Viren, Spyware, Datenschutz 11.217 Themen, 94.226 Beiträge

Wer noch sicherer sein will. Macht kein Online Banking, so wie ich. :- Sascha Prosseco
Sorry, aber so dramatisch finde ich den Text gar nicht. Er gibt nicht ... dirk42799
Typisch Journalismus - viel Rauch und heiße Luft um nichts... Olaf19
Die groesste Angst was man haben muss. Ist wenn man seine Kreditkarten nicht ... Prosseco
Leider haben nur relativ wenige Banken HBCI mit Kartenleser. Hier werden ... hac004
Aus dem Bericht: Die Drahtzieher hätten dabei die Geheimzahlen, mit denen ... gelöscht_84526
Panikmache ohne Ende. Um bei meiner Sparkasse online Banking mit meinen ... peterson
HBCI ist nicht unbedingt erforderlich. Aber wenn man dann besser schlafen ... Olaf19
Was für eine Handtiererei? Die Pin eingeben und ferddich. Der Kartenleser ... luttyy
Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen ... luttyy
Hallo Lutty, vielen Dank für die Klarstellung. Jetzt kennen wir konkret die ... Benni11
Banken raten als Schutzmaßnahme z.B. mTAN TAN aufs Handy oder die bereits ... xaver4
-frank- luttyy „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL abgearbeitet wird, verstehe ich obiges Problem mit dem Trojaner.
Der Dieb phisht sich die NÄCHSTE TAN so, dass diese noch gar nicht verwendet wurde und kann mit genau DIESER danach EINE Überweisung tätigen.

Den Vorteil der Handy-TAN gegenüber einer Postbank-TAN-Liste (100 Zahlen-PAARE 0001-0815 0002-4711, 0003-1234) bei obigem Trojaner verstehe ich aber noch nicht.Nach Eingabe des Überweisungswunsches, teilt einem der Bank-Computer mit, dass er die TAN zu 0003 haben möchte, wobei (wichtig!) die 0003 vom Bank-Computer willkürlich aus den unbenutzten 100 gewählt wird - also nicht etwa SEQUETIELL, weil zuvor 0001 und 0002 dran waren..

In beiden Fällen (Handy, Postbank-Pärchen-Liste) muss also
ERST auf der ORIGINAL-Webseite der Bank Betrag+Zielkonto angegeben werden,
DANN erst generiert der Bank-Computer die TAN, die benötigt wird (bei der TAN-Liste sucht er eine von 100 aus)

Es wäre also nicht möglich, eine TAN abzufangen um danach einen anderen Buchungsauftrag durchzuführen.
Würde man nämlich danach einen Buchungsauftrag erstellen, würde der Bank-Computer dann ja ERST die dafür zu nutzende TAN entwerfen.

Habe ich das so erklärt, dass man es verstehen kann?
Sehe ich es richtig, dass o.g. Trojaner demnach für Postbank-TAN-Listen genauso ungefährlich ist wie eine Handy-TAN?

Auch die Handy-TAN scheint eine Schwachstelle zu haben, wenn sich der Trojaner in den Browser einklinkt und SIMULTAN zur gewünschten Überweisung die gephishte Überweisung tätigt. Er müßte halt parallel zur Eingabe der gewünschten Transaktion auf der manipulierten Seite eine gefälschte Überweisung auf der Bankseite tätigen:
1) Eingabe der gewünschten Transaktion auf gefälschter Seite bis zum Punkt, wo die TAN eingegeben werden muss
2) Eingabe der falschen Transaktion auf echten Bankseite, die eine Generierung der von der Bank gewünschten TAN (Liste oder Handy ist egal) und zugehöriger Handy-SMS bzw. zugehörigem Listenplatz führt
3) Abfrage der nötigen TAN durch gefälschte Seite (ggf. vorher Mitteilung des zugehörigem Listenplatzes, der ja in Schritt 3 erfahren wurde)
4) Eingabe der nötigen TAN auf der gefälschten Seite und Einlesen der dazugehörigen TAN vom ahnungslosen User
5) Eingabe der gephishten TAN auf der schon laufenden falschen Transaktion auf der echten Bankseite
....Mist, da hilft auch das Handy nichts mehr :-(((

Ändert HBCI eigentlich irgendwas an dieser Problematik??

bei Antwort benachrichtigen
Bei der Handy-TAN gibt es schon eine zusätzliche Sicherheit, in der Regel ... xaver4
In der Regel handelt es sich ja nicht um eine simultane phishing-aktion, ... -frank-
nein, nein ganz so ahnungslos wäre der Online-banker nicht, s. z.B. hier ... xaver4
Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL ... Olaf19
Früher bei der Postbank gab es soweit ich mich korrekt erinnere solche ... -frank-