Bank gehackt - 2FA Authentifizierung

[s1lv3r]

vor 4 Minuten von chirlu:

Das müsstest du näher erklären. Ich sehe auf dem TAN-Generator ja Daten wie Betrag oder Kontonummer und kann daher merken, dass die gegenüber meinem Auftrag verändert sind.

 

Die normalen "dummen" Hardware-TAN-Generatoren (die Dinger die nur ein Tastenfeld + ein kleines Zahlendisplay haben), sind ja offline. Und von denen redet @dev doch? Die zeigen dementsprechend nur einen Code an ... aber du hast schon recht, dass die 2FA-Apps der Banken diese Daten anzeigen. Das ist m.M.n. auch genau der Grund dafür, warum diese Apps immer mehr Verbreitung finden ...

[chirlu]

vor 5 Minuten von s1lv3r:

Die normalen "dummen" Hardware-TAN-Generatoren (die Dinger die nur ein Tastenfeld + ein kleines Zahlendisplay haben), sind ja offline. Und von denen redet @dev doch? Die zeigen dementsprechend nur einen Code an ...

 

Ich weiß nicht genau, wovon die Rede war, aber die klassischen Chip-TAN-Generatoren zeigen sehr wohl den Betrag und zumindest Teile der IBAN an. Die wurden vorher per Flickercode auf das Gerät übertragen; oder man tippt sie selbst ein. Die bestätigten Daten gehen dann in die Berechnung der TAN ein, so dass die TAN wirklich nur für die Überweisung von 47,11 Euro auf Konto 0815 gültig ist.

 

Genauso läuft es natürlich auch bei den etwas moderneren Generatoren mit QR-Code (oder anderen zweidimensionalen Codes).

[dev]

Diese Offline-TAN-Geräte, machne nennen es auch Chip-TAN, lesen einen farbigen QR-Code ein, nach der Eingabe einer PIN, werden einige Informationen zur angeforderten Aktion angezeigt, diese kann man vergleichen und dann nach einem OK, bekommt man die TAN. Aktuell gilt dieses Verfahren als das sicherste.

 

Nein, ich meine keine App, denn diese ist ja nicht dauerhaft offline.

 

Vorteile:

- ich habe es nicht ständig dabei und kann es sicher verwahren

- der verwendete die Geräte-ID, welche als ein Faktor für den Algorithmus zur Erstellung der TAN ist, kennt nur das Gerät und die Bank-IT

- PIN zur Nutzung erfoderlich

- Kontrollmöglichkeit

 

Alle anderen Verfahren die ich kenne, nutzen ein internetfähiges Device zur Erstellung der TAN und diese haben nun mal mehrere Angriffsmöglichkeiten.

[Geduldsanleger]

Ich nutze als Backup für meine Depotzugänge ein Smartphone, dass für nichts Anderes verwendet wird, keine SIM Karte hat und sicher verwahrt wird. Es wird nur mein eigener  Internetzugang genutzt. Dies reicht mir bzgl. Sicherheit aus.    Es gibt leider kein bankenübergreifendes Offline-TAN-Gerät, wenn überhaupt eines angeboten wird.  Man braucht  also je nach Depotanzahl mehrere dieser Geräte, da fahre ich mit der Smartphonevariante besser.  Da bin ich auch gerne bereit alle paar Jahre ein neues Smartphone nur für diesen Zweck zu kaufen.  Letztllich würden bei doch erfolgreichen Hacks die Gelder auf den Depots auf dem Referenzkonto landen und dieses betreibe ich bewusst nicht online.

[Ramstein]

Am 5.3.2024 um 21:26 von dev:

Diese Offline-TAN-Geräte, machne nennen es auch Chip-TAN, lesen einen farbigen QR-Code ein, nach der Eingabe einer PIN, werden einige Informationen zur angeforderten Aktion angezeigt, diese kann man vergleichen und dann nach einem OK, bekommt man die TAN. Aktuell gilt dieses Verfahren als das sicherste.

 

Nein, ich meine keine App, denn diese ist ja nicht dauerhaft offline.

Ich habe eine App auf einem 15 Jahre altem iPhone ohne SIM-Karte, WLAN und Bluetooth ausgeschaltet. Das ist dauerhaft offline.

[oktavian]

vor 9 Stunden von Geduldsanleger:

Letztllich würden bei doch erfolgreichen Hacks die Gelder auf den Depots auf dem Referenzkonto landen und dieses betreibe ich bewusst nicht online.

das Referenzkonto wird vorher abgeändert. Auch aufpassen, dass per TAN kein Girokonto hinzugefügt werden kann, denn das wäre ein weiterer Vektor um das Geld beiseite zu schaffen. 

vor 53 Minuten von Ramstein:

Am 5.3.2024 um 21:26 von dev:

Nein, ich meine keine App, denn diese ist ja nicht dauerhaft offline.

Ich habe eine App auf einem 15 Jahre altem iPhone ohne SIM-Karte, WLAN und Bluetooth ausgeschaltet. Das ist dauerhaft offline.

