Beim klassischen Homebanking erhält der Kunde von seiner Bank eine Liste mit Transaktionsnummern (TAN), mit denen er in Verbindung mit seiner persönlichen Identifikationsnummer (PIN) Überweisungen oder ähnliches durchführen kann. Hierbei wird bei jeder Transaktion die Eingabe einer TAN verlangt, die nur einmalig anwendbar ist. Nach erfolgter Eingabe ist die TAN ungültig und muss von der Liste gestrichen werden. Durch Phishing und Pharming versuchten in der Vergangenheit verstärkt Betrüger in den Besitz von PIN und TAN zu gelangen. Um die Sicherheit des Kunden beim Onlinebanking zu verbessern, sind mittlerweile die meisten Banken dazu übergegangen, eine sogenannte indizierte TAN (iTAN) einzuführen.
Hierbei steht es dem Kunden nicht mehr frei, selbst eine TAN aus seiner Liste auszuwählen, sondern die Bank verlangt die Eingabe einer bestimmten TAN, um die Transaktion ausführen zu können. Dadurch ist es den Betrügern erheblich erschwert worden, Zugang zu fremden Konten zu erschleichen und Abbuchungen vornehmen zu lassen. Allerdings bieten auch iTAN´s keine absolute Sicherheit. Bei dem sogenannten Man In The Middle Angriff leitet wie beim herkömmlichen Angriff der Betrüger den Kunden auf eine gefälschte Bankseite. Gleichzeitig wird durch den Betrüger eine tatsächliche Verbindung zum Bankserver aufgebaut. Nachdem er nun zur Eingabe einer bestimmten TAN aufgefordert wird, gibt er die Eingabeaufforderung unverzüglich an den wirklichen Kontoinhaber weiter. Auf diesem Weg gelangt er in den Besitz der verlangten iTAN und kann die Überweisung von dem Konto des Opfers vornehmen. Um diesem Vorgehen einen Riegel vorzuschieben, wurde das sogenannte iTANplus Verfahren durch den entwickelt. Hierbei wird dem Kunden bei der Vornahme einer Onlinetransaktion ein Kontrollbild eingeblendet, welches neben einem „digitalen Wasserzeichen“ auch das Geburtsdatum des Kontoinhabers und darin integriert die Listennummer der angeforderten TAN enthält.
Hierdurch hat der Kunde die zusätzliche Möglichkeit, Manipulationen besser zu erkennen und den Vorgang daraufhin abzubrechen. Wollte ein Betrüger durch bloßes Erraten der richtigen TAN Transaktionen von einem Onlinekonto durchführen, so läge die Wahrscheinlichkeit eines Treffers bei einer sechsstelligen TAN bei 1:1.000.000. Bei drei Versuchen ergibt sich daraus eine Wahrscheinlichkeit von 1:333.333. Ein Nachteil bei der Verwendung von iTAN und iTANplus liegt darin, dass der Benutzer immer seine gesamte TAN - Liste mitführen muss. So ist es zum Beispiel nicht möglich, für den Urlaub nur einige TAN-Nummern herauszuschreiben und diese sicher verwahrt mitzunehmen. Sowohl TAN, iTAN und iTAN plus gelten aber im Onlinebanking nur als bedingt sichere Verfahren. Durch die Verwendung der HBCI - Methode mit Chipkarte wird dem Kunden von den meisten Banken ein weiteres Verfahren angeboten, das eine größere Sicherheit bietet. Zwar gibt es auch hier Angriffsmöglichkeiten für Betrüger, die unberechtigt mittels Trojaner auf das Kartenlesegerät und den Computer Zugriff erhalten können.