Vorschläge einblenden
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für
- Wissen
- :
- Informationen zu Richard5
Informationen zu Richard5
seit
12.01.2017
30.09.2024
Richard5
Aufsteiger
5
Beiträge
2
Likes
0
Lösungen
Problem beim alten Tangenerator: Der Betrag floss nicht in die Berechnung der Tan ein. Daher konnte die TAN verwendet werden, um eine zu hohe Zahlung auszulösen. (Man in the Browser Angriff). Das ist verboten nach: Artikel 97 (2) Im Fall der Einleitung elektronischer Fernzahlungsvorgänge nach Absatz 1 Buchstabe b stellen die Mitgliedstaaten sicher, dass die Zahlungsdienstleister für elektronische Fernzahlungsvorgänge eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Richard
... Mehr anzeigen
12.09.2019
22:57
Man kann ein Kennwort eingeben, mit dem man die App freischaltet.
... Mehr anzeigen
Wie bereits angekündigt, verrät einem die Consorsbank erst kurz vor der Umstellung bei wem man die neuen Tangeneratoren bekommt. Ärgerlich, dass man nicht die seit langem im Chip der Bankkarte integrierte, standardisierte und erprobte Kryptografie nutzt, sondern stattdessen eine proprietäre Software bzw. Hardware benutzt. Zudem ist es für die meisten Leute normal, die Bankkarte im buchstäblich "ständigen Besitz" zu behalten: Sie steckt im Portemonaie. Der Tangenerator wird dagegen oft unbewacht rumliegen. Da ist die Nummer mit dem Besitz nicht so sicher. Ich darf jetzt also 20+5 EUR statt 14 (rainer sc) für ein Gerät bezahlen, das weniger nützlich ist. Da drängt sich mir doch glatt die Frage auf, ob Consors von Kobil Vermittlungsprovisionen bekommt. Aber bei Nullzins brauchen die armen Banken das wohl. Als Kunde macht mich diese Situation unzufrieden, und unzufriedene Kunden hauen manchmal ab.... Und das ich das Gerät nicht via Paypal bezahlen konnte, war auch nicht toll. Traut man einer Sicherheitsfirma, deren Webseite nicht fehlerfrei mit Paypal kommuniziert? Aber vielleicht hattet ihr ja mehr Glück. Nichtsdestoweniger war die Umstellung auf ein Verfahren, dass es ermöglicht, die Überweisungsdaten auf einem Gerät zu überprüfen, dass nicht mit dem Gerät identisch ist, auf dem die TAN eingegeben wird, längst überfällig. Unter dem Druck des Gesetzgebers hat Consors also eine ziemlich sichere Lösung geschaffen. Bei einer Smartphone-App habe ich zwar immer gewisse Bedenken: Ein Smartphone ist eben smart genug, um böse Dinge zu lernen zu können. Man kann prinzipiell Software auf dem Gerät (Faktor Besitz) installieren, die den zweiten Faktor (Wissen oder Sein) korrumpiert: durch Ausspähen der Kennworteingabe, oder durch einen Angriff auf die Softwaremodule, die die Biometrische Überprüfung übernehmen. Solange aber das Kennwort für das Login bei der Bank und das zu besitzende Gerät verschieden sind, ist das Sicherhitsniveau hinreichend hoch. Banking App und Tan App auf einem Gerät scheint mir jedoch gewagt zu sein. Richard
... Mehr anzeigen
28.06.2017
23:16
Ich habe erst nach der Antwort gemerkt, dass der Beitrag alt ist, deshalb kommt die Antwort trotzdem. Es bleibt der Angriffsvektor, dass der Angreifer die Kontonummer unterschiebt. Beispiel: Dein Computer wurde attackiert ("Man in the Browser" Angriff). Du benutzt ihn, um auf einer Verkaufs-Plattform eine Kleinigkeit zu suchen (z.B. ein Spielzeugauto.) Der Angreifer schiebt Dir über den korrumpierten Browser eine gefälschte Seite mit dem Objekt Deiner Begierde unter, und er verlangt einen 1,50 Euro für Deinen Traum. Vorkasse gewünscht. Jetzt erzeugst Du eine Tan für die Kontonummer des Verkäufers. Der Angreifer fängt sie (im Browser) ab und benutzt sie, um eine Überweisung mit einem höheren Betrag auf sein Konto zu tätigen. Erst mit der Rückmeldung der Bank erfährst Du von der Betragsänderung. Also ist eine Übertragung der Überweisungsdaten aufs Mobiltelefon (als zweitem, vom Computer unabhängigen Faktor) zur sofortigen Kontrolle zwingend erforderlich. Die Informationen auf der Bankseite sind bei diesem Angriff nicht zuverlässig, auch