Ich versuche gerade die Sicherheit des mTAN Verfahrens gegen das mit dem TAN Generator abzuschätzen.
Man hörte in der letzten Zeit gelegentlich von Angriffen auf das mTAN Verfahren.
Typische Angriffsszenarien waren:
A:) Infizieren von PC und Smartphone, um dem Kunden falsche Überweisungsdaten vorzutäuschen.
B:) Das Hacken des PC um die PIN Auszuspähen UND den Informationen über das verwendete Telefon zu erhalten. Dann verschaffte man sich vom Telefonanbieter eine zweite SIM-Karte für die verwendete Telefonnummer um die TANs abfangen zu können.
CHIP-TAN ist anerkannterweise deutlich sicherer. Und so bestellte ich mir dann den TAN-Generator.
Beim Auspacken dachte ich mir dann: "Oops, der benutzt ja keine Flicker-Codes. Kann das trotzdem sicher sein?" Und mir fiel sofort ein einfaches Angriffsszenario ein, das bei einem infizierten PC zum Erfolg führt.
Die TAN für eine Überweisung wird ja, wenn ich das recht verstehe, aus Sitzungsdaten und aus den letzten 6 Stellen der Kontonummer generiert. Sie ist daher für JEDE Überweisung auf ein Konto mit diesen Endziffern gültig.
Wenn man also beobachtet, dass der User auf einer Seite einkauft, auf der üblicherweise Vorauszahlungen an Unbekannte getätigt werden, wie z.B. E-bay, dann kann man mit einem geeigneten Trojaner auf dieser Seite eine Kontonummer des Angreifers in ein Angebot einblenden. (Oder eine mit identischen Endziffern). Dann wartet man, bis der User dort seinen Bagatellkauf tätigt (z.B. einen Lolli für 1,20 EUR). Auf der Seite der Bank fängt man die Eingaben ab und ändert den Betrag auf einen attraktiven Wert: z.B. 12.000 EUR.
Dazu braucht man nur Kontrolle über die Tastatur und die Anzeige des PC.
Da keine Rückübertragung der Daten zur Kontrolle an den Kunden erfolgt, merkt der erst nach der Überweisung, dass etwas passiert ist.
Stellen wir mal zusammen:
Beim Chip TAN Verfahren bekomme ich vor der Überweisung die Überweisungsdaten über einen kryptografisch geschützten Kanal. Die Entschlüsselung im Chip der Karte garantiert dass die Daten korrekt sind.
Beim m-Tan Verfahren erhalte ich eine Rückmeldung per SMS, was als ziemlich sicher gilt.
Um die Rückmeldung zu manipulieren muss man PC und Smartphone unter Kontrolle bekommen. Außerdem besteht die Gefahr, dass der Telefonanbieter schlampt und eine Ersatz-SIM-Karte herausrückt.
Beim Consorsbank-Verfahren bekomme ich keinerlei gesicherte Rückmeldung über meine eingegebenen Überweisungsdaten. Die Infektion nur meines PC reicht aus, um Überweisungsdaten zu verfälschen. Es ist bestenfalls geeignet, um Überweisungen zu bestätigen, die auf Konten erfolgen, deren Nummer dem Kunden auf sicherem Weg übermittelt wurde.
Bei der Abwägung der Verfahren scheint mir mTAN immer noch viel sicherer zu sein als der Consors-Bank TAN-Generator. Aber die Chip-TAN übertrifft natürlich beide.
Wie schätzt Ihr das Risiko ein?
Gespannt, Richard.
Ich verstehe es genau, wie schon mehrmals erwähnt. Allerdings ist das Ganze mehr als lächerlich!
