Hallo zusammen!
Ich weiß - n-tv.de ist nicht unbedingt das oberste Kompetenzzentrum für IT-Belange, nicht zuletzt deswegen die Frage: Ist dieser Artikel wirklich ein Grund zur Besorgnis oder eher Effekthascherei?
http://www.n-tv.de/technik/Online-Banking-sehr-riskant-article2016656.html
...heutzutage sind Kriminelle nicht mehr auf Kontodaten, Passwörter oder TANs angewiesen, um Beute zu machen. Sie sind in der Lage, sich in eine laufende Banking-Aktion zu hacken. Wenn der Kunde dann die Überweisung bestätigt, landet das Geld nicht beim gewünschten Empfänger, sondern auf einem Konto der Cybergangster.
Irgendwie widerspricht das doch dem Tenor, dass die Benutzer selbst schuld hätten dank ihrer Leichtsinnigkeit? Aber wenn die Täter sich einfach in laufende Transaktionen einklinken können, ohne irgendwelche Daten von uns zu haben, sind wir dann nicht so oder so machtlos?
CU
Olaf
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
So wie ich das verstehe funktioniert das ganze ja nur bei einem installierten Trojaner, der die http anfragen abfangen müsste.
Und AFAIK funktioniert das auch, wenn man einen entsprechenden Trojaner schreibt. Man fängt einfach die Daten im Browser ab, ändert den Betrag und den Empfänger der Überweisung. Die TAN Pin etc bleibt dabei erhalten und die TAN wird auch noch nicht benutzt, wenn der request abgebrochen wird. Jetzt kann der Trojaner eben einen neuen mit geänderten Daten generieren und ihn abschicken. Oder würde das so nicht funktionieren? Geht das bei ssl?
Im Endeffekt sind halt die Leute schuld, die Viren oder Trojaner auf ihren Rechnern haben. Wenn man einen aktuellen Virenscanner hat, sollte das Risiko bald gebannt sein.
Gruß
Das ist wie mit dem neuen Perso.
Einen richtigen Kartenleser mit eigener Tastatur und das Problem ist vom Tisch. Aber nein, lieber sparen und sich das Konto abräumen lassen.
Man kann ja predigen was man will...
Gruß
luttyy
Der neue Perso ist nicht so schlecht, wie Ihn diverse Möchtegernhacker darzustellen versuchen. Dass hier und da nachzubessern ist für Probleme die erst in der Praxis zutage treten ist normal.
Abgesehen von qualitativen Mängeln im Erprobungsstadium, gern auch "Kinderkrankheiten" genannt - ich traue dieser RFID-Technologie nicht über den Weg. Im Logistikbereich mag das ja eine großartige Sache sein, wenn man Pakete jederzeit und überall nachverfolgen kann. Das dient nicht nur im Einzelfall um Verluste zu vermeiden, sondern auch für Verbesserungen im Logistikprozess.
Als menschliches Wesen möchte ich aber nicht rund um die Uhr "gemonitort" werden können...
THX übrigens für deine Beiträge ganz unten im Thread.
CU
Olaf
Ich halte es für nicht normal, dass bei etwas, was im Laufe seines Lebens jeder Deutsche hat bzw. haben wird, offensichtlich im Vorhinein nicht ausreichend getestet wird. Weiterhin halte ich es für unzumutbar, dass die Leute dazu verpflichtet werden, ihren eigenen Rechner sauberzuhalten und sich vor allem selbst darüber zu informieren, welche Schutzmaßnahmen zu ergreifen sind! Sowas kann sich jeden Tag ändern und dazu kommt noch, dass die Empfehlungen des BSI nicht immer sicher sind.
Und ich stimme Olaf zu: RFID will ich nicht mit mir rumschleppen, völlig egal, ob es Zugriffsbeschränkungen auf die Chips gibt oder nicht. Es reicht schon, wenn man durch ein Handy ortbar ist.
MfG Dalai
Also die beste Methode zum Internetbanking ist doch das HBCI System, mit Kartenleser der höheren Sicherheitsklasse mit Zahlenbedienfeld.
Mache das schon seit Jahren und hatte noch ein Problem damit, egal welches Tan-Verfahren man anwendet ist während der Eingabe doch ständig Online und damit in Gefahr.
Ich arbeite mit Starmoney, und das geht nur Online wenn ich den Sendeauftrag gebe.
Ich kann HBCI nur wärmstens empfehlen keinerlei Probleme mit abgefangen Aufträgen oder Tans.
Gruß Soppiy
PS. Schöne Adventstage
Nabend Olaf,
diese Möglichkeit ist mir schon länger bekannt. Hatte ich auch vor längerer Zeit mal was zu gepostet, was zu einigen ungläubigen Nachfragen führte. Ich glaube sogar Du warst auch mal mit dabei ;-)
Gruß
bor
Na klar! Ich bin doch immer und überall mit von der Partie :-D
Mir ist die Thematik insgesamt auch nicht völlig neu, aber diesen Artikel fand ich doch etwas verstörend. Auf der einen Seite wird auf der Leichtsinnigkeit der User herumgehackt, auf der anderen Seite wird es so hingestellt, als wenn man eh machtlos ist. Das ging mir doch einen ganzen Schritt weiter als alles andere, was ich bisher gelesen hatte.