die könnten gefälscht sein. Wenn etwas faul ist, muss man sich jetzt sofort mit der Bank in Verbindung setzen, damit man die Überweisung noch stoppen kann. (Per Computer wird das nicht mehr gehen; das verhindert der Angreifer) Bei den Flackersignalen der anderen Generatoren wird auf dem Display des TAN Generators vor der Erzeugung der TAN Betrag und Konto angezeigt. Die Kommunikation zur Übertragung der Daten erfolgt verschlüsselt mit Schlüsseln die bei der Bank und auf der Karte gespeichert sind. Daher kann auch bei einem gekaperten Computer diese Kommunikation nicht manipuliert werden. Auch bei der M-Tan erhält man die Daten zur Kontrolle, bevor man die TAN eingibt. Hier bestehen dafür andere Gefahren: 1.) Die Mögllichkeit, dass sich der Angreifer eine SIM-Karte zu Deiner Telefonnummer beschafft. 2.) Das er Mobiltelefon und Komputer in seine Kontrolle bringt. Letzters kann man wirkungsvoll mit einem "Dummen" Telefon verhindern. Richard
... Mehr anzeigen
12.01.2017
22:34
1 Like
Ich versuche gerade die Sicherheit des mTAN Verfahrens gegen das mit dem TAN Generator abzuschätzen. Man hörte in der letzten Zeit gelegentlich von Angriffen auf das mTAN Verfahren. Typische Angriffsszenarien waren: A:) Infizieren von PC und Smartphone, um dem Kunden falsche Überweisungsdaten vorzutäuschen. B:) Das Hacken des PC um die PIN Auszuspähen UND den Informationen über das verwendete Telefon zu erhalten. Dann verschaffte man sich vom Telefonanbieter eine zweite SIM-Karte für die verwendete Telefonnummer um die TANs abfangen zu können. CHIP-TAN ist anerkannterweise deutlich sicherer. Und so bestellte ich mir dann den TAN-Generator. Beim Auspacken dachte ich mir dann: "Oops, der benutzt ja keine Flicker-Codes. Kann das trotzdem sicher sein?" Und mir fiel sofort ein einfaches Angriffsszenario ein, das bei einem infizierten PC zum Erfolg führt. Die TAN für eine Überweisung wird ja, wenn ich das recht verstehe, aus Sitzungsdaten und aus den letzten 6 Stellen der Kontonummer generiert. Sie ist daher für JEDE Überweisung auf ein Konto mit diesen Endziffern gültig. Wenn man also beobachtet, dass der User auf einer Seite einkauft, auf der üblicherweise Vorauszahlungen an Unbekannte getätigt werden, wie z.B. E-bay, dann kann man mit einem geeigneten Trojaner auf dieser Seite eine Kontonummer des Angreifers in ein Angebot einblenden. (Oder eine mit identischen Endziffern). Dann wartet man, bis der User dort seinen Bagatellkauf tätigt (z.B. einen Lolli für 1,20 EUR). Auf der Seite der Bank fängt man die Eingaben ab und ändert den Betrag auf einen attraktiven Wert: z.B. 12.000 EUR. Dazu braucht man nur Kontrolle über die Tastatur und die Anzeige des PC. Da keine Rückübertragung der Daten zur Kontrolle an den Kunden erfolgt, merkt der erst nach der Überweisung, dass etwas passiert ist. Stellen wir mal zusammen: Beim Chip TAN Verfahren bekomme ich vor der Überweisung die Überweisungsdaten über einen kryptografisch geschützten Kanal. Die Entschlüsselung im Chip der Karte garantiert dass die Daten korrekt sind. Beim m-Tan Verfahren erhalte ich eine Rückmeldung per SMS, was als ziemlich sicher gilt. Um die Rückmeldung zu manipulieren muss man PC und Smartphone unter Kontrolle bekommen. Außerdem besteht die Gefahr, dass der Telefonanbieter schlampt und eine Ersatz-SIM-Karte herausrückt. Beim Consorsbank-Verfahren bekomme ich keinerlei gesicherte Rückmeldung über meine eingegebenen Überweisungsdaten. Die Infektion nur meines PC reicht aus, um Überweisungsdaten zu verfälschen. Es ist bestenfalls geeignet, um Überweisungen zu bestätigen, die auf Konten erfolgen, deren Nummer dem Kunden auf sicherem Weg übermittelt wurde. Bei der Abwägung der Verfahren scheint mir mTAN immer noch viel sicherer zu sein als der Consors-Bank TAN-Generator. Aber die Chip-TAN übertrifft natürlich beide. Wie schätzt Ihr das Risiko ein? Gespannt, Richard.
... Mehr anzeigen
Kategorie:
- Kategorie:
-
Mobile TAN
-
Sicherheit
-
TAN-Generator