Ist das wirklich ernst gemeint? Das ist doch wirklich das dämlichste Beispiel, um das ChipTan Verfahren zu loben! Ich bestelle also bei einem mir unbekannten Händler einen Lolly für 1,20€. Dieser Händler ist in Wirklichkeit ein Betrüger, der aber schon meine Bankdaten kennt. Denn das muss er, sonst könnte er mit ja keine falsche Webseite vorgaukeln. Ich möchte dann also meinen Lolly bezahlen. Gebe die Daten vom Betrüger in mein Online-Banking ein (da der Betrüger ja der Händler ist) und bestätige die Überweisung mit meiner TAN aus dem TAN-Generator (in der gefälschten Webseite der Betrüger). Der Betrüger hat nun eine passende TAN zu seiner Kontonummer. Er ändert jetzt den Betrag in 1.200 € um und gibt den Auftrag mit der TAN frei. Das ist das lächerlichste Szenario, was ich je gehört habe. Abgesehen davon, dass ich eigentlich nur bei bekannten Shops bestelle, müssten die Betrüger die TAN innerhalb weniger Minuten nutzen. Sonst wird sie ungültig! Bedeutet also, sie warten darauf, dass ich eine TAN eingebe. Klar, bei einer gefälschten Webseite könnten sie ja benachrichtigt werden, sobald ich alles ausgefüllt habe. Aber wie gesagt, es sind nur wenige Minuten Zeit. Wem also wirklich sowas passiert, da möchte ich nicht wissen, bei welchen Shops solche Leuite einkaufen. Denn der Händler ist gleichzeitig der Betrüger, wegen den Bankdaten. Meine Rechnungen, die ich zu bezahlen habe, sind von rennomierten Shops. Da sind mir die Bankdaten bekannt und eine Änderung ist nicht möglich, ohne dass ich es merken würde.
Von daher, diesen Fall sehe ich als so gut wie ausgeschlossen. Der TAN-Generator ist auf jeden Fall sicher genug, sowas ist ein absolutes Horror-Szenario. Es müssten soviele Sicherheitsmechanismen ausgehebelt werden und Trojaner usw. auf dem Rechner sein, das ist unmöglich. Zumal zumindestens ein einfaches, kostenfreies Schutzprogramm sollte jeder heutzutage haben. Und auch nicht auf irgendwelche Emails zu "Kontenverifizierungen" reagieren. Diese Menschen sind selber Schuld und sollten lieber das klassische offline Filialbanking nutzen.
Ach @schmucki, ist es denn wirklich so schwer zuzugeben das man sich geirrt hat bzw. nicht gleich verstanden hat warum es wirklich ging? Nachdem Du jetzt nach mehrfacher Erklärung plötzlich Deine Argumentation komplett verändert hast, muss ich einfach annehmen das Du wirklich jetzt erst verstanden hast wie der theoretische Angriff ablaufen müsste. Ansonsten hättest Du diese Argumente bereits vorgebracht, statt Argumente die mit dem Szenario nur bedingt zu tun haben. Um ehrlich zu sein finde ich das ärgerlich und enttäuschend. 😞
Ist es unwahrscheinlich? Ja klar ist es das, sehr sogar. Darum schrieb ich ja auch
"halte ich zwar für wenig wahrscheinlich, aber Du hast recht."
Deine Ursprungsargumentation war aber dass das Szenario nicht funktionieren kann, weil der Ablaufcode das verhindern würde, Zitat:
"Das ist so nicht korrekt, da auch die Uhrzeit eine Rolle spielt. Ca. zwei Minuten später funktioniert die TAN schon nicht mehr und es muss eine neue generiert werde."
Sind wir uns nun einig das er das eben nicht verhindert und Du Dich geirrt hast?
Hier geht auch nicht darum das ChipTAN verfahren "zu loben". Es ging darum das die fehlende Erfassung des Betrages im TAN-Generator potenziell ein gewisses Angriffsszenario ermöglicht. So unwahrscheinlich das auch sein mag.
In meinem Fall würde ich sogar so weit gehen es für nicht relevant zu sehen. Ich führe kein Girokonto bei der Consorsbank, entsprechend sind Überweisungen sowieso nur auf meine Referenzkonten möglich.
Trotzdem finde ich das Szenario von @Richard5 spannend, weil so weit hatte ich bisher noch nicht gedacht. Und das Wissen über pontentielle Angriffsszenarien hilft, Schwachstellen als diese überhaupt zu erkennen.
Und auf folgende Aussage muss ich nun auch noch eingehen, Zitat:
"Es müssten soviele Sicherheitsmechanismen ausgehebelt werden und Trojaner usw. auf dem Rechner sein, das ist unmöglich. Zumal zumindestens ein einfaches, kostenfreies Schutzprogramm sollte jeder heutzutage haben."
