[HaBo]

blobbo

Servus. So wie ich das verstanden hab, war ja der Nachteil der Tanliste mit Nummern, dass ein Trojaner (gab/gibt es ja wohl auch schon) sich quasi in den Brower klinkt und dann wenn sich jemand einloggt er Banknummer und PIN abfängt. Jetzt loggt er sich damit selber ein und startet eine Überweisung bis zur TAN-Eingabe. Wenn nun der Benutzer selber an dem Punkt angekommen ist tauscht er die Nummer die Abgefragt wird (z.B. "geben sie TAN Nr. 31 ein") durch die von seiner Überweisung aus. Der Benutzer gibt nun diese ein und erhält einen Fehler, der Trojaner macht aber schön seine Überweisung und fertig.

So und das soll ja afaik nun mit smsTAN nicht mehr funktionieren.

Jetzt hab ich mir aber gerade vollgendes überlegt:
Der Benutzer loggt sich wieder ein wie gehabt und der Trojaner hat Nummer und PIN und loggt sich auch ein und startet eine Überweisung. Jetzt kommt er zum smsTAN-Feld. Der Trojaner muss jetzt hier verhindern, dass der Benutzer die Anfrage absendet, wie auch immer, es muss aber so aussehen alsob es geklappt hätte. Dann schickt der Trojaner selber die Anfrage ab und wartet. Der Benutzer kriegt dann die sms und gibt die (falsche) TAN ein, die der Trojaner braucht und somit auch hat.

Also irgendwie sehr ich da eigentlich kein Unterschied zu der TAN-Liste (obwohl ich auch gerade selber umstellen hab lassen ;) )

Also wo soll da der Sicherheitsvorteil sein!? (Bequemlichkeit ist klar ;))

end4win

http://de.wikipedia.org/wiki/Transaktionsnummer

__________________

lightsaver

Also zum alten Tan-Verfahren ist es schon ein Vorteil, da ja eine bestimmte Tan verlangt wird und nicht irgendeine auf der Liste, aber zum iTan (was du beschrieben hast) dürfte es eigentlich keinen Vorteil bringen.
Die zugesendete Tan ist zwar nur ein paar Minuten gültig, aber die iTan scheint auch ( für eine gewisse Zeit zumindest) an eine Transaktion gebunden zu sein ist mir mal aufgefallen. Damit muss ein Trojaner in beiden Fällen sowas wie einen MITM Angriff machen und die entsprechenden Anfragen und Ergebnisse abfangen und abändern. Damit dürften beide Verfahren etwa gleich (un)sicher sein.

Wenn man wirklich sicher Onlinebanking machen möchte, bleibt eigentlich nur HBCI. Wenn das nicht geht, dann könnte man zumindest mal ein von CD bootbares OS benutzen. Da gibt es auch eines vom BSI extra fürs Onlinebanking.

lightsaver

Also solange nur Teile des Zielkontos in der SMS stehen, ist eine Fälschung noch immer möglich, es braucht halt nur mehr Konten. Und auch der Betrag ist keine Sicherung, da man dann halt nicht mehr einen selbst bestimmten Betrag von Konto klaut sondern halt genau diesen.

blobbo

Ich hab die sms leider schon gelöscht aber ich könnte auch nicht mehr sagen ob da tatsächlich die Kontunummer oder der Betrag stand weil ich gleich nach der TAN geguckt hab und dann ab auf löschen
Das war zwar mein Fehler aber ich glaub das machen viele so
Na ok, das ist dann irgendwie schon ein kleiner Vorteil mit dem Daten anzeigen aber dann bin ich tatsächlich etwas enttäuscht von smsTAN. Hab das neulich noch anderen als viel sicherer beschrieben ohne vorher drüber nachzudenken
Danke euch

