Community

Antworten
Highlighted
Ernst56
Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 8
Registriert: 07.06.2015
Nachricht 1 von 8 (14.438 Ansichten)
Akzeptierte Lösung

TAN Generator

Hallo,

wie wird bei dem TAN Generator die TAN generiert?

Ich habe eben bei einer Überweisung absichtlich eine falsche Kontonummer in den TAN Generator eingegeben, eine TAN wurde trotzdem generiert. Was, wenn ich die TAN angenommen hätte, wäre dann der Betrag aus der Überweisung auf das falsche Konto, welches ich in den TAN Generator eingegeben habe, gegangen.

Ich fand den TAN Generator der Sparkasse mit Flicker Grafik auf dem Screen sicherer. Der funktionierte nur mit der entsprechenden EC-Karte und zeigte automatisch die Kontonummer und sogar den Betrag an, nachdem man das Gerät in einem bestimmten Winkel an den Screen des PC gehalten hat. Müsste nicht eine Fehlermeldung kommen, wenn ich die falschen sechs Ziffern in den TAN-Generator eingebe???

Antworten
0 Likes
Laural
Regelmäßiger Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Top Kommentator
  • Community Beobachter
Beiträge: 60
Registriert: 04.10.2014
Nachricht 2 von 8 (14.389 Ansichten)

Betreff: TAN Generator

Die Fehlermeldung kommt, wenn du die falsche TAN dann ins System eingibst, daran ist nichts unsicher. Die Überweisung wird nicht ausgeführt.

Myrddin
Enthusiast
Beiträge: 846
Registriert: 08.12.2014
Nachricht 3 von 8 (14.378 Ansichten)

Betreff: TAN Generator

Hallo @Ernst56,

 

also ich hab' das Ding jetzt nicht programmiert, meine Beschreibung mag in Detail etwas von der Realität abweichen. Aber so ganz grundsätzlich kann ich Dir die Funktionsweise denke ich erklären.

 

Also der Consors TAN-Generator erzeugt regelmässig (alle 2-3 Minuten) immer wieder einen neuen kryptografischen Schlüssel (die TAN). Der Schlüssel beruht dabei auf gewissen mathematischen Formeln und ist deshalb nicht zufällig sondern hängt von den Parametern der Berechnungsformel ab. Die Parameter sind grundsätzlich die Zeit (bzw. die abgelaufenen Berechnungszyklen) im TAN-Generator und dessen Seriennummer. Wenn nun die Consorsbank die Seriennummer Deines TAN-Generators kennt (und das tut sie ja) kann deren Rechnenzentrum die Berechnung nachstellen und wenn beide Schlüssel gleich sind wird die Aktion durchgeführt. Also fürs Verständnis, deren Rechner kennt auch die abgelaufene Zeit/Zyklen Deines TAN-Generators.

 

Das raffinierte dabei, es hilft einem nichts den erzeugten Schlüssel/die TAN zu kennen, man kann z.B. die Seriennummer des TAN-Generators nicht einfach zurückrechnen. Hört jemand also die Leitung ab bzw. schaut Dir per Trojaner beim Eingeben zu hat er zwar den aktuellen Schlüssel, der ist aber nur 2-3 Minuten gültig und wird dann unbrauchbar. Einen neuen Schlüssel berechnen kann aber nur der TAN-Generator und die Bank. Das schränkt die Möglichkeiten des Missbrauchs schon stark ein.

 

Die Angriffe bei Online-Überweisungen laufen ja so ab das die sich zwischen Dich und die Bank in die Leitung schalten. Du gibst das gewünschte Konto an, das wird von den Angreifern aber abgefangen und die tragen bei der Bank Ihr Konto ein. Wenn die Bank dann nach der TAN fragt, fragen die Angreifer Dich und nutzen Deine Eingabe der TAN Ihre eigene Überweisung durchzuführen.

 

Darum wurden die neuen Verfahren entwickelt. Du gibst zusätzlich noch ein Teil der Kontonummer mit an und auch diese Zahl wird zusätzlich (zu Seriennummer und Zeit) für die Berechnung der TAN verwendet. Möchten die Angreifer nun auf ein anderes Konto überweisen würde der Rechner der Bank eine andere TAN generieren weil die Berechnungsgrundlage ja eine Anderen ist und das Ganze funktioniert nicht mehr.

 

Daher bekommst Du übrigens im TAN-Generator keine Fehlermeldung, denn es gibt kein richtig oder falsch. Das Ding berechnet Dir jede TAN die Du haben möchtest aus Zeit, Seriennummer und Endziffern der Kontonummer. Nur wenn der Rechner der Bank etwas Anderes berechnet dann bekommst Du Deine Fehlermeldung, denn die TANs werden unterschiedlich sein. Also erst nach Eingabe der TAN erfolgt die Prüfung.

 

Rein vom bauchgefühl halte ich übrigens die Geräte für die Flicker-Grafiken auch für sicherer. Da werden mehr Daten, wie z.B. die komplette Kontonummer und der Betrag für die TAN-Berechnung verwendet. Allerdings als ich gerade drüber nachgedacht habe, das man ja problemlos einfach Konten mit dem gleichen Endziffern bereit halten könnte ist mir aufgefallen wie unmöglich das wäre. Immerhin ergibt das bei einer 6-stelligen Zahl schon eine absurde Menge an Scheinkonten die notwendig wären. Ich denke nicht das das realistisch ist.

