrieben..

Johannes O. schrieb:
> Onlinebanking lasse ich grundsätzlich sein. Überweisungen am Papier sind
> mir am liebsten.

Mir nicht. In die Steinzeit aus den 80er Jahren möchte ich nicht zurück. 
Papierüberweisung nur dort wo ein gedruckter Vordruck bereits dazu 
einlädt, wie z.B. KFZ-Versicherung. Für den schnellen Einkauf im 
Internet ist die elektronische Überweisung ein segensreicher 
Fortschritt. GEZ-Gebühr lässt sich elektronisch überweisen. usw.

> Ich traue diesem ganzen Onlinezeugs nicht wirklich. Nicht etwa aus dem
> Grund, da ich keine Ahnung davon hätte, sondern weil ich selbst seit
> mehreren Jahren im Onlinebereich als Programmierer arbeite. Und da wird
> einem dann langsam klar, dass es keine totale Sicherheit geben kann.

Wo gibt es schon "totale Sicherheit"? Mit diesem Anspruch würde ich mich 
nicht mehr hinters Steuer setzen, auf keiner Autobahn mehr fahren, 
keinen Zug mehr benutzen, kein Hallenbad mehr betreten (wer gibt einem 
die "totale Sicherheit" dass man nicht eine Chlorvergiftung oder einen 
Stromschlag im Schwimmbecken erleidet etc.).

Es reicht eine relative Sicherheit und die Gewissheit die der Kölsche 
Klüngel an den Tag legt "Et hätt’ noch immer jut jejange".

Die tan auf dem Papier war eine gute Lösung. Den SMS-Krampf hätte man 
sich sparen können, wird man aber mitmachen müssen. Brief von der Bank 
ist schon gekommen. Naja.

;)

Ja da habt ihr schon recht. Aber Dinge wie Skimming und geplünderte 
Bankbriefkästen fallen nicht in MEINE Zuständigkeit. Hier ist es die 
Bank die für sowas verantwortlich ist. Da bleib nicht ich hernach auf 
dem Schaden sitzen!

Für die paar Überweisungen die ich tätigen muss tun es immer noch die 
Papierzettel, besonders da ich eigentlich jeden Tag direkt bei der Bank 
vorbeikomme. Die anderen Sachen (z.B. vertrauenswürdige 
Elektronikversender etc.) dürfen direkt Abbuchen.

Und das ist nicht die "Steinzeit aus den 80er Jahren" ;-) Genauer gesagt 
hab ich da noch gar nicht gelebt.

Johannes O. schrieb:

> Und das ist nicht die "Steinzeit aus den 80er Jahren" ;-) Genauer gesagt
> hab ich da noch gar nicht gelebt.

Damals waren lange Schlangen an den Schaltern, lieber Johannes. 
Heutzutage ist in den Filialen kaum mehr was los. Liegt wohl an der 
elektronischen Kontoführung die inzwischen immer mehr Leute nutzen. Der 
Geldautomat wird heutzutage selbst von der Rentnergeneration gerne 
genutzt. Die haben auch alle inzwischen Handys, auf die sie noch zu 
beginn der Ära Mobilfunk kräftig geschimpft haben. Lustig wie sich die 
Dinge wandeln.

;-)

Timm Thaler schrieb:

> Platinenschwenker .. schrieb:
>> Den SMS-Krampf hätte man
>> sich sparen können, wird man aber mitmachen müssen.
>
> Nix da. Ich bekomme hier im Funkloch SMS mit 2 Stunden Verzögerung. Wie
> soll das da gehen? Kann mich ja nicht zum Banking mit dem Laptop auf den
> berg setzen.
>
> Chip-tan scheint ganz gut zu funktionieren.

Zwischen den beiden Möglichkeiten muss man sich halt entscheiden (sagt 
die Bank). Paar Tage geht noch das alte Zettelchen mit den TANs.

;)

Timm Thaler schrieb:
> Chip-tan scheint ganz gut zu funktionieren.

