Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Arno Welzel <usenet@arnowelzel.de>
Newsgroups: de.sci.electronics
Subject: Re: iTAN vs Elektronik
Date: Fri, 26 Aug 2022 22:48:04 +0200
Lines: 60
Message-ID: <jmsps4FreqsU1@mid.individual.net>
References: <te84eu$cq9r$1@solani.org> <icskti-d88t.ln1@hergen.spdns.de> <te8oh3$d5u6$1@solani.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net S+fIfW49HZSlfX708TjXJA5Tk1US9Y5Di0KKruIUBjzhINLGEU
Cancel-Lock: sha1:NmQKcL0TkaiYPmyVnm7GoIXbt68=
Content-Language: de-DE
In-Reply-To: <te8oh3$d5u6$1@solani.org>
Xref: csiph.com de.sci.electronics:325525

Helmut Schellong, 2022-08-25 23:11:

> On 08/25/2022 20:41, Hergen Lehmann wrote:
>> Am 25.08.22 um 17:28 schrieb Helmut Schellong:
>> 
>>> Ich halte daher das iTAN-Verfahren für außerordentlich sicher und
>>> robust.
>> 
>> iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach,
>> Lieschen Müller via "Social Engineering" dazu zu bringen, Teile der
>> Liste preis zu geben. Phishing-Mails der Form "Dringende
>> Sicherheitsüberprüfung - klicken sie hier und geben sie ihre
>> Kontonummer, ihre PIN sowie 10 TANs ein" waren eine Zeit lang
>> alltäglich. Bei nur 100 möglichen Alternativen für die Anforderung
>> einer TAN ist die Wahrscheinlichkeit eines zufälligen Treffers
>> unter diesen 10 unangenehm hoch.
> 
> Wenn alle übermittelten TANs ungebrauchte sind.

Logisch. Der Angreifer fragt natürlich nach "frischen" TANs, die noch
nicht benutzt wurden.

> Die ING sperrt den ganzen Zugang bei mehrfachen Falscheingaben. Ein
> Betrüger braucht Zugangscode, Paßwort, DiBa-Key und TANs. Ich habe
> meine Zweifel, daß eine solches erfolgreiches Phishing oft vorkommt.
> 
> Da die TAN-Liste von der Bank kommt, ist eine TAN-Nachfrage der Bank
> kraß unlogisch.

Das wissen aber manche Bankkunden nicht.

Es geht nicht darum, was Du persönlich als logisch ansiehst, sondern
welche Möglichkeiten ein Angreifer hat. Und "TAN-Listen in Erfahrung
bringen" wird halt sehr effektiv verhindert, wenn man sie einfach abschafft.

>> Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv,
>> um Phishing zu vereiteln.
> 
> Nicht, wenn diese Hardware ein /SmartPhone/ ist! Außerdem ist eine
> iTAN-Liste _das_ Stück Hardware.

Der Weg über das Smartphone *ist* sicher genug.

> opticalTAN und photoTAN sind hier sicher. Diese Geräte haben mit gar
> nichts Verbindung.

Dein Computer, der das Muster zur TAN-Erzeugung anzeigt, aber schon.

[...]
>>> SMS über Mobil-Telefon ist auch so eine Sache.
>> 
>> Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
>> Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

Ja - *war*. Seit das Problem bekannt wurde, hat man das schnell geändert.


-- 
Arno Welzel
https://arnowelzel.de