frei-Schwimmen

schwimment leide rnicht so. Gehen wir das mal durch:
>
> 1.) Im Normalfall sind bereits TANs auf der Liste verbraucht. Deshalb
> sind im Schnitt nur 50 Tans bei einem Konto X verfügbar.
>
> 2.) Man hat normalerweise 3 Versuche eine korrekte TAN anzugeben.
> Hierbei wechselt die Nummer der anzugebenden TAN. Macht noch 50/3 =
> 17 TANs, die man im Schnitt braucht.
>
> 3.) Die neusten Phishing Seiten fragen etwa 3 TANs ab. Damit hat ein
> Phisher im Schnitt bei jedem 6ten Konto nen Treffer. Also alles
> andere als eine wirklich große Hürde.
Erstmal ist der erste Punkt schonmal die Tatsache das 3 TANs
angegeben werden müssen. Alleine über diesen Punkt dürften dann
selbst viele Opfer stutzig werden, denn 3 TANs werden ansonsten
nirgends abgefragt bei den Banken.
Aber gut, nehmen wir an jemand gibt da 3 TANs ein, es wird
schliesslich immer welche geben die das machen.
Der Phisher weiss nur dummerweise nicht welche TANs verbraucht sind
also fragt er nach freien TANs und muss davon ausgehen das das Opfer
die anderen weggestrichen hat (was eigentlich gar nicht notwendig
ist)
Wenn das ebenfalls getan wurde sinkt die Wahrscheinlichkeit natürlich
weiter.
Die aktuellen Phishing Mails fragen sogar 10 TAN Nummern ab und ich
habe auch schon welche gesehen wo wirklich die komplette Liste
eingegeben werden sollte. Dagegen kann man dann nun auch nichts mehr
machen wenn jemand dort seine Daten eingibt, da hört dann aber auch
so langsam aber sicher das Verständniss für solche Betrugsopfer bei
mir auf. Da muss man sich dann wirklich noch fragen die Banken
eigentlich machen sollen. Einen HBCI Leser bekommen solche Kunden
wohl nichtmal selber installiert und ob damit dann richtig umgegangen
wird bleibt wohl das nächste Problem. Würde mich nicht wundern wenn
dann Leute dazu aufgefordert werden die HBCI Karte samt PIN zwecks
Ãœberprüfung an den Angreifer per Post zu versenden. Sind dann HBCI
Chipkarten auch ein Sicherheitsproblem?
Die grössere Gefahr bei TANs besteht meines achtens nach auch eher
bei Trojanern die per Keylogger die TAN abfangen und dann die Banking
Abwendung abschiessen. Davon waren mit Sicherheit auch Menschen
betroffen die vorsichtig mit ihren Daten umgehen aber sich halt
irgendwo den Trojaner eingefangen haben. Mit der TAN kann der
Angreifer dann wirklich nichts mehr anfangen weil die sowieso kein
zweites Mal mehr angefragt wird.

Der Beitrag wurde am Freitag, den 11. April 2008 um 12:01 Uhr veröffentlicht und wurde unter Allgemein abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.