 

Ich hoffe ich konnte etwas Licht und Dunkel bringen. Wenn das jetzt zu kompliziert und unverständlich war, bitte einfach nochmal nachhaken. :-)

 

Gruß

Myrddin

Illermaus
Aufsteiger
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 2
Registriert: 08.07.2016
Nachricht 4 von 8 (8.371 Ansichten)

Betreff: TAN Generator

sehr geehrte Damen und Herren,

ich habe mit meiner Frau drei TAN-Generatoren und bekomme keinen zum Laufen.

Was kann ich tun um einen Verkaufsauftrag zu geben?

Mit freundlichen Grüßen

E.R.Hennigs 

Antworten
0 Likes
CB_Sonja
Community Manager
Beiträge: 3159
Registriert: 13.01.2014
Nachricht 5 von 8 (8.325 Ansichten)

Re: Betreff: TAN Generator

Hallo @Illermaus,

 

da Ihnen bislang noch kein anderes Community Mitglied geantwortet hat, würde ich Ihnen empfehlen, sich direkt an Ihr persönliches Betreuungsteam bzw. den technischen Support zu wenden:

 

Technischer Support

Tel.: 0911 / 369-30 00

Servicezeiten

Mo - Fr: 8:00 - 19:00 Uhr

 

Als Community Moderator kann ich leider nicht selbst überprüfen, warum die TAN Generatoren nicht funktionieren - die Kollegen sehen sich das aber gerne gemeinsam mit Ihnen an!

 

Viele Grüße aus Nürnberg,

Sonja

Community Moderator

Antworten
0 Likes
Richard5
Aufsteiger
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 2
Registriert: 12.01.2017
Nachricht 6 von 8 (6.597 Ansichten)

Betreff: TAN Generator

 
 
 

Ich habe erst nach der Antwort gemerkt, dass der Beitrag  alt ist, deshalb kommt die Antwort trotzdem.

 

Es bleibt der Angriffsvektor, dass der Angreifer die Kontonummer unterschiebt.

 

Beispiel: Dein Computer wurde attackiert ("Man in the Browser" Angriff). Du benutzt ihn, um auf einer Verkaufs-Plattform eine Kleinigkeit zu suchen (z.B. ein Spielzeugauto.) Der Angreifer schiebt Dir über den korrumpierten Browser eine gefälschte Seite mit dem Objekt Deiner Begierde unter, und er verlangt einen 1,50 Euro für Deinen Traum. Vorkasse gewünscht. Jetzt erzeugst Du eine Tan für die Kontonummer des Verkäufers. Der Angreifer fängt sie (im Browser) ab und benutzt sie, um eine Überweisung mit einem höheren Betrag auf sein Konto zu tätigen.

 

Erst mit der Rückmeldung der Bank erfährst Du von der Betragsänderung. Also ist eine Übertragung der Überweisungsdaten aufs Mobiltelefon (als zweitem, vom Computer unabhängigen Faktor) zur sofortigen Kontrolle zwingend erforderlich.

Die Informationen auf der Bankseite sind  bei diesem Angriff nicht zuverlässig, auch die könnten gefälscht sein. 

 

Wenn etwas faul ist, muss man sich jetzt sofort mit der Bank in Verbindung setzen, damit

man die Überweisung noch stoppen kann. (Per Computer wird das nicht mehr gehen; das verhindert der Angreifer)

 

Bei den Flackersignalen der anderen Generatoren wird auf dem Display des TAN Generators vor der Erzeugung der TAN Betrag und Konto angezeigt. Die Kommunikation zur Übertragung der Daten erfolgt verschlüsselt  mit Schlüsseln die bei der Bank und auf der Karte gespeichert sind. Daher kann auch bei einem gekaperten Computer diese Kommunikation nicht manipuliert werden.

 

Auch bei der M-Tan erhält man die Daten zur Kontrolle, bevor man die TAN eingibt.

Hier bestehen dafür andere Gefahren:

1.) Die Mögllichkeit, dass sich der Angreifer eine SIM-Karte zu Deiner Telefonnummer beschafft.

2.) Das er Mobiltelefon und Komputer in seine Kontrolle bringt.

Letzters kann man wirkungsvoll mit einem "Dummen" Telefon verhindern.

 

Richard

 
 
Antworten
0 Likes
TvA
TvA
Aufsteiger
  • Community Junior
Beiträge: 1
Registriert: 12.07.2017
Nachricht 7 von 8 (6.374 Ansichten)

Betreff: TAN Generator

wie bekomme ich den TAN-Generator in mein Bankprogramme, Synchronisieren des Zugang hilft nicht, es wird nur das Einschrittverfahren angezeigt, DDBAC 5.6.40.0 oder SMB8.0, oder kann hier jetzt auch auf mTAN zugegriffen werden?

Antworten
0 Likes
Illermaus
Aufsteiger
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 2
Registriert: 08.07.2016
Nachricht 8 von 8 (411 Ansichten)

Re: Betreff: TAN Generator

vielen Dank! Meine Umstelltaste hat eine Macke,deswegen habe ich immer Schwierigkeiten mit dem Einloggen. Muß mir einen neuen Laptop zulegen.

Mit freundlichen Grüßen

E.R.Hennigs

Antworten
0 Likes