HBCI mit PIN/TAN - Phishing

Allgemeine Fragen zu HBCI / FinTS mit Datei, Chipkarte oder einem TAN-Verfahren wie chipTAN, pushTAN, TAN2go, BestSign ...
Antworten
Webe17

HBCI mit PIN/TAN - Phishing

Beitrag von Webe17 »

Hallo ALF-Team !

Man liest derzeit jede Menge über Phishing-Probleme beim Online-Banking (über die klassischen Online-Banking-Sites der Banken wie z.B. www.commerzbanking.de etc) . Schadensfälle bei der Postbank und Dresdner Bank konnten glücklicherweise rechtzeitig entdeckt werden. Hierzu meine Frage. Ist es theoretisch oder auch praktisch möglich, während der Online-Erfassung einer Zahlung unter ALF-Banco durch ein Schadprogramm im Moment der TAN-Erfassung in einen Sende- oder Systemabbruch zu geraten, der die entsprechende TAN mittels Schadprogramm heraus filtert. Ich habe von entsprechenden POP-UP-Fenstern gehört, die während der TAN-Eingabe auf dem Bildschirm auftauchen sollen um dann dem User vorzutäuschen, eine nochmalige TAN-Eingabe zu vollziehen. Dies kam jedoch bislang lediglich beim klassischen Online-Banking vor. Ich ging bislang davon aus, dass HBCI mit PIN/TAN als sicher eingestuft werden kann. Bitte stellen Sie hierzu mal eine Info in das Forum. Ich benutze unter ALF-Banco einerseits HBCI mit Diskette und andererseits HBCI mit PIN/TAN.
Vielen Dank und Gruss
WEBE17
Benutzeravatar
ALF
Site Admin
Beiträge: 11955
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: HBCI mit PIN/TAN - Phishing

Beitrag von ALF »

Hallo,
Webe17 hat geschrieben:[...] Ist es theoretisch oder auch praktisch möglich, während der Online-Erfassung einer Zahlung unter ALF-Banco durch ein Schadprogramm im Moment der TAN-Erfassung in einen Sende- oder Systemabbruch zu geraten, der die entsprechende TAN mittels Schadprogramm heraus filtert.

generell ist es immer möglich mit sogenannten Trojanern PIN uns TANS abzufangen. Und zwar unabhängig welche Software Sie einsetzen. Der Schwachpunkt ist hier die Tastatur. Es ist für einen geübten Programmierer nicht besonders schwierig einen Trojaner zu schreiben der alle Tastatureingaben abfängt, Pins herausfiltert und an entsprechende Server schickt. Bei der HBCI Lösung mit Chipkarte und Kartenleser der Klasse 2 gibt es dieses Problem aber nicht. HBCI mit Chipkarte und dem richtigen Kartenleser ist immer sicher. Hier gibt es keine Möglichkeit per Software an die PIN zu kommen, welche in den Kartenleser eingegeben wird. Und selbst wenn jemand die PIN hätte kann er damit überhaupt nichts anfangen. Denn zu allen Transaktionen wird die Chipkarte bzw. die Schlüssel welche auf der Chipkarte gespeichert sind benötigt. Und auch hier gibt es keine Möglichkeit an die Schlüssel zu kommen.
Aber auch bei HBCI PIN TAN und Disketten Verfahren kann man sich über aktuelle Virensoftware und einer guten Firewall selbst schützen. Wem das nicht sicher genug ist, der sollte unbedingt auf Chipkarte umsteigen.

MfG
ALF
Antworten