Generell halte ich im Bereich IT-Sicherheit kaum noch ein Szenario für unmöglich. Ich war früher immer der Meinung das nur ausführbarer Code in der Lage ist einen Rechner zu attackieren. Dann habe ich mal vor Jahren einen Bericht aus dem Bereich der IT-Forensik über eine Bilddatei gelesen, die einen Fehler in der Speicherverwaltung verursacht, der dann genutzt wurde Code auszuführen, der weiteren Schadecode aus dem Internet nachgeladen hat um damit den Rechner zu infizieren. Ich habe nicht mal im Ansatz verstanden wie das technisch umgesetzt wurde. Doch es war also durch öffnen einer JPG-Datei möglich einen Rechner anzugreifen und einen Trojaner zu installieren. Das hatte ich bis dahin für unmöglich gehalten. Und doch war das ein Beispiel aus der freien Wildbahn.
Und wenn ich bedenke wie professionell die Fishing-Mails in der jüngeren Vergangenheit geworden sind. Oder die seit kurzem statt findenden spezifischen Fisching-Angriffe auf Personalabteilungen. Die Evolution in diesem Bereich ist erschüttern. Hier von "unmöglich" zu sprechen, halte ich für ganz schön kurzsichtig.
Und es gibt gerüchteweise tatsächlich erfolgte Angriffe in USA, bei denen die Angreifer es geschafft haben eine logischen Verbindung zwischen HeimPC und SmartPhone herzustellen und das entsprechend auszunutzen. Ich hatte das eigentlich für schwierig bis unmöglich gehalten und eher gedacht das SmartPhone selber ist die Schwachstelle.
Zuletzt, der Lolli war natürlich zu ein Beispiel zur Verdeutlichung. Es wäre z.B. denkbar das man per Fishing gezielt Kunden einer angreifbaren Bank sucht, die gleichzeitig Kunden in einem großen Webshop sind. Man man den Trojaner mal auf dem Rechner, kann man dem Kunden den Webshop und die Banking-Anwendung vorgaukeln und im Vordergrund "den eigenen Film" ablaufen lassen obwohl im Hintergrund etwas anderes passiert.
Hört man wie groß diese professionellen Botnetze sind muss man befürchten das ein nicht unerheblicher Teil der ans Internet angeschlossenen Rechner bereits erfolgreich angegriffen wurden. Und fragt man wirkliche IT-Security Experten zum Thema Virenscanner, hört man all zu oft, das Virenscanner kaum mehr sind wie Schlangenöl.
Ich bleibe dabei alles sehr unwahrscheinlich und im Moment für die Praxis vermutlich kaum relevant. So lange es einfachere Lösungen gibt die Leute auszunehmen, werden diesen genutzt werden. Aber Falsch ist der Gedanke von @Richard5 deshalb nicht.
Gruß
Myrddin
Hallo zusammen,
in meinen Augen ist bei der ChipTAN der große Nachteil, dass man zur Erzeugung einer TAN eine Chipkarte braucht. Es gibt sicherlich noch viele Kunden, die hier kein Girokonto führen und somit auch keine Chipkarte von Consors besitzen.
Das ganze Verfahren hat aber mehr Fehlerquellen als der reine Offline TAN-Generator. Nan braucht eine lesbare Chikkarte und einen Browser der den Optischen Code darstellt. Bei manchen Instituten wird dafür Flash verwendet und man muss zur Anzeige der Flash-Grafik im Browser die Speicherung von Daten auf der Festplatte durch Flash zulassen. Funktioniert dieses Verfahren auch ohne Flash-Grafik? Klar kann man auch die Daten manuell eingeben, aber das ist ja nicht der Sinn dieses TAN-Generators...
Grüße
immermalanders
Ich habe es verstanden, alles. Das habe ich nun mehrfach erwähnt und dazu stehe ich. Aber: ich habe das Ganze nicht so für voll genommen, wie es beschrieben wurde. Und das sehe ich auch weiter so! Das Szenario ist lächerlich und nahezu unwahrscheinlich. Das sind keine überzeigenden Argumente für das ChipTan Verfahren. Wie ich selber schon sagte, halte auch ich das photoTAN Verfahren für wesentlich besser, da im (offline) Gerät auch nochmal der Betrag und die IBAN des Empfängers sowie die Art des Auftrages (Dauerauftrag, einmalige Überweisung, usw.) angezeigt werden. Dennoch versuche ich nicht mit solchen unglaublichen Szenarien dieses Verfahren bis in den Himmel zu loben. Man sollte einfach mal sachlich bleiben. Und wem das TAN Verfahren der CB nicht gefällt, der kann ja die Bank wechseln. Erfahrungen aus der Vergangenheit zeigen ja, das Kundenwünsche bzw. von Kunden gewünschte Änderungen sowieso nicht berücksichtigt und umgesetzt werden. Einfach mal die "wishlist" hier in der Community anschauen. Immer kommen Antworten wie "haben wir aufgenommen" oder "prüfen wir gerne", doch passieren tut nichts.
