Viren, Spyware, Datenschutz 11.212 Themen, 94.146 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
fakiauso Olaf19 „Erneut gehackt: das pushTan-Verfahren bei der Sparkasse“
Optionen

Damit nicht jeder das Fidscho zum Artikel aus dem Artikel der Zeit heraussuchen muss, verlinke ich das einfach direkt:

https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking#video

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.


Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)
Das wird von den Banken auch noch als einfach, schnell und sicher bezeichnet.

https://www.sparkasse.de/service/sicherheit-im-internet/tan-verfahren.html

Zitat daraus:

Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können.


Möp - verloren!

Denn welchem anderen Zweck sollte es schliesslich dienen, wenn man von unterwegs auf die Schnelle eine TAN anfordert, als stante pede etwas zu überweisen?
Die Klientel, welche das Verfahren nutzt, dürfte sich wie so oft in solchen Fällen in den wenigsten Fällen eine platte machen, ob und was da schiefgehen kann - Hauptsache es ist einfach.

Das Verfahren TAN ist schon immer 'riskant' gewesen und der Angreifer hat nichts zu verlieren. Entweder seine abgefangene und umgebogene TAN führt das Überweisen auf ein Konto seiner Wahl durch oder eben nicht. Geht es schief, hat er auch nichts eingebüsst, der eigentliche Kunde bei Erfolg aber auf jeden Fall.
Ganz so einfach dürfte es zwar nicht sein, als das Jeder so mir nichts - Dir nichts sich mal danebenstellt und dann im Akkord TAN abfischt und fleissig Geld umschichtet.
Für Online-Geschäfte sollte man möglichst immer eine separate Software verbunden mit HBCI nutzen. Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.
Die juckt zwar die TAN, die Bank und das Verfahren weniger, dafür mehr die Summen und Wege der Kohle - also mehr so auf Meta-Ebene, noch dazu wenn vom gleichen Smartphone vielleicht zufällig in einem Internetshop gerade ein Kauf getätigt wurde oder so, also so irgendwie jedenfalls oder so...

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen