Trojaner "MultiTAN-Verifizierung"

  • Hallo


    Eigentlich ist es ja blöd aus so etwas reinzufallen... ;( ...aber nichts ist unmöglich. Z.Zt. sorgt wohl ein Trojaner bei diversen Banken für Unruhe bzw. wird davor gewarnt. Blöd... mich hat's erwischt; allerdings bis jetzt ohne Schaden. Das Ding ist auf dem Rechner nicht zu sprüren und zumindest McAfee hat ihn auch nicht erkannt. Der Trojaner schlägt zu, sobald man das Bankingportal [browserbasiert] öffnet. Nach dem Einloggen meldet sich jener Bildschirm... und zwar innerhalb des Browsers mit der geöffneten Bankseite. Sieht aus, als wenn es zur Bankseite gehört. Gehört es aber nicht und will mit TAN's gefüttert werden. Doof... ich habe eine aktive eingegeben und erst dann gefragt, ob das wohl so in Ordnung geht.


    Reaktion: Online alle TAN-Listen löschen und den Zugang sperren. Muss nun halt neu beantragt werden. Anschl. Rechner platt gemacht und sauberes Image aufgespielt. Man lernt eben nicht aus... Aussage des Experten bei der Bank: Evtl. schnüffelt das Ding auch noch andere Passwörter aus [ebay, Amazon...].


    MfG

  • Quicken, StarMoney, etc. sollten etwas sicherer sein, aber ob sie gegen KeyLogger gefeit sind? Ich nutze bei reinem browserbasierten Bankings nur noch das MobileTAN-Verfahren. Bisher wohl aufgrund der Zeitvorgaben und der Handy-Nr. wohl noch am sichersten!

  • Hallo Ralf,


    ich denke gegen Keylogger hilft es schon!
    Denn wenn ich im Keylogger eine TAN eingebe, die Überweisung dann
    meinetwegen ausführe, dann ist die TAN doch ungültig.
    Klar, "die" kennen dann den Zugang zum Bankkonto und können die Kontobewegungen und den Kontostehen abrufen, aber meiner Meinung nach keine Überweisung veranlassen.
    Kritschischer ist es wenn man irgendwo eine TAN eingeben muss, die man nicht verbraucht hat. Dann kann es natürlich schiefgehen, daher empfehle ich jeden keine "Unlimit"-Überweisung zuzulassen, egal wieviel aufm Konto drauf ist. Also auch wenn 12.000 EUR Guthaben drauf wären, TROTZDEM eine Maximalüberweisung von z.B. 1000 EUR pro TAN und Tag zuzulassen. Wenn man mal 1200 EUR überweisen muss, dann eben in 2 Folgetage zu je 600, oder 1000 und 200 EUR. Ist zwar nicht immer optimal, für den Empfänger und wegen der "TAN-Verschwendung", aber WIE OFT macht man schon als Privatperson so große Überweisungen? Da ist mir die Sicherheit schon mehr wert, als die Bequemlichkeit es aufzuteilen, zur Bank zu gehen, oder eine Bankfreischaltung für einen bestimmten Tag zu bekommen (z.B. bei Autokauf, o.ä.).
    Viel Glück dass Dir nichts schlimmes nun passiert, Gruß Christof

  • Zur Erhöhung der Sicherheit gibt es bei den meisten Banken jetzt das sogenannte iTAN-Verfahren. Bei der Überweisung fragt die Bank nach einer bestimmten TAN-Nr. aus der nummerierten iTAN-Liste.
    Damit muss der Datendieb schon mächtig Glück haben wenn genau die eine ab gefischte TAN passen würde.

    ...
    Mögen hätt' ich schon wollen, aber dürfen hab ich mich nicht getraut.
    Quelle: Karl Valentin

  • Bei unserem Institut gibts es seit längerem das xtan- Verfahren.


    Das läuft im Prinzip so, dass man bei Überweisungen einen xtan anfordern muss, dann ein sms auf eine vorher festgelegte handyNr. erhält, in dem der genaue Inhalt der Überweisung drinnen steht (also 1.000 EUR von Konto Arnold auf Konto Pocketnavigation Nr. 1234). Der Xtan ist dann auch maximal 3 - 5 Minuten gültig.
    Und klar: man kann mit Tastenklick (wenn das Handy verloren wurde) den xtan Versand sofort stoppen


    ****
    Gibts da nicht in Firefox eine Einstellung, die einen anzeigt, ob es die Original-website ist?

    Einmal editiert, zuletzt von Arnold1960 ()

  • Christof3d
    Die Grenze zu ziehen für die max. Transaktionssumme ist schon sehr schwierig, 1000,- sind bei Überweisungen zu einer WWW-Bank zwecks WP-Kauf häufig viel zu niedrig. Aber das muss jeder für sich selber ausmachen.



    mazzic
    Naja, so sicher ist das bereits seit einigen Jahren praktizierte iTAN-Verfahren nun auch nicht: http://www.heise.de/security/m…ken-behauptet-125776.html Aber immerhin besser als feste Listen, aus der man selber die TANs rausstreicht.
    Aber auch bei mTAN kann man im Extremfall ganz schön alt aussehen: http://www.heise.de/newsticker…n-ausgehebelt-828221.html



    Arnold
    Und xTAN scheint im Prinzip dem mTAN zu ähneln, außer, dass dort halt noch zusätzl. die Transaktionsdaten mit enthalten sind.

  • Ich kenne mTan nicht, denke aber, dass die Kollegen vor der xTan Einführung auch die Mitbewerber getestet haben, und das "bessere"
    System verwendet haben.


    Mir gefällt es jedenfalls, wenn ich die eingegebenen Daten nochmals per sms erhalte, und erst dann entscheide, ob ich a) die Xtan verwende oder
    b) den Tippfehler im Überweisungsbetrag (10,00 EUR anstelle von 1000,00 EUR) korrigiere :D


    Noch erwähnenswert:
    Bei 4-maliger Falscheingabe wird die xTAN-Autorisierung gesperrt. Der Einstieg ins eBanking ist jedoch weiterhin möglich.