Sind Sie sicher, dass Sie das chipTAN Verfahren meinen? Ich habe das Verfahren zwar noch nie genutzt, aber Ihre Beschreibung hört sich eher nach photoTAN an. Meinen Sie evtl. das?
Hallo @immermalanders,
ich verwende seit Jahren parallel so ein Flackercode-Gerät und den Consors-Generator. Letztes jahr hatte ich dann auch das erste Mal mit einem so einer Smartphone-App zu tun, mit der man Transaktionen bestätigt.
Mal abgesehen von den Sicherheitsbedenken, fand ich die Benutzerfreundlichkeit der App recht bescheiden. Einziger Vorteil, man schleppt nicht extra noch ein Gerät mit sich rum. Trotzdem mein absolutes Schlußlicht.
Die beiden TAN-Generatoren haben wie ich finde beide Vor- und Nachteile. Ich mag diese Consors-Lösung eigentlich recht gerne. Gerade die schnelle Generierung der TAN1 per Ablaufcode finde ich pfiffig und eine gute Lösung. Nachdem ich bei der Consorsbank nur Aktien handle und ich Referenzkonten eingerichtet habe, empfinde ich den Consors-Generator als sicher genug und eine ideale Lösung für mich.
Bei den Girokonten bin ich aber trotzdem nicht so traurig die Flackergeräte einsetzen zu können. Es mag etwas paranoid sein, aber mir ist hin und wieder ganz leicht unwohl, weil der Consors-Generator unbewacht Zuhause liegt. Die Bankkarte habe ich immer dabei und ist entsprechend besser vor jeglichen Zugriff geschützt. Irgendwie fühle ich mich damit einfach etwas wohler.
Was die Fehlerquellen beim Flackercode-Generator betrifft gebe ich Dir absolut recht. Was habe ich mich über das blöde Ding schon aufgeregt. Das wäre für mich eigentlich völlig unbrauchbar, wenn ich doch mal schnell einen Spontankauf an der Börse tätigen will. Und mit der Chipkarte hast Du natürlich auch recht. Bezüglich Zuverlässigkeit geht für mich bisher nichts über die Consors-Lösung.
Gruß
Myrddin
Da ich im IT-Bereich arbeite möchte ich mal kurz auf das Manipulationsszenario eingehen. Hier ist immer von Trojaner usw. die Rede, das klingt dann sehr kompliziert und abwegig.
Das Szenario basiert darauf, dass ein "böses Programm" die Darstellung und Verarbeitung der Consorsbank-Website beeinflusst, sprich im Eingabefeld für den Überweisungsbetrag steht 1,50€ aber tatsächlich übermittelt werden 15.000,00€.
Parallel dazu müsste die Darstellung der Website eines Onlineshops manipuliert werden, damit die Betrüger IBAN statt der echten IBAN angezeigt wird und der Kunde seine Überweisung an einen falschem Empfänger ausführt. Wer von uns kann schon sagen, ob die während dem Bestellvorgang angezeigte IBAN tatsächlich dem Onlineshop gehört oder nicht.
So etwas lässt sich ganz leicht mit einer einfachen Browsererweiterung machen.
Und erschreckender Weise haben sehr viele Leute tatsächlich eine Browsererweiterung installiert, die die Darstellung von Websites manipuliert - und zwar auch dann, wenn die Website verschlüsselt übertragen wird (https). Genau das machen nämlich alle Werbeblocker: Die "manipulieren" Websites und entfernen dabei lästige Werbung (ohne böse Absichten natürlich).
Es müsste nur jemand die Server von Adblock (oder eines anderen Anbieters) knacken und mit dem nächsten Update eine Version ausliefern, die gezielt Bankwebsites manipuliert. Das würde sich dann automatisch auf sehr viele PCs installieren und es würde keinem hier auffallen. Dazu muss man weder die gut geschützten Bankserver noch deinen eigenen PC gezielt manipulieren, ein einziger Server auf dem die Adblock-Updates liegen reicht aus, damit tausende Menschen auf einmal geschädigt werden.
Daher ist es extrem wichtig, dass für Geldgeschäfte eine Überprüfung aller relevanten Daten auf einem zweiten Kanal stattfindet. Insbesondere der Betrag sollte dabei zu den relevanten Daten zählen.