comdirect

Der Unterschied zwischen Bargeld und diesem "Fall" ist, dass die Bank bei Kartenbetrug den Schaden zurückerstatten kann. Die Geldströme sind nicht anonym. Zahlungstermminals haben einen zertifizierten Chip, so ein Terminal kann man nicht mal eben bei Conrad Elektronik kaufen. Es finden KYC-Procedere statt. Bargeld ist dagegen einfach futsch. 

Da bekomme ich lieber 90 Euro zurückerstattet als das mir 30 Euro Bargeld geklaut werden.

Zudem kann man sich sehr einfach davor schützen: Mehr als eine NFC-fähige Karte im Geldbeutel tragen. Bei 2 Karten in Funkreichweite bricht das Terminal ab. Oder einen Card Protecor nutzen.

Es ist sehr viel wahrscheinlicher, dass ein Dieb ganz altmodisch den Geldbeutel klaut und dann damit Einkauft, bis die Sicherung greift.

---

@Fraenky  schrieb:

---

@Frnk  schrieb:

Der Angriffsvektor ist ein ähnlicher. 

...

Die Frage, die sich Anwender stellen sollten ist, ob App-TAN sicherer ist als andere Verfahren. Und alle Wissenschaftler, die Stiftung Warentest, … schätzen App-TAN sicherer ein als SMS-TAN. Dass es nicht der Goldstandard ist, steht außer Frage.

---

Wenn das TAN und Banking auf einem Gerät laufen, reicht der Zugriff auf ein Gerät.  Wenn TAN auf Smartphone und Banking auf dem PC läuft, dann braucht man schon Zugriff auf zwei getrennte Systeme und das ist schwieriger.

 

---

Das stimmt so schon irgenwie aber halt nur halb. Entscheidend ist, dass das Auslösen einer Transaktion und die Freigabe per TAN-Verfahren zwei unabhängige Kommunikationswege sind, die beide durch einen Angreifer übernommen werden müssen. Man hat es also immer mit "zwei Systemen" zu tun.

Man müsste dem Handybesitzer Schadsoftware untermogeln, die sowohl die Banking-App angreift und die TAN-App, respektive deren Kommunikation mit dem Bankserver (Banking-App) oder Bildschirmausgabe (TAN-App.). Das ist relativ kompliziert, auch durch die Sicherungsmaßnahmen der Appstores. Wer installiert denn eine Bankingapp aus ominöser Quelle auf einem gerooteten Telefon und wundert sich dann? Oder klaut jemand das Telefon, überwindet die Telefonsperre und ersetzt ohne Wissen des Besitzers die Apps und mogelt das Telefon dann wieder in die Hosentasche des Besitzers? Kanns schon geben.

Einfacher wäre aber per Phishing an die Log-in-Daten fürs Konto zu kommen. Und dann ist nicht nur App-Banking kompromittiert sondern auch der browserbasierte Zugang (so fanden die Angriffe auf N26 statt). Was nun aber durch die obligatorische Strong-Customer-Authentication erschwert wird. Bei N25 wurde nicht direkt das TAN-Verfahren ausgehebelt sondern durch eine Schwäche im Prozess das TAN-Medium umgestellt. Ähnlich wie die Schadfälle bei SMS-TAN nicht das Verfahren selbst angegriffen haben sondern per SIM-Swapping die SMSs quasi umumgeleitet haben.

---

@Frnk  schrieb:

 

Es ist sehr viel wahrscheinlicher, dass ein Dieb ganz altmodisch den Geldbeutel klaut und dann damit Einkauft, bis die Sicherung greift.

---

Noch ist das so. Da aber viele Banken (inkl. der comdirect) ihren Kunden einreden, dass es doch ach so sicher sei, das schicke photo/smart/sonstwas TAN Verfahren zusammen mit der Banking-App auf demselben Handy zu nutzen, liegt die Zukunft der Diebe im Klauen von Handys und ggf. unter Gewaltandrohung den Besitzer zu zwingen, Geldüberweisungen, vorzugsweise per Sepa-Instant ins Ausland freizugeben. Während man früher Bankgeschäfte altmodisch am PC zuhause gemacht hat und die iTAN-Listen ggf sicher aufbewahren konnte, trägt man den Zugriff auf das Konto samt TAN-Freigaben heute praktischerweise ständig mit sich herum.

---

@kammann  schrieb:

---

@Frnk  schrieb:

 

Es ist sehr viel wahrscheinlicher, dass ein Dieb ganz altmodisch den Geldbeutel klaut und dann damit Einkauft, bis die Sicherung greift.

---

Noch ist das so. Da aber viele Banken (inkl. der comdirect) ihren Kunden einreden, dass es doch ach so sicher sei, das schicke photo/smart/sonstwas TAN Verfahren zusammen mit der Banking-App auf demselben Handy zu nutzen, liegt die Zukunft der Diebe im Klauen von Handys und ggf. unter Gewaltandrohung den Besitzer zu zwingen, Geldüberweisungen, vorzugsweise per Sepa-Instant ins Ausland freizugeben. Während man früher Bankgeschäfte altmodisch am PC zuhause gemacht hat und die iTAN-Listen ggf sicher aufbewahren konnte, trägt man den Zugriff auf das Konto samt TAN-Freigaben heute praktischerweise ständig mit sich herum.

---

Kann man. Muss man aber nicht. Homebanking + separater TAN-Generator stehen jedem offen. Wem "Mobile Banking" nicht liegt oder zu unsicher erscheint, der lässt es einfach.

Der wird dann halt per Karte, Geldautomat und erpresster PIN ausgeraubt. Was übrigens auch interessanter ist für Gangster, hinterlässt keine Datenspur, die man nachverfolgen könnte.

"Kann jetzt mit Ihren Daten einkaufen..."

Video: Taschendiebstahl per NFC-App - https://www.youtube.com/watch?v=egI1fgpIW1I

"Die Technologie ist gebastelt nach dem Motto:  billig, billig, billig..."