CU
Olaf
Nutzt eine Banking-Software und einen HBCI-Kartenleser, ggf. einen mit eigener Tastatur und schon ist die Sache vom Tisch. Die meisten Angriffe erfolgen eh auf bzw. über die Webseiten der Banken. Wenn man stattdessen eine Banking-Software nutzt, ist dieses Ziel schonmal außen vor. Und da es genügend Auswahl bei der Software gibt, ist der Angriffsvektor deutlich kleiner.
MfG Dalai
Hi,
angeregt durch deinen Beitrag war ich nun mal bei Google auf der Suche nach Alternativen zu der herkömmlichen Tan-Liste.
Dabei ist mir natürlich auch das Chip-Tan-Verfahren, welches hier über den grünen Klee gelobt wird, aufgefallen.
Wie zu erwarten gibt es aber auch bereits hier die ersten erfolgreichen Versuche das Verfahren auszuhebeln.
http://www.heise.de/newsticker/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html
Ich denke es ist wie mit den "Antikopierschutzmechanismen" der Spieleindustrie, sobald etwas neues auf dem Markt ist, lassen sich auch neue Wege finden, dieses zu umgehen.
MFG
JMF
Kommt sicherlich auf das System an. Persönlich finde ich das Smart Tan Plus verfahren, welches die Volksbank anbietet durchaus für Recht sicher.
Kleines gerät in das man seine Bankkarte steckt und nachdem man die Überweisung ausgefüllt hat muss man 2 Werte in das Gerät eingeben einer nennt sich Code (zufällig generiert) und einer Data (die ersten 6 Ziffern der Ziel Kontonummer).
Da die Zielkontonummer Teil der Berechnung ist dürfte eine Man in the Middle Atacke recht schwer werden, da die "Cypergangster" ja erstmal ein Konto haben müssten, welches in den ersten 6 Ziffern mit dem Zielkonto (auf das ich eigentlich überweisen will) übereinstimmt
Ich nutze seit ca. 8 Jahren das HBCI Verfahren, in Verbindng mit Starmoney. Probleme gabe es sehr Wenige, aber nur im RZ bankintern. Es ist m.E. momentan das sicherste Banking-System, da die Verschlüsselung im externen Kartenleser erfolgt. In der Verbindung mit der HBCI Karte + Pin per Tastenfeld, müssen schon viele Faktoren zusammenkommen, um das System zu hacken, Bsp. wenn der Kartenleser manipuliert wird.
Ich persönlich würde heute nur Online-Banking machen, wenn HBCI bei der Bank im Angebot ist, Preis wäre mir egal.
Grüße fishermans-friend
Hallo nochmal,
Es ist natürlich klar, dass HBCI mit Kartenlesegeräten immer sicherer sein wird als das klassische Online Banking. Die Frage ist nur, ob man letzteres nicht auch ausreichend sicher hinbekommen kann, ob man dem Abräumterror wirklich schutzlos ausgeliefert ist.
Meine Sparda-Bank bietet zwar auch die Möglichkeit, HBCI zu nutzen, leider aber nur in Verbindung mit dem PIN/iTAN-Verfahren, nicht mit einem Kartenleser. Das ist nach meinem Verständnis eher eine "halbe Sache": http://www.sparda-bank-hamburg.de/konto_und_depot/hbci
CU
Olaf
Auch hier kann eine Banking-Software unterstützend wirken. Und noch sicherer und komfortabler wird es, wenn du MultiPIN verwendest, was die Verwendung der TANs automatisiert. Natürlich müssen dafür im Vorfeld der Nutzung alle TANs eingegeben werden, aber später muss man sich darum auch nicht mehr kümmern.
MfG Dalai
Hmm also bei Multipin bin ich ehrlich gesagt skeptisch. Der Vorteil einer Papierlister mit Tans ist doch das Sie eben nicht auf dem PC liegt und somit eben nicht hackbar ist.
Ich mache Online Banking seit Jahren mit dem Pin - Tan Verfahren. Wenn man die üblichen Sicherheitsrichtlinien beachtet, also keinen Banklink aus einer Email anklicken, keine Favoriten zum Banking anlegen, nicht die Passwörter zur Bank als Auovervollständigung im Browser hinterlegen, immer auf SSL Verschlüsselung bei Verbindung zur Bank achten. Und ganz wichtig, sobald es bei der Ausführung einer Überweisung einen Verbindungsabruch oder sowas gegeben hat sofort die Bank anrufen ( hatte ich allerdings noch nicht ).
Man sollte ja auch bedenken das der Hacker ja nicht nur irgendeine Tan braucht sondern eine ganz bestimmte um eine Überweisung auszulösen. Ich persönlich hatte damit noch nie ein Problem und kenne auch keinen dem jemals was passiert ist.
Man die machen immer ne Panik, manchmal denke ich die holen alte Nachrichten wieder raus die möglichst universell sind um Sendezeit voll zu kriegen.
Guten Abend.
Also ich habe hier ein I-Tan-