紧急求助，网上银行被盗，钱被转走

mujiaba

请问LZ是不是用同一手机上的postbank和收的mtan？

xbbyysh

mujiaba 发表于 2014-10-1 21:59
请问LZ是不是用同一手机上的postbank和收的mtan？

我是在电脑上上的网银，不是手机网银

alphasong

卷饼狂热分子 发表于 2014-10-1 19:18
为什么，除非手机被入侵了吧

想楼主这样自己手贱的，mtan和纸质有区别吗，都是自己输给别人。。。

纯安全性的讨论，人为过失不算在内。

假设入侵者和防御者都有足够的时间且运算能力足够强的前提下
手机密码可以有很多途径丢失，比如像你说的手机被入侵了，除此之外还可以是通讯商被入侵了，通讯商和手机之前的通讯被窃听了，等等等等，这还只是在手机通讯这部分出问题的可能性

反之看纸质密码，除了失窃（包括偷看、偷拍等方式），没有泄密的可能，但是失窃的问题手机密码同样有这个问题，并没有对此有所改进

所以，只要我死死的捏住了纸质密码，不被任何人接触到，密码就是安全的，但是对手机来说，我除了要保管好手机，还要照看好里面的软件，还要寄希望于通讯商不会入侵，手机的通讯不会被窃听，安全防卫难度增加了许多

但是方便程度上，手机只比传统纸质密码带来有限的几点优势：1，便携，一般人会随身携带手机，也就是说任何时间任何地点都可以收到密码，但是一般纸质密码做不到；2，在安全性上稍有一点增加，就是你知道这个密码是做什么的，但是在通讯商被入侵或者通讯被监听的前提下，这个优势丝毫得不到体现。

我到现在还没想到手机密码的更多优势，有什么我想漏的欢迎提醒。

AV_Rammstein

Sicherheit steht bei der chipTAN im Vordergrund. Sie ermitteln Ihre TAN mit dem TAN-Generator und Ihrer persoenlichen SparkassenCard. 目前最保险的转账方式，麻是麻烦了点，但是要比短信或者纸质的TAN都安全

贞爱

超级玛丽 发表于 2014-10-1 11:01
tan码机更安全可靠，值得拥有

我是这个。不过也挺担心

贞爱

天生小迷糊 发表于 2014-10-1 13:15
chiptan? 这种没有安全漏洞么？

我觉得知道密码了，就一样可以转账了

贞爱

大士大匪 发表于 2014-10-1 17:16
这个机器开通时要绑定EC卡，online转帐时要把绑定的卡插进去，然后再扫屏幕上的条形码，或手动输入转帐信 ...

真假？我家我和老公两个卡可以一个机器啊？

大士大匪

贞爱 发表于 2014-10-2 14:39
真假？我家我和老公两个卡可以一个机器啊？

对头，我们家就是一个机器绑定两张卡。去银行买这个机器时跟他们说就行了，他们会搞定的。

贞爱

大士大匪 发表于 2014-10-2 20:37
对头，我们家就是一个机器绑定两张卡。去银行买这个机器时跟他们说就行了，他们会搞定的。

我家没特意说啊。难道瑞士得不同？

wagner

我觉得原因在于LZ电脑中毒。通过电脑的木马，黑客早已搞到LZ网银的登入密码，他登入后等到LZ online，然后启动他的软件，比如说因为什么安全原因，要你输入一次mTAN。同时，黑客在LZ账号进行转账手续，这样LZ网银就会通过SMS发给LZ手机一个mTAN. 假如LZ这时在电脑输入mTAN，实际被黑客截取来完成当时的转账。
实际上，上述过程也有很多值得怀疑的，一般银行不会说因为什么安全原因，要你输入一次mTAN，二是这么蹊跷又收到一个mTAN，尽管你根本没有在网银操作什么。值得警惕啊！

mujiaba

xbbyysh 发表于 2014-10-2 11:34
我是在电脑上上的网银，不是手机网银

像这样银行会赔的。一般银行要求不能用同一设备操作网银和收mTAN

rhein1982

alphasong 发表于 2014-10-2 13:56
纯安全性的讨论，人为过失不算在内。

假设入侵者和防御者都有足够的时间且运算能力足够强的前提下

纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某次转账时是采用Token Ring 的方式来实现的，学Info的同学应该知道这个原理，而 mTAN是点对点，也就是说mTAN是因为当前转账(目标账户和金额)而由银行系统生成，只对当前业务有效，LZ这个情况只要核对手机mTAN是可以避免的，但是纸TAN做不到这点。

一旦黑客获取一个纸tan,就可以在别的某个时间进行其所希望的交易，没有实时性要求。

假设:  电脑已经中毒，进入黑客设计的钓鱼网站(伪造的网银网站)，受害者本人尚未知情
过程: 1. 假网银网站要求输入账号密码 --> 受害者本人账号密码被突破
2. 受害者进行计划中的转账 -->假网站索要密码，受害者完全不知情的情况下填写一个纸质Tan
3. 假网站显示转账成功(实际上尚未发生任何转账行为),受害者毫不知情，该干啥干啥去了
4. 黑客拿着已经获得的账号，密码， 还有那个已经获得的Tan, 在网银上不断尝试，直到系统要求给出那个特定序列号码的Tan出现，盗取成功，黑客很高兴

针对第二点还要指出，这个还是笨黑客，高手黑客的假网站可以实时放映，比如，受害者希望转到A账户100欧，黑客在另一边打入汇款到B账户10000欧(根据受害者余额决定), 如果是纸tan,真的银行系统说这比转账(10000-> B)需要56号Tan,然后黑客的假网站提示受害者输入这个56号tan(受害者还以为是在进行100->A), 然后真假网站双双显示交易成功，受害者和黑客都很开心 ，LZ遇到的骗术和这个类似，如果是纸tan,恐怕LZ现在还毫不知情！

rhein1982

wagner 发表于 2014-10-2 22:55
我觉得原因在于LZ电脑中毒。通过电脑的木马，黑客早已搞到LZ网银的登入密码，他登入后等到LZ online，然后 ...

截取的 mTAN 是无效的, 只有在用户提交转账申请后，在明确目标账户和金额情况下，才由银行系统生成只对这比转账有效的一个mTAN，黑客就算盗取了这个mTAN也是毫无用处，只是帮助用户完成预期的转账，当免费劳工

LZ这个情况是，黑客获得账号密码，然后黑客进行转账, 但是黑客无法获得所需要mTAN, 所以通过木马软件问问LZ,而LZ就把黑客急需要的mTAN告诉了黑客  (银行给LZ发的mTAN已经清楚的写出了这个mTAN的用途！ 而LZ疏忽没有看。。。。。。)

wagner

我也觉得纸TAN更不安全，因为，mTAN是通过SMS发的，SMS还包含相应的转账信息，比如转账金额，人们只要看一下，就会觉察到这笔无中生有的款项！

天生小迷糊

rhein1982 发表于 2014-10-2 22:25
纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某 ...

如何发觉钓鱼网站？

alphasong

rhein1982 发表于 2014-10-2 23:25
纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某 ...

恩，可以理解为纸质TAN码是有限的，可以穷举出来；而手机TAN码可以认为是无限的，不容易被穷举出来，这可以被认为是一个手机TAN的安全优势

关于用途的那点，之前就说到了，但是生活里看来不是太有效，而且安全层面上我更多考虑了通信上的隐患，对钓鱼行骗考虑的不够多