Das scheint nicht immer so zu sein:
Technik, die begeistert. Heute: die CHIP-Tan 
http://www.heise.de/tp/blogs/5/150579

Uhu Uhuhu schrieb:
> Das scheint nicht immer so zu sein:

Ach ja die gute Postbank... Beider VB kann man im Onlinebanking die 
Geschwindigkeit der Grafik ändern was dann auch funktioniert, scheinbar 
sind auch die Lese Geräte auf Billig getrimmt auch wenn sich die Banken 
diese Teilweise bezahlen lassen...

Läubi .. schrieb:
> Ach ja die gute Postbank...

Dagegen sind die größten Saurier - gerne auch versteinert - noch 
unglaublich agil...


Sind die Lesegeräte eigentlich an eine spezielle Bank gebunden, oder 
geht z.B. ein Sparkassen-Chip-TAN-Leser für alle Sparkassen, oder gar 
für alle Banken, die das Verfahren anbieten?

Es geht für alle Banken welche das gleiche Verfahren anbieten, natürlich 
wird der Bankberater beim kleinstem Problem behaupten es liegt an dem 
"fremdem" Lesegerät ;)
Ich hab teilweise von verschieden Banken Geräte unterschiedlicher 
Generation und der einzige Unterschied scheint die Farbe des Gehäuses 
und ein Logoaufdruck zu sein.

Was sich so bei dem Postbankartikel liest haben die aber wohl ein 
"eigenes" Verfahren bei welchem nur die Papierliste abgelöst wird ohne 
die erhöhte Sicherheit durch Ktnr/BLZ/Betrag, es sei den der Autor hat 
das falsch dargestellt (ich selbst hab kein Konto bei der PB).

Die eigentliche Arbeit macht eh der Chip auf der Karte, der Leser ist 
gewissermaßen nur das MMI...

Läubi .. schrieb:
> es sei den der Autor hat das falsch dargestellt

Vermutlich. Die PB ist zwar unbeweglich, aber nicht blöd und die Autorin 
des Artikels ist technisch nicht gerade versiert...

Also, ich verwende seit ca. 1/2 Jahr das von meiner Sparkasse angebotene 
chipTan-Verfahren, das allerdings etwas anders funktioniert, als bisher 
hier beschrieben. Es ist zwar etwas mehr nervige Tipperei noetig, aber 
ich habe ein relativ sicheres Gefuehl dabei.
Meine Sparkasse arbeitet nicht mit diesem Flicker-Verfahren, sondern man 
muss alles manuell in das chipTan-Geraet eingeben. Man steckt die 
EC-Karte in das chipTan-Geraet, dann muss man vom Monitor einen 
8-stelligen Startcode eingeben, anschliessend die Kontonummer und den 
Ueberweisungsbetrag. Daraus wird dann die TAN erzeugt, die ich am PC 
eingebe und abschicke. Ist zwar viel nervige Tipparbeit, mir faellt aber 
jetzt keine Stelle ein, wo da was zu manipulieren waere.

Reinhard

>Nix da. Ich bekomme hier im Funkloch SMS mit 2 Stunden Verzögerung. Wie
>soll das da gehen? Kann mich ja nicht zum Banking mit dem Laptop auf den
>berg setzen.

was kann das Funkloch dafür?
Beim SMS-TAN ist die SMS innerhalb weniger Sekunden da. Über'n Sommer 
hatte ich das schon einige male testen dürfen, und kaum hatte ich die 
Transaktion abgeschickt, war die Nummer schon da.

Achja: da die Nummer nur paar 10 Sekunden gültig ist, kann einer, der 
die SMS abfängt, kaum was damit anfangen, denn ehe er die entschlüsselt 
hat, hat die schon einen Timeout bekommen (in obigen Link war die Rede 
von 5 Minuten - kann sich ja noch bessern)
Zumal er im Tatortbereich sich befinden müsste (also wo der 
Online-Banking-Rechner + Funkzelle sich befindet)

Mal ne Frage.
Ich hab kein Handy, aber auf meinem DECT-Telefon ist ein SMS-Menüpunkt.
Kann ein Festnetzanschluß direkt SMS empfangen?
Oder muß man sich dazu irgendwo anmelden und zusätzlich Gebühren 
bezahlen?


