Door Dollemanskervel: Door Anoniem: Door Korund: Als je toch een mobieltje hebt voor de sms, waarom dan niet de app, heb je geen scanner nodig.
Ik heb papieren TAN-codelijsten. Ik moet de eerste hacker nog zien die daar bij kan.
De hacker hoeft daar ook niet bij, die moet alleen het volgende TAN nummer door jou laten intypen.
Zo'n papieren TAN heeft geen enkele koppeling met de transactie die je ermee authoriseert , dus een banking trojan kan
iets op het scherm laten zien, een heel andere transactie uitvoeren, en jij typt braaf de TAN in van het papier dat je net gepakt hebt uit je heel veilige geheime verstopplek waar geen hacker bij kan.
Dat is de makkelijkste hack.
Ik kan niet anders concluderen als dat je gebrekkige kennis hebt over hoe TAN in elkaar steekt.
Ten eerste volgen de gevraagde nummers elkaar helemaal niet op, maar wordt door ING random een TAN code gevraagd van de lijst.
En ten tweede moet de eerste blinde nog geboren worden die zonder voorafgaande achtergrond informatie (factuur o.i.d.) "braaf" een TAN code gaat invoeren voor
iets dat op het scherm is te zien wat dan toevallig ook nog correspondeert met de TAN-code lijst. Hoogstonwaarschijnlijk allemaal.
Ietsje gerichter - het aanvraag/aflever proces van een nieuwe lijst papier is lastig om goed dicht te krijgen.
Wat kan iemand met de TAN code lijst zonder inloggegevens van de ermee corresponderende rekening?
Antwoord: Niets.
Zo'n onderschepte TAN code lijst heeft de waarde van oud papier voor iemand die de voornoemde inloggevens van je rekening mist.
Als je de inloggegevens gescheiden houdt van de TAN lijst is er geen vuiltje aan de lucht. Dat
was al ruim twintig jaar zo, en hoewel de komst van de Scanner of App,
is dat nog steeds zo.
Je zit op een security forum en blijkt onbekend met banking trojans ?
En verder neem je een randvoorwaarde ('niks mis mee als je maar' ) iets dat in de praktijk al jaren lang NIET zo werkt.
De hoofdzaak van bankieren en beveiliging is dat *de opdracht die de bank ziet* door de eigenaar van de rekening bevestigd moet worden .
En de grote uitdaging is dat het gebruikelijke apparaat (PC + browser) waarlangs zo'n opdracht gegeven wordt notoir onveilig is . En dat een opdracht die de gebruiker op het scherm ziet of ingeeft, en de opdracht die werkelijk naar de bank gaat best kunnen verschillen. Dat is wat banking trojans doen .
Die extra factoren (SMS TAN, rabo runner, abn e.dentifier) proberen twee dingen te bereiken :
Een extra authenticatie om te bevestigen dat degene die inlogde met een password ook de bedoelde rekeninghouder is.
En - het terugkoppelen naar de gebruiker welke transactie de bank gezien heeft .
(in de SMS-tan staat het totaal bedrag bv ).
De papieren TAN is heel beperkt - die kan niks zeggen over de transactie die de bank ontvangen heeft, en de gebruiker heeft geen manier om te weten of z'n computer misschien het ene laat zien op het scherm , en het andere (vanwege een trojan) naar de bank stuurt.
Natuurlijk kan de trojan binnen z'n bankier sessie ook best zeggen dat de tan verkeerd ontvangen is, en de gebruiker nog een keer een tan moet ingeven.
(en daarmee authoriseert de gebruiker gewoon NOG een overboeking, die de trojan inlegt. ).
Dat is hoe er in de praktijk werkelijk gestolen wordt - werkt prima op afstand, automatiseerbaar en hoeft helemaal niet gericht te zijn.
Het probleem van fysiek stelen van lijsten TAN codes is bijzonder klein.
Het is _wel_ een bekend probleem dat *als* er iets gestolen wordt erg veel mensen gewoon dingen die ze bij elkaar nodig hebben bij elkaar bewaren.
En er _is_ een risico van update/afleveren - er zijn gevallen van aanvragen van vervangende bankpassen/creditcards die door de dief (die ook de aanvraag deed) uit de brievenbus gehengeld werd.
Gezien het vrij marginale gebruik van papieren TAN codes zal dat probleem wel meevallen , maar aan aanvalsvector om bij een gestolen login dan een 'verloren TAN lijst' aan te vragen is prima mogelijk - vooral als het slachtoffer in een flat complex woont met alle postbussen beneden.