Beiträge gettagt mit Online Banking
Was ist mobileTAN?
15. Aug
Vor ein paar Wochen Monaten habe ich mal das iTAN Verfahren erklärt. Heute ist mal mobileTAN dran. Bei mobileTAN erhält der Online Banking Benutzer seine TAN per SMS aufs Handy. MobileTAN ist für Geschäftsreisende und Leute die Wert auf Sicherheit legen sinnvoll.
Beim mobileTAN wird also eine TAN generiert die auf ein Handy verschickt wird. Um mobileTAN freizuschalten wird zuerst die gewünscht Nummer bei der Bank oder im Online Banking System der Bank hinterlegt. Ein paar Tage später erhält man seinen Freischaltcode. Mit dieser kann mTAN freigeschalten werden.
Das sichere an mobileTAN: 2 getrennte Wege. Einmal das Internet mit dem die TAN bestellt wird und einmal der Mobilfunk mit dem die TAN empfangen wird. Ein Hacker bräuchte somit Zugang zum Online Banking (Zugangskennung + PIN) und zum Handy (Handy + PIN).
Eine angeforderte TAN kann nur innerhalb von 5 Minuten eingegeben werden, sonst wird diese ungültig (Fehlversuch). Das schützt auch vor Angriffen eines Hackers der die TAN eventuell auf anderem Weg später abfragen und benutzten möchte. Die angeforderte TAN ist auch nur für den angegebenen Auftrag gültig. Zusätzlich sind Informationen des Auftrags zur erzeugten TAN in der SMS enthalten, welche auch vom Kontoinhaber geprüft werden sollten.
Die Kosten der angeforderten SMS belaufen sich (je nach Bank) auf 0,00 € – 0,12 €/TAN.
Das mobileTAN Verfahren zählt zu den sichersten Möglichkeiten Online Banking abzuwickeln!
Sicherheitspatch für Online Banking
09. Jul
Die Volks- und Raiffeissen Banken welche an die FIDUCIA angeschlossen sind haben in den vergangenen Tagen einen Sicherheitspatch für das Online Banking eingespielt. Da Webinterface wurde verfeinert um der sogenannten Man-In-The-Middle Phishing Methode vorzubeugen.
Die Man-In-The-Middle Methode funktioniert wie folgt:
Normalerweiße gibt es da den Online Banking Benutzer und die Bank bzw. das Rechenzentrum der Bank.
Der Online Banking Benutzer sendet also über eine verschlüsselte Verbindung seine Daten zur Bank und erhält Daten vom Rechenzentrum welche ebenfalls Verschlüsselt sind.
Bei der Man-In-The-Middle Attake wird dem Online Banking Benutzer suggeriert er wäre mit seiner Bank verbunden. Der Login funktioniert wie gewohnt. Nach dem Login fordert das System den Benutzer auf TAN Nummer einzugeben. 100 Stück. Da sich der Kunde ja auf der “sicheren” Seite des Rechenzentrum also seiner Bank befindet schöpfen viele Benutzer kein Verdacht. Das https ist da, das Schloss-Symbol ist da und der Virenscanner aktiv und funktionsbereit.
Die TAN Nummern werden natürlich nicht von der Bank abgefragt. Hier hat sich ein Virus bzw. Trojaner zwischen den Online Banking Benutzer und dem Rechenzentrum geklinkt. Er protokolliert nicht nur die Login Informationen sonder ändert die Weboberfläche um gezielt TAN Nummer zu klauen.
Um genau diesem Vorgehen vorzubeugen wurde der Sicherheitspatch eingespielt. Benutzer mit einem befallenem System bekommen die Meldung das ein Technischer Fehler aufgetreten sei und man mit seinem Bankberater Kontakt aufnehmen soll. Also z.B. mir 
Da der Patch sehr neu ist kann es jedoch zu ungerechtfertigten Fehlermeldungen kommen, es sollte auf jeden Fall mit der Bank gesprochen werden.
Was ist iTAN?
03. Jun
iTAN oder indizierte TransAktionsNummer ist die häufigst genutzte Art seine Transaktionen digital zu unterschreiben. Leider ist es auch die unsicherste Art.
Bei der iTAN bekommt man einen TAN Bogen. Dieser ist mit knapp 200 TANs bestückt. Die TANs haben eine fortlaufende Indexnummer. Wird nun einen Überweisung zur Bank gesendet verlangt das System natürlich erstmal eine PIN um überhaupt den Zugangsweg zu öffnen. Nun erzeugt die Bank per Zufall eine Indexnummer die uns mitgeteilt wird. Jetzt suchen wir aus dem TAN-Bogen anhand der Indexnummer die richtige TAN aus. Solange die TAN nicht eingegeben wurde gilt diese als reserviert und wird nach 5 Minuten oder beim Abbruch durch den Benutzer automatisch entwertet. Dies ist übrigens ein Fehlversuch!
Gefahr hierbei sind Phisingseiten und Viren. Eine Phisingsite kann nämlich Indexnummer und TAN anfragen. Ebenfalls könnte ein Virus die TAN erspähen indem er nach der TAN Eingabe eine Fehlermeldung erzeugt und die TAN an einen Phising-Server sendet. Außerdem könnte ein Virus kurz vor dem Absenden die Überweisung abändern.