Es gibt bei manchen Banken offline-fähige apps. Push TAN hingegen ist nicht offline möglich. Z.B. ING geht meines Wissens nicht offline per App. Flugmodus an wäre wichtig. Kenne die Technik nicht genau, denn Notruf geht auch ohne SIM. theoretisch könnte es also in Netz gehen.

[dev]

vor 46 Minuten von Ramstein:

Ich habe eine App auf einem 15 Jahre altem iPhone ohne SIM-Karte, WLAN und Bluetooth ausgeschaltet. Das ist dauerhaft offline.

Das ist auch eine gute Idee.

Bei mir werden die Telefone meist erst ersetzt, wenn sie defekt sind ;-)

[Lou_Mannheim]

Gibt es eigentlich Broker, die für die Änderung des Referenzkontos einen Abgleich des Kontoinhabers vornehmen bzw. eine Änderung auf einen anderen Inhaber nicht im normalen Geschäftsablauf zulassen?  

 

[Rider]

vor 1 Minute von Lou_Mannheim:

Gibt es eigentlich Broker, die für die Änderung des Referenzkontos einen Abgleich des Kontoinhabers vornehmen bzw. eine Änderung auf einen anderen Inhaber nicht im normalen Geschäftsablauf zulassen?  

 

Bei Onvista geht die Änderung des Referenzkontos nur schriftlich. Also Papier und Unterschrift. Kein Fax. 

[Lou_Mannheim]

Sowas finde ich auch gut. Ich hatte mich nur gefragt, ob man nicht auch schlicht einen extra Layer Sicherheit einziehen kann, indem man den Wechsel auf eine andere Person etwas schwieriger gestaltet, bspw. Rückfrage über zweiten Kommunikationsweg. Wie gesagt scheint mir aber das offline Verfahren an sich schon ziemlich gut. Nur ist das soweit mir bekannt nicht so weit verbreitet.

[franko]

vor 21 Minuten von Lou_Mannheim:

Ich hatte mich nur gefragt, ob man nicht auch schlicht einen extra Layer Sicherheit einziehen kann, indem man den Wechsel auf eine andere Person etwas schwieriger gestaltet [...]

Was würde das nach heutigem Stand bringen? Überweisungen werden doch rein nach angegebener Empfänger-IBAN ausgeführt, der Name des Kontoinhabers wird in aller Regel gar nicht überprüft.

[Lou_Mannheim]

vor 6 Stunden von franko:

Was würde das nach heutigem Stand bringen? Überweisungen werden doch rein nach angegebener Empfänger-IBAN ausgeführt, der Name des Kontoinhabers wird in aller Regel gar nicht überprüft.

Mir ging es darum, welches Konto mit dem Depot (oder auch Tages- oder Festgeldkonto) verknüpft ist und wie man das ändern kann. Also nicht wie abgehende Überweisungen von einem Konto ablaufen. Da wird soweit ich weiß tatsächlich kein Abgleich des Inhabers durchgeführt, auch wenn man ihn angibt. Das soll sich zwar wohl ändern durch EU-Vorschriften, wird aber noch eine Weile dauern. Sagte mir jedenfalls neulich ein Bankmitarbeiter. 

[franko]

vor 1 Stunde von Lou_Mannheim:

Mir ging es darum, welches Konto mit dem Depot (oder auch Tages- oder Festgeldkonto) verknüpft ist und wie man das ändern kann. Also nicht wie abgehende Überweisungen von einem Konto ablaufen. [...]

Ich hatte dich so verstanden, dass eine Änderung des Referenzkontos erschwert werden soll, wenn das neue Referenzkonto einen "anderen Inhaber" hat. Das kann der Broker aber nicht ohne Weiteres unterscheiden. Wenn er einfach der Angabe des Nutzers glaubt, nützt es ja nichts, weil abgehende Überweisungen ja auch bei abweichendem Namen durchgehen.

[Lou_Mannheim]

vor 26 Minuten von franko:

Ich hatte dich so verstanden, dass eine Änderung des Referenzkontos erschwert werden soll, wenn das neue Referenzkonto einen "anderen Inhaber" hat. Das kann der Broker aber nicht ohne Weiteres unterscheiden. Wenn er einfach der Angabe des Nutzers glaubt, nützt es ja nichts, weil abgehende Überweisungen ja auch bei abweichendem Namen durchgehen.

Ja, dafür wäre noch ein Check bei der Zielbank nötig. Ich hätte gedacht, dass das zwischen den Banken schon möglich sein sollte. Es wäre allerdings mehr Aufwand, als einfach das umzusetzen, was der Kunde eingibt.

[Geduldsanleger]

 

 

vor 11 Stunden von oktavian:

das Referenzkonto wird vorher abgeändert. Auch aufpassen, dass per TAN kein Girokonto hinzugefügt werden kann, denn das wäre ein weiterer Vektor um das Geld beiseite zu schaffen. 

 Bei der ING wird man  schriftlich an die hinterlegte Postanschrift über die Änderung informiert, was doch zusätzliche Sicherheit schafft. Die Änderung selbst ist online möglich. Mir wäre es tatsächlich lieber, wenn dies nur per Brief möglich wäre.  Bei Flatex ist dies so, nur Änderung per Postschreiben möglich.  An der Stelle bin ich für weniger Digitalisierung von Abläufen.