bitmuncher

Die meisten heutigen TAN-Verfahren basieren darauf, dass die TAN abhaengig vom Empfaengerkonto generiert wird. Dazu wird eine Code- und ein Daten-Feld neben anderen Daten (wie der aktuellen Uhrzeit um die Verfallszeit festzulegen usw.) in die Generierung einbezogen. Der Code liegt dabei auch der Bank vor und entspricht etwa der Verlaufsnummer aus frueheren TAN-Verfahren, die auf TAN-Listen basierten, ist aber nicht fortlaufend sondern in zufaelliger Reihenfolge und damit nicht erratbar oder berechenbar. Das Datenfeld besteht im Normalfall aus den letzten Ziffern des Empfaengerkontos. Die TAN kann somit nur in einem bestimmten Zeitraum genutzt werden und zusaetzlich funktionieren nur Ueberweisungen auf ein Konto mit den gleichen Endnummern. Die Wahrscheinlichkeit, dass ein Angreifer ein passendes Zielkonto hat bzw. ein passendes ermittelt bevor die TAN verfallen ist, ist verschwindend gering.

Da dies bei smsTAN auch angewendet wird, duerfte es damit sicherer sein als eine TAN-Liste. Im Prinzip ist eine smsTAN nichts anderes als eine sm@rt-TAN, die via SMS uebermittelt wird, anstatt dem Kunden einen Generator in die Hand zu geben.

Ich wuerde empfehlen eine Bank zu suchen, die sm@rt-TAN-plus einsetzt, wenn man viel Zahlungsverkehr ueber das Internet regelt. Damit ist die TAN-Nummer nicht nur vom Empfaengerkonto und der Zeit abhaengig, sondern auch noch von einem geheimen Schluessel, der auf deiner Geldkarte ist. sm@rt-TAN-plus nutzt einen TAN-Generator, der neben die Konto-Informationen auch noch einen geheimen Key einbezieht, der auf dem Chip deiner Geldkarte (EC, Maestro) abgelegt ist. Du verifizierst damit also jede Ueberweisung mit deiner Karte, wie man es auch bei einem Automaten in der Bank tut.

__________________

blobbo

mh aber das mit der Kontonummer in der TAN bringt doch wieder gar kein Vorteil. ?(
Der Trojaner startet ja seine eigene Überweisung an sein Konto und der Benutzer startet seine Überweisung an sein Konto. Da der Benutzer ja dann einfach die sms der Überweisung des Trojaners bekommt ist ja total egal auf was für ein Konto der Benutzer eigentlich überweisen wollte...

[Edit]
Das versteh ich irgendwie gar nicht... die TAN wird ja für eine bestimmte Überweisung erst generiert und abgeschickt. Angenommen ein Angreifer hat nun sofort ein passendes Konto, was soll er denn dann machen? ?( Wo ist überhaupt der Sinn dabei, die Zielkontonummer in die TAN zu basteln?

bitmuncher

Nicht zwingend. Die Trojaner bauen alle darauf auf, dass min. eine Ueberweisung fehl schlaegt bzw. unterbrochen wird, entweder die des Users oder die des Trojaners. Im Normalfall natuerlich die des Users. Ist das Empfaengerkonto in die TAN einbezogen, kann dem User direkt mitgeteilt werden, dass diese TAN nicht fuer diese Transaktion gueltig ist, sondern fuer ein anderes Empfaengerkonto generiert wurde, und nicht nur das uebliche "TAN nicht mehr gueltig", was viele Ursachen haben konnte. Dem User ist damit klar, dass er gerade eine TAN bekommen hat, die offenbar nicht auf Basis der Daten generiert wurde, die er eingegeben hat, und er kann entsprechend darauf reagieren, z.B. bei seiner Bank nachfragen, die ihm dann sagen kann, dass zu dieser Zeit eine andere Ueberweisung getaetigt wurde, die er dann umgehend zuruecknehmen kann. Die Reaktionszeit des Users wird damit verringert und die Fehlerursache fuer eine ungueltige TAN ist schneller geklaert. Bei einem anstaendigen Online-Banking wird uebrigens der Inhalt des empfangenen Datenfelds nochmal explizit angezeigt, damit der User dies mit der eingegebenen Konto-Nummer abgleichen und ggf. die Ueberweisung abbrechen kann. Der User bekommt hier also auch mehr Kontrolle ueber die TAN selbst.

