Mevcut bir mahkeme kararı çığır açıcı olabilir. Heilbronn bölge mahkemesi kararında pushTAN prosedürünün o kadar da güvenli olmadığını yazdı. Bundan önce bir müşterinin bankasına karşı açtığı bir dava vardı.
Artık çok sayıda TAN prosedürü var: mTAN, chipTAN, pushTAN, iTAN vb. Günümüzde en çok kullanılan prosedürlerden biri pushTAN prosedürüdür. Ve bunun gelişigüzel kullanılması bir banka müşterisi için ölümcül oldu. Telefonda kendisini mağdurun bankasının çalışanı olarak tanıtan bir kişi, üçüncü bir şahsın iki yetkisiz ödeme yaptığını ve kredi limitini 10.000 avroya çıkardığını söyledi. Süreci tersine çevirmek için, iddia edilen banka çalışanının, mağdurun pushTAN aracılığıyla oluşturduğu ve telefonda konuştuğu kişiye sunduğu üç TAN’a ihtiyacı olacak.
Daha sonra TAN’ı kullanarak kurbanın hesabından büyük miktarda para çeken kişinin bir dolandırıcı olduğu ortaya çıktı. Bu yaklaşıma sosyal mühendislik sahtekarlığı da denilmektedir. Dolandırıcılık mağduru daha sonra bankasından ortaya çıkan zararı karşılamasını istedi. Ancak banka bu talebi reddetti ve dava mahkemeye taşındı. Karar pek heyecan verici olmasa da mahkemenin geçici bir açıklaması heyecan yarattı.
Ayrıca ilginç: tüm TAN prosedürlerine ve bunların nasıl çalıştığına genel bakış
Heilbronn bölge mahkemesi, mağdurun davasını, kendi ürettiği TAN numaralarının, kullanım amacına dikkat edilmeden ağır ihmal nedeniyle tanımadığı bir kişiye aktarıldığı gerekçesiyle reddetmişti. Kararda ayrıca şunlar belirtiliyor: “İddia edilen tedbirlerle ilgili olarak telefona kimin cevap verdiğine bakılmaksızın, çevrimiçi bankacılığın telefonla veya yazılı olarak değil, yalnızca çevrimiçi olarak gerçekleştiği herkes için açıktır.”
Ancak daha heyecan verici olan, mahkemenin karara ilişkin yukarıda belirtilen yorumuydu. Bu, pushTAN prosedürünü eleştirdi ve bunun çok güvensiz olduğunu düşündü. Temel olarak, bir işlem için iki faktörlü kimlik doğrulama kullanılır. Ancak mahkeme kararına göre burada durum böyle değildi. Hem TAN uygulaması hem de bankacılık uygulaması aynı akıllı telefona yüklendiğinden, “en az iki bağımsız öğeden oluşan kimlik doğrulaması yok” anlamında § 1 Paragraf 24 ZAG (Ödeme Hizmetleri Denetleme Kanunu) yürürlüğe girdi.
Temel olarak bu, hasar durumunda sorumlu tutulmamak için bankaların müşterilerinden bankacılık ve TAN üretimi için iki bağımsız cihaza sahip olmalarını talep etmeleri gerektiği anlamına gelir. Çünkü bir dolandırıcı veya bilgisayar korsanı akıllı telefonu kötü amaçlı yazılım kullanarak ele geçirirse teorik olarak her iki uygulamaya da erişim sağlayabilir. PushTAN prosedürünün sağlaması gereken güvenlik artık mevcut olmayacaktı.
TECHBOOK, hem ING hem de DKB’den mahkemenin yorumuna ilişkin değerlendirme talebinde bulundu. ING bize şu açıklamayı yaptı:
Teknoloji ve akıllı finans alanındaki önemli haberleri kaçırmak istemiyor musunuz? O zaman bizi Wh’de takip edinatsApp!
Ancak DKB, ilk kısa açıklamasında DKB’nin yeni bankacılığının Seal One güvenlik sürecini kullandığını söyledi. Postbank ve Deutsche Bank gibi diğer büyük bankalar da buna güveniyor. DKB, “Siparişler parmak izi, Face ID veya kişinin seçtiği uygulama PIN’i kullanılarak kolayca onaylanabiliyor” diyor.