Aktuell gibt es einen Trojaner der nach Login im Online Banking System 100 TAN über eine virtuelle Tastatur abfrägt. Hier gilt mal wieder, die Bank wird NIEMALS 100 TANs verlangen! Wenn so etwas oder ähnliche Vorgänge im Online Banking passieren ist die Bank zu informieren!
Um einige dieser Gefahren zu minimieren gibt es das iTAN+ Verfahren. Ein etwas verfeinertes Verfahren. Welche Banken dieses Verfahren einsetzen kann ich leider nicht genau sagen.
Beim iTAN+ gibt es genauso wie beim normalen iTAN Verfahren eine TAN-Liste welche indiziert ist. Allerdings wird die Indexnummer nicht in Klarschrift angezeigt welche ein Virus speichern könnte, sondern ähnlich wie in einem Captcha als Bild. Im Hintergrund findet man zusätzlich das Geburtsdatum und Informationen zu der Überweisung. Das iTAN+ Verfahren funktioniert jedoch nicht über Online-Banking-Software.
In den nächsten Tagen bzw. Wochen werde ich noch ähnliche Themen über Online Banking ansprechen. z.B. mTAN, HBCI-Schlüsseldiskette, HBCI-Chipkarte, EBICS usw.
Falls Ihr Fragen zu Online Banking habt, nur los
Dieses böse Onlinebanking
13. Apr
PC Mo: Neue Phising Attaken
Computerschild: Immer mehr Online Banking Konten leer geräumt
Chib: Wie sie ihr Online Banking sicher gegen Hacker machen
(IrgendEinLückenFüllerAuf RTL): Online Banking Opfer und wie sie die Tat verarbeiten
Ja gut ich überzieh hier grade etwas, habe auch nichts gegen die Zeitschriften und Fernsehsender aber ich finde es schlimm das man in die breite Masse Angst streut. Ich weiß wovon ich rede ich habe täglich mit Kunden zu tun die einfach Angst haben auch eine “Schlagzeile” zu werden. Am liebsten wäre natürlich der Presse jeder 2te Online Banking Kunde würde sein Konto leer geräumt werden. Schließlich muss man ja irgendwas berichten.
Egal ob jemand Online Banking macht über PIN und TAN, HBCI mit oder ohne Chipkarte oder seine TAN aufs Handy schicken lässt, das größte Sicherheitsrisiko sitz zwischen Bildschrim und Rückenlehne.
Eine PIN und eine TAN sind nicht zu erraten. Eine PIN und eine TAN muss jemand klauen oder erschleichen und jeder der einen PC besitzt entscheidet wie viel Wert er darauf legt was mit seiner PIN und mit seiner TAN passiert.
Es gibt da die einen die alles blauäugig sehen und sich einen Windows Rechner ohne Passwortschutz und ohne Virenscanner hinstellen und ins Onlinebanking gehen. Dann gibt es solche die eine eigene Partition nur fürs Online Banking haben, einen Virenscanner der sogar beim Benutzen den User heilt (was übrigens schon mal Vorbildlich ist) und dann die Passwörter für PC sowie PIN und TAN Liste unter die Tastatur legen. Am besten noch im Büro und dann ab in den Urlaub. (Alles schon erlebt)
Es gibt sogar Menschen die es schaffen nach einer erfolgreichen Phising Abbuchung ne Woche zu warten ob das Geld vielleicht noch zurückkommt, um dann die Bank zu beschimpfen.
Auf was ich hinaus will ist das jeder seinen PC sauberhalten kann. Und da muss kein 200 € Virenscanner drauf und irgendwelche Spezialsoftware. Es würde teilweiße schon helfen weniger auf irgendwelchen Warez- und XXX-Seiten zu surfen und seine Passwörter nicht an die Pinnwand zu tackern. Sich über aktuelle Phisingmethoden informieren und grundsätzlich bei jeder E-Mail skeptisch sein.
Den obwohl mittlerweile meiner Meinung nach JEDER wissen müsste das die Bank niemals PIN und TAN per E-Mail oder Telefonisch verlangt, rufen bei mir im Monat durchschnittlich 2 Kunden an und Fragen ob sie eine neue TAN Liste haben können den 20 TANs werden ja verlangt und nur noch 10 sind übrig. 
Oder warum wir für dieses Update jetzt plötzlich ne PIN und TANs brauchen 
Übrigens einen richtigen Hackversuch hatte ich in meiner Laufbahn noch nicht. Das heißt die Kunden haben bei erfolgreichem Phising die TAN und die PIN “freiwillig” hergegeben oder diese wurden mit einem Trojaner ausgespäht (kein Virenscanner). Das sich ein Hacker versuch aktiv auf ein PC zu hacken ist warscheinlich nicht rentabel.
Also: Augen auf beim Dauerlauf und seine Daten für sich behalten.
Verwendungszweck fehlt? PC Ausschalten!
02. Mai
$Kundin ruft ganz panisch an und erzählt das sie eine Überweisung ausgefüllt hat und anschliesend bei der TAN Eingabe gemerkt hat wie der Verwendungszweck fehlt! Anstatt ganz locker den Zurück Button zu benutzen, wird einfach der PC ausgeschalten 
War zwar kein Problem aber trotzdem komisch
