Ich versuche gerade die Sicherheit des mTAN Verfahrens gegen das mit dem TAN Generator abzuschätzen.
Man hörte in der letzten Zeit gelegentlich von Angriffen auf das mTAN Verfahren.
Typische Angriffsszenarien waren:
A:) Infizieren von PC und Smartphone, um dem Kunden falsche Überweisungsdaten vorzutäuschen.
B:) Das Hacken des PC um die PIN Auszuspähen UND den Informationen über das verwendete Telefon zu erhalten. Dann verschaffte man sich vom Telefonanbieter eine zweite SIM-Karte für die verwendete Telefonnummer um die TANs abfangen zu können.
CHIP-TAN ist anerkannterweise deutlich sicherer. Und so bestellte ich mir dann den TAN-Generator.
Beim Auspacken dachte ich mir dann: "Oops, der benutzt ja keine Flicker-Codes. Kann das trotzdem sicher sein?" Und mir fiel sofort ein einfaches Angriffsszenario ein, das bei einem infizierten PC zum Erfolg führt.
Die TAN für eine Überweisung wird ja, wenn ich das recht verstehe, aus Sitzungsdaten und aus den letzten 6 Stellen der Kontonummer generiert. Sie ist daher für JEDE Überweisung auf ein Konto mit diesen Endziffern gültig.
Wenn man also beobachtet, dass der User auf einer Seite einkauft, auf der üblicherweise Vorauszahlungen an Unbekannte getätigt werden, wie z.B. E-bay, dann kann man mit einem geeigneten Trojaner auf dieser Seite eine Kontonummer des Angreifers in ein Angebot einblenden. (Oder eine mit identischen Endziffern). Dann wartet man, bis der User dort seinen Bagatellkauf tätigt (z.B. einen Lolli für 1,20 EUR). Auf der Seite der Bank fängt man die Eingaben ab und ändert den Betrag auf einen attraktiven Wert: z.B. 12.000 EUR.
Dazu braucht man nur Kontrolle über die Tastatur und die Anzeige des PC.
Da keine Rückübertragung der Daten zur Kontrolle an den Kunden erfolgt, merkt der erst nach der Überweisung, dass etwas passiert ist.
Stellen wir mal zusammen:
Beim Chip TAN Verfahren bekomme ich vor der Überweisung die Überweisungsdaten über einen kryptografisch geschützten Kanal. Die Entschlüsselung im Chip der Karte garantiert dass die Daten korrekt sind.
Beim m-Tan Verfahren erhalte ich eine Rückmeldung per SMS, was als ziemlich sicher gilt.
Um die Rückmeldung zu manipulieren muss man PC und Smartphone unter Kontrolle bekommen. Außerdem besteht die Gefahr, dass der Telefonanbieter schlampt und eine Ersatz-SIM-Karte herausrückt.
Beim Consorsbank-Verfahren bekomme ich keinerlei gesicherte Rückmeldung über meine eingegebenen Überweisungsdaten. Die Infektion nur meines PC reicht aus, um Überweisungsdaten zu verfälschen. Es ist bestenfalls geeignet, um Überweisungen zu bestätigen, die auf Konten erfolgen, deren Nummer dem Kunden auf sicherem Weg übermittelt wurde.
Bei der Abwägung der Verfahren scheint mir mTAN immer noch viel sicherer zu sein als der Consors-Bank TAN-Generator. Aber die Chip-TAN übertrifft natürlich beide.
Wie schätzt Ihr das Risiko ein?
Gespannt, Richard.
Hallo @Richard5,
halte ich zwar für wenig wahrscheinlich, aber Du hast recht. Dass der Überweisungsbetrag nicht Teil der TAN-Generierung ist, könnte eine Schwachstelle sein die einen Angriff ermöglicht. In dem Punkt ist CHIP-TAN tatsächlich überlegen. Bin ich Deiner Meinung.
Gruß
Myrddin
"Die TAN für eine Überweisung wird ja, wenn ich das recht verstehe, aus Sitzungsdaten und aus den letzten 6 Stellen der Kontonummer generiert. Sie ist daher für JEDE Überweisung auf ein Konto mit diesen Endziffern gültig."
Das ist so nicht korrekt, da auch die Uhrzeit eine Rolle spielt. Ca. zwei Minuten später funktioniert die TAN schon nicht mehr und es muss eine neue generiert werde. Bei einem Angriff müsste es also sehr schnell gehen. Außerdem bin ich generell vorsichtig mit solchen Aussagen, da ja eben auch die Zugangsdaten bekannt sein müssen. Ich persönlich finde einen TAN Generator schon praktisch. Wobei ich bei einer anderen Bank das photoTAN Verfahren verwenden, was ich noch sicherer finde. Denn dort werden im photoTAN Generator die generierte TAN sowie die IBAN des Empfängers und der Betrag angezeigt. Da ist eine Manipulation sehr unsicher. Zumal der Generator ein eigenständiges (offline) Gerät ist.
Hallo @schmucki,
so unwahrscheinlich sich das Szenario anhört, aber ganz von der Hand zu weisen ist das tatsächlich nicht.
Wenn Dein Rechner gekapert ist und die Angreifer Dir falsche Webseiten anzeigen lassen können, kann das funktionieren. Du erhälst über eine Webseite Zahlungsdaten und zwar für das Konto der Angreifer. Dabei ist es unerheblich ob die Daten tatsächlich von der Webseite kommen, weil die von den Angreifern erstellt wurde, oder ob die sich bei der Kommunikation mit einem Dritten zwischenschalten.
Versuchst Du nun auf das Konto der Angreifer Geld zu überweisen, schalten die sich dazwischen und ändern den Betrag. Im Grunde müssen die nur überwachen ob deren Kontonummer verwendet wird und Dir den Originalbetrag vorgaukeln.
Bei Chip-TAN würde das auffallen, weil entweder das Chip-TAN Gerät einen abweichenden Betrag anzeigt, oder die erzeugte TAN bei der Bank ungültig ist.
Bei so einem Szenario, unabhängig wie wahrscheinlich das ist und ob das schon vorgekommen ist, wäre Chip-TAN der Lösung der Consorsbank wohl wirklich überlegen.
Gruß
Myrddin
So "einfach" geht es aber dann doch nicht, wenn man aufmerksam ist. Denn: wie bereits korrekt erwähnt, muss man in den TAN-Generator die letzten Ziffern der Zielkontonummer eingeben. Ansonsten wäre die TAN unbrauchbar. Also selbst wenn sich Gauner dazwischen schalten und eine falsche Wegseite vorgaukeln, so können Sie dem TAN-Generator nichts vorgaukeln. Und wenn ich auf das Betrüger-Konto überweisen soll, muss ich auch die letzten Ziffern des Betrüger-Kontos eingeben damit die Betrüger die Daten an die CB übertragen können. Also spätestens dann würde mir auffalen, dass die Ziffern, die ich in den Generator eingeben soll, nicht den letzten Ziffern meines Empfängers entsprechen. Ich würde die Überweisung abbrechen! Also mir erscheint das unmöglich, man muss natürlich die Augen offen halten, was man in den TAN-Generator eintippt.
Generell gibt es natürlich keine 100%ige Sicherheit, bei keinen Verfahren.
Hallo @schmucki,
da hast Du einen kleinen Denkfehler, bei diesem Szenario hätten man Dir ja bereits vor der Überweisung die falschen Kontodaten gegeben. Du tippst also bereits die Kontonummer der Angreifers ein. Da gibt es nichts mehr zu erkennen, Du hast ja keine anderen Informationen. Um den überwiesenen Betrag wärst Du in jedem Fall geprellt, wenn dafür keine Leistung kommt. Egal welches TAN-Verfahren verwendet wird.
Doch macht es eben einen Unterschied ob Du 1,20 Euro, 1200 Euro oder 12.000 Euro überweist und das Szenario von @Richard5 war ja, den Betrag über einen Angriff zu ändern.
Gruß
Myrddin
Nein, denn ich würde es merken, wenn ich eine falsche Kontonummer eintippe. Fakt ist, eine durch den TAN-Generator generierte TAN kann nur generiert und genutzt werden, wenn man die letzten sechs Stellen der Empfängerkontonummer eintippt. Beim eintippen kann ich prüfen, ob die letzten sechs Stellen wirklich die meines Empfängers sind. Sollten diese abweichen, breche ich ab. Gauner benötigen auf jeden Fall eine TAN, die aus den letzten sechs Stellen deren Kontonummer generiert wird. Wenn ich aber nie eine TAN generiere aus deren Kontonummer, können die auch keine Überweisung ausführen. Denn ich prüfe, was ich eintippe. Also von daher liegt es in meiner Hand, woraus ich die TAN generiere. Gauner können mit einer TAN aus meiner benötigen Kontonummer absolut nichts anfangen.
@schmucki, noch mal: Die Webseite zeigt Dir bereits die Kontonummer der Gauner an! Du hast gar keine Andere! Du hast nur die Kontonummer der Gauner, das ist ja der Witz an der Geschichte.
Ja, das habe ich alles verstanden. Ich bin ja nicht ganz dämlich. Und deswegen habe ich jetzt schon mehrmals geschrieben, dass ich dann keine TAN eingebe.
Sobald mir eine andere Kontonummer angezeigt wird als die, zu der ich überweisen möchte, breche ich ab. Ich prüfe natürlich vor der TAN Eingabe, ob mir in der Zusammenfassung die richtige Kontonummer angezeigt wird. Verstehst Du das nicht, was ich meine? Ist die Kontonummer falsch, dann generiere ich keine TAN.
Es liegt an jeden selber, den Betrug vorher zu erkennen. Und das ist einfach, man muss nur die angezeigten Daten prüfen vor der TAN Generierung.
@schmucki, sei mir nicht böse aber Du verstehst es eben nicht!
Du willst ja genau dort hin überweisen. Die Kontonummer ist korrekt, die von Betrüger eben. Es gibt gar keine andere Kontonummer. Du willst @Richard5 's Bagatellkauf tätigt (z.B. einen Lolli für 1,20 EUR) und nimmst dafür die Kontonummer die Du von denen bekommen hast. Du hast auch keine anderen Kontonummer vorliegen, als genau diese die eine die es gibt und Dir übermittelt wurde. Mit welcher anderen Nummer willste da irgendwas Vergleichen damit Du richtig von falsch unterscheiden kannst!?
Blöderweise kostet Dich der Lolli dann aber in @Richard5 's Beispiel 12.000 Euro. Der Angriff ist nicht die Kontonummer sondern die Änderung des Überweisungsbetrags.
Gruß
Myrddin