Haette der Angreifer ein passendes Konto, koennte er die Ueberweisung des Users einfach abfangen und nicht ausfuehren lassen und die TAN dann fuer eine eigene Ueberweisung nutzen, so wie man es frueher bei jeder Listen-Nummer konnte.

Also... Prinzip TAN-Liste: Der User gibt eine TAN von einer Liste ein. Ein Trojaner faengt die TAN ab und unterbricht die vom User ausgefuehrte Ueberweisung, damit die TAN nicht verbraucht wird. Daraufhin kann der Angreifer die TAN fuer eine eigene Ueberweisung nutzen.

Prinzip sm@rtTAN/smsTAN: Eine TAN wird abhaengig vom Empfaengerkonto und der aktuellen Uhrzeit generiert. Damit kann ihr eine bestimmte Verfallszeit zugeordnet werden, die wenige Minuten oder Stunden umfassen kann. Vorteil gegenueber der TAN-Liste, die zumeist fuer einen Monat oder mehr gueltig ist, duerfte auf der Hand liegen. Die Zeit, in der der Angreifer reagieren muss, wird drastisch verkuerzt. Ausserdem wird in die generierte TAN der letzte Teil des Empfaengerkontos einbezogen, so dass die TAN nur fuer eine Transaktion nutzbar ist, die auf ein "aehnliches" Konto (also mit gleichen Endziffern) geht. Sie kann damit nicht mehr fuer jede beliebige Transaktion genutzt werden, wie es bei TAN-Listen der Fall war.

__________________

blobbo

Ich bin davon ausgegangen, dass der Tojaner eh den Browser soweit manipuliert, dass bei der TAN Eingabe nicht die Bankfehlermeldung kommt sondern eine beliebige. z.B. "Der Server ist überlastet, probieren sie es später erneut" X)
Und bei der TAN-Erzeugung dachte ich, dass das so funktioniert: Ich geb die Bankdaten des Empfängers und den Betrag ein. Jetzt klicke ich auf weiter und nehme smsTAN. Das System generiert nun eine TAN und speichert diese bei sich zwischen aber streng verknüpft mit nur einer Überweisung. Also z.B. speichert es die ID meiner Überweisung und die TAN. Dann schickt es die TAN an micht per sms.
Wenn ich die TAN nun eingebe vergleicht das System die Eingabe zu meiner Überweisung mit der TAN die es gespeichert hat.
Irre ich mich hier? Weil so könnte man die TAN ja nicht für eine andere Überweisung benutzen und mir ist auch nicht klar warum man das anders machen sollte als von mir beschrieben...

danke!

bitmuncher

Wenn du die smsTAN anforderst, wird das Formular bzw. der Formular-Inhalt ja schon an die Bank geschickt. Der Angreifer muesste also schon zu diesem Zeitpunkt falsche Daten uebermitteln, was sich dann im Formular widerspiegeln wuerde.

__________________

+++ATH0

Naja, mit ein bisschen Data-Splicing (Das, was der Browser anzeigt != Das, was der Browser abschickt/empfängt) ist auch das möglich.

bitmuncher

Es gibt natuerlich immer Wege, aber Data-Splicing zu automatisieren ist nicht ganz so einfach wie das Anzeigen einer simplen Fehlermeldung.

__________________

Lesco

Es bliebe aber immernoch die falsche Kontonummer in der SMS, und wenn die TAN an genau eine Transaktion gekoppelt ist(mit Uhrzeit, Betrag, Empfänger,..), dann könnte ein aufmerksamer Nutzer die Attacke durchaus bemerken. Das setzt natürlich voraus, dass die vollständige Kontonummer in der SMS stünde.

+++ATH0

Jo. Was werden denn bei bekannten Banken in der SMS für Informationen zurückgesendet außer der TAN?
Das wäre sicherlich eine sehr sinnvolle Methode um Authentizität zu gewährleisten.

Lesco

Also bei der VR-Bank stehen, wenn ich mich recht erinnere, Betrag und Empfängernummer dabei.