mTan und smsTan können Phishing Attacken erfolgreich abwehren, doch reicht diese Sicherheit?
Fast jeder hatte schon einmal eine seriös aussehende E-Mail von Paypal, der Post oder der eigenen Hausbank im Postfach mit der Bitte bestimmte Daten abzugleichen. In letzter Zeit steht als Argument meist sogar irgendeine Sicherheitslücke, so dass man schon zweimal prüfen muss, um rauszufinden ob man jetzt wirklich handeln muss. Praktisch immer handelt es sich aber um einen Phishing Versuch, bei dem der Absender ein Krimineller ist, der auf diesem Weg die Zugangsdaten erbeuten will. Bei Banken wird ganz klassisch versucht das Konto leer zu räumen, sei es mittels Tan und Überweisung oder ganz klassisch per Lastschrift. Bei der Post wiederum steht zu meist die Packstation im Vordergrund, um mit falschen Daten auf Rechnung bestellte Ware ungestört abholen zu können.
Genauso wie Banken bei einer Überweisung heute fast immer die TAN per SMS verschicken, nutzt nun auch die Post das SMS Tan Verfahren. Statt Eingabe der Pin an der Packstation werden nun SMS mit einem einmalig gültigen Pincode zur Abholung verschickt. Der Abholer einer Sendung muss also auch im Besitz des bei der Post registrierten Handys sein, was normalerweise nur noch der richtige Empfänger sein sollte.
Das smsTan Verfahren bietet also durchaus einen guten Schutz, es bleibt aber zu beachten, dass damit Betrüger nur zu einer Reaktion gezwungen werden. So wurde jüngst von einem Trojaner mit Namen Tatanga berichtet, dieser stößt den Versand der mTan einfach auf dem Computer des Nutzers an und nutzt sie nach Eingabe durch den Nutzer für eine betrügerische Überweisung. Noch ist dieser Trojaner leicht zu durchschauen, aber wie immer muss auch dort mit einer kontinuierlichen Verbesserung gerechnet werden. Als Nutzer sollte man deshalb trotz der Vorteile kein uneingeschränktes Vertrauen in mTans haben. Die Schwachstelle ist immer der Mensch, prüfen Sie also ganz genau wo Sie gerade die Handy-Tan eintippen, ist es wirklich Ihre Bank? Zumindest diese Problematik sollte es bei der Packstation nicht geben, wenn man direkt davor steht.
Eine andere Schwachstelle bleibt aber offen, das Handy. Vielmehr das Smartphone. Betrügerische Apps auf dem Telefon können dafür sorgen, dass im Hintergrund die smsTan abgefangen wird und man gar nichts vom Empfang mitbekommt. Smartphones und Apps machen es möglich. Das Banken in ihren Geschäftsbedingungen dann die gleichzeitige Nutzung von mTan und Banking-App verbieten ist folgerichtig, aber natürlich völliger Blödsinn. Viele werden sich nicht an diese Bestimmung halten und damit dient sie letztlich nur den Haftungsschutz der Bank.
Bleibt als Fazit. m-Tan bzw. sms-Tan hilft dabei die Sicherheit zu erhöhen, ein hundertprozentiger Schutz ist aber leider auch durch SMS nicht gelungen.