Peter

Peter Dannegger schrieb:
> Ich hab kein Handy, aber auf meinem DECT-Telefon ist ein SMS-Menüpunkt.
> Kann ein Festnetzanschluß direkt SMS empfangen?

Ja, das geht, das nennt sich "SMS im Festnetz". Normalerweise wird man 
bei Empfang einer SMS angerufen und die SMS vorgelesen, bei SMS-fähigen 
Endgeräten ist das natürlich eher lästig, da kann dann eingestellt 
werden, daß da ein geeignetes Empfangsgerät vorhanden ist.

Näheres dazu hier:
http://hilfe.telekom.de/hsp/cms/content/HSP/de/12556/Startseite/SMS

Rufus Τ. Firefly schrieb:

> Ja, das geht, das nennt sich "SMS im Festnetz". Normalerweise wird man
> bei Empfang einer SMS angerufen und die SMS vorgelesen, bei SMS-fähigen
> Endgeräten ist das natürlich eher lästig,

Bei nicht SMS-fähigen Endgeräten ist das auch recht lästig, weil die 
Vorlesetante nach dem Abheben viele Sekunden wartet und bevor sie 
loslegt und manche Leute bis dahin wieder aufgelegt haben. Dann geht der 
Telefonterror natürlich weiter.

A. K. schrieb:
> weil die Vorlesetante nach dem Abheben viele Sekunden wartet
> (...) bevor sie loslegt

Das ist vermutlich eine primitive Anrufbeantworterbehandlung.

Uhu Uhuhu schrieb:
> Timm Thaler schrieb:
>> Chip-tan scheint ganz gut zu funktionieren.
>
> Das scheint nicht immer so zu sein:
> Technik, die begeistert. Heute: die CHIP-Tan
> http://www.heise.de/tp/blogs/5/150579

Wie blöd muss man denn sein um über 2 Minuten mit schmerzender Schulter 
ein Gerät vor einen Monitor zu halten statt den Fehler zu suchen??
Und sich bei jeder Übertragung zwischen 4 und 10 Fehlversuchen gefallen 
zu lassen.
So ein Verhalten deutet, darauf hin, dass der Typ wahrscheinlich nicht 
besonders helle ist und noch was anderes falsch macht. Die Redakteure 
vom Heise Verlag sind wohl auch nicht mehr das, was sie mal waren. War 
wohl richtig, dass ich die ct letztens abbestellt habe.

Ich nutze das Chip tan Verfahren seit ein paar Monaten. Völlig 
problemlos und nach geaschätzten 5s-10s war die Übertragung immer 
abgeschlossen.
Ich kann es nur empfehlen.

Jo O. schrieb:
> So ein Verhalten deutet, darauf hin, dass der Typ wahrscheinlich nicht
> besonders helle ist und noch was anderes falsch macht.

Typin...

Jo O. schrieb:
> War wohl richtig, dass ich die ct letztens abbestellt habe.

Der einzige Grund, warum ich das noch nicht getan habe, ist, daß ich 
sonst auf dem Klo nix mehr zu lesen habe...

Jo O. schrieb:
> So ein Verhalten deutet, darauf hin, dass der Typ wahrscheinlich nicht
> besonders helle ist und noch was anderes falsch macht. Die Redakteure
> vom Heise Verlag sind wohl auch nicht mehr das, was sie mal waren. War
> wohl richtig, dass ich die ct letztens abbestellt habe.

Die "Typin" ist "Twister" (Bettina Hammer, ehem. Winsemann), eine 
sozialkritische Autorin auf Telepolis, die mit der c't überhaupt nichts 
zu tun hat. Sie ist nicht sehr technikaffin, wie dieser Beitrag belegt, 
weiß aber durchaus sehr engagierte und lesenswerte sozialkritische 
Beiträge zu verfassen. Im übrigen hat sie im Jahre 2009 vor dem 
Bundesverfassungsgericht Beschwerde gegen das BKA-Gesetz eingelegt -- es 
gibt also durchaus Dinge, mit denen sie sich auskennt.