Experten?

[Ehemalige Benutzer]

Zugegeben, ich habe den Spiegel Artikel nicht gelesen, aber irgendwie kommt mir anhand dieses OK Artikel die Frage auf ob das die gleichen "Experten" sind, die wegen dem XP auf Geldautomaten Panik verbreitet haben.

Also sowohl bei der Deutschen Bank als auch bei der Sparkasse bekomme ich bei der mTAN Funktion nachdem ich die Überweisung eingegeben habe die TAN für diese eine Transaktion zugesendet. Der Empfänger ist dabei nicht mehr veränderbar. Gleichzeitig ist es bei beiden Bankengruppen nicht möglich, vom gleichen Handy aus eine Überweisung zu starten. Da wird sowohl im Browser als auch in der App die mTAN Funktion abgelehnt.

Der Trojaner müsste also die Kontozugangsdaten ink. PIN an einen Server bzw ein BOT Netzwerk senden, diese müssten dann eine Überweisung auslösen, dann die TAN abfangen und diese wieder an den BOT senden ... DAS kann der Trojaner ?! Respekt!

Schon in dem Moment, wo ich die Onlinebanking PIN nicht auf dem Gerät speichere geht die Sache nicht mehr, bzw. bei Sparkasse+ wird die PIN verschlüsselt gespeichert. und wer die gesamten Zugangsdaten im Klartext auf irgendein ans INET angeschlossenes Gerät speichert is einfach mal selber Schuld...

[Nenunikat]

Zitat:

Zitat von jetson224

Zugegeben, ich habe den Spiegel Artikel nicht gelesen, aber irgendwie kommt mir anhand dieses OK Artikel die Frage auf ob das die gleichen "Experten" sind, die wegen dem XP auf Geldautomaten Panik verbreitet haben.
...

Wenn man einen scheinbar kleinen, aber wichtigen Unterschied übersieht, kann man so denken - sonst nicht:

Die Geldautomaten mit Windows XP haben (hoffentlich) keine Verbindung zum Internet. Somit ist die Hauptgefahr für andere noch aktive Rechner mit Windows XP hier nicht das Thema.

Bei mTan existiert schon eine Gefahr, wenn sich mTan-Nutzer dazu überreden lassen, angebliche Updates vom PC auf das Smartphone installieren zu lassen, da:
- dann beide Geräte mit Schadsoftware infiziert sein können,
- beide Geräte normalerweise eine Internet-Verbindung haben und
- durch das Schein-Update auch eine Zuordnung von PC zu Smartphone möglich ist.
Wenn dann noch die Verarbeitung sowie Anzeige entsprechend auf den beteiligten Geräten manipuliert wird, hat der betroffene PC- und Smartphone-Nutzer den Schaden...

[NokDar]

Zitat:

Zitat von jetson224

Gleichzeitig ist es bei beiden Bankengruppen nicht möglich, vom gleichen Handy aus eine Überweisung zu starten. Da wird sowohl im Browser als auch in der App die mTAN Funktion abgelehnt.

Zumindest da muss ich dir widersprechen ("getestet" mit Postbank und Sparkasse, auch wenn mir dabei tatsächlich unwohl war da dies vom Sicherheitskonzept in so einem Fall nicht unbedingt zu empfehlen ist).
Von woher soll denn der Webserver der Bank auch wissen das ich die Banking-Website mit (m)einem Smartphone besuche welches die SMS-TAN bekommt (nicht mit dem Useragent, zumindest nicht bei mir)?

Evtl. also mal im Smartphone-Browser den Useragent auf einen "unverfänglichen" Desktopclient umstellen falls die Bank Smartphonebrowser ablehnt für mTAN...

ACHTUNG! Ich übernehme keine Verantwortung falls dabei etwas schiefgeht weil z.B. das Smartphone mit Schadsoftware infiziert ist!
(Ich habe es auch nur gemacht weil es unbedingt schnell gehen musste und ich nicht Zuhause war)

[lisonen15]

Da kann man nur froh sein eine Bank zu haben, die alles anbietet.

Von HBCI über einen ausgedruckten Zettel (mit TAN-Zweisungen, welche meiner Meinung nach das sicherste und einfachste ist) über das SMS-Verfahren (was schon bei der Verwndung eine UMTS-Sticks theoretisch gefährlich wäre, auf jedenfall auf auf jeden Java-Fähigen Handy) bis hin zum QR-Code und TAN-Generator verfahren.

Alles kann man nutze wie man will, am ende sollte der Kunde entscheiden.

Leider machen so manche Banken da leider eine Zwangsmigration und gängeln so die Kunden nur zu irgendeinen Verfahren bis sie am ende doch wieder zu einem Schalter gehen.

[Ehemalige Benutzer]

Zitat:

Zitat von jetson224

Gleichzeitig ist es bei beiden Bankengruppen nicht möglich, vom gleichen Handy aus eine Überweisung zu starten. Da wird sowohl im Browser als auch in der App die mTAN Funktion abgelehnt.

Ja, soweit man die App der jeweiligen Bank nutzt. Leider sind die manchmal derart eingeschränkt, dass man z.B. keine Konten anderer Banken verwalten kann. Und manchmal ist es sicher auch der genau von Dir genannte Grund, dass die Leute lieber zur App eines Drittanbieters greifen. Komfort geht eben leider oft zu Lasten der Sicherheit.

Zitat:

Zitat von Nenunikat

Bei mTan existiert schon eine Gefahr, wenn sich mTan-Nutzer dazu überreden lassen, angebliche Updates vom PC auf das Smartphone installieren zu lassen ...

Wenn sich der Nutzer zu irgend etwas überreden lässt, kann man im Grunde jedes Sicherheitssystem umgehen.