21. Dezember 2012 17:47

Re: Nein, es ist schlecht als iTAN!

xtPolka schrieb am 21. Dezember 2012 17:19

> PiWaHi schrieb am 21. Dezember 2012 16:40

> > TAN per Phishing verliert  man je nach Überweisungslimit 1000-2000
> > Euro. Mit einem Trojaner auf dem Handy verliert man alles + Dispo
> > voll ausgeschöpft.

> Wer sagt dass nur eine TAN abgephished wird? Ein Trojaner auf dem PC
> kann jede eingegebene TAN abphishen oder die Transaktion verändern.
> Effekt ist dann derselbe.

Man hat dann aber nur wenige TANs und nicht beliebig viele.

> > Jemand der auf eine Phishing Seite rein fällt, wird auch eine Seite
> > reinfallen die ein "Sicherheitupdate" aufspielt. Der gewonnen
> > Sicherheitsfaktor liegt dann nur noch darin wieviele Leute ein altes
> > Handy oder kein Verbindungskabel haben.

> Solche User geben auch in ihr ChipTAN-Gerät eine "Testüberweisung"
> ein.
> Genauso können Kriminelle auch gefälschte oder manipulierte
> TAN-Generatoren fürs Chip-TAN verteilen, die bei speziellen
> Flicker-Codes falsche Überweisungs-Daten anzeigen.

Wäre denkbar, aber da ist der Aufwand wesentlich höher für.

> > Es ist genauso schlecht wie mTAN. Würde man für mTAN oder diese App
> > andere Überweisungslimits setzen, dann wäre es wieder ok. Aber solche
> > Limits wollte wohl keiner.

> So ziemlich jede App kann SMS lesen, die privaten Daten fremder Apps
> kann man wie gesagt nur lesen wenn das Gerät gerooted ist. Das geht
> zwar aber ist nicht ganz trivial wenn das Telefon aktuell ist.
> Zusätzlich muss dann noch der PC übernommen werden.

Das stimmt natürlich. An die andere App kommt man eventuell nicht so
leicht dran wie an eine SMS.

> Ich sehe es auch so, dass da Angriffsmöglichkeiten bestehen, wenn der
> User unvorsichtig ist. Die gibt es aber bei allen Verfahren, und wird
> es immer geben. Weisst du eigentlich wie dein HBCI-Gerät intern
> funktioniert, hat das auf dem Weg vom Hersteller zu dir eventuell
> irgendjemand manipuliert (JTAG-Interface dran?)?

Das ist natürlich möglich, aber aufwendig.

> IMHO ist das QR-TAN ein Fortschritt gegenüber iTAN und mTAN.

Es ist auf jeden Fall bequemer als iTAN oder TAN Generator.
Ob es ein Fortschritt ist kommt wohl aber auf die Limits an. Wenn das
Tageslimit auf 50'000 steht verliert man im Worst Case einfach zu
viel.

Grüße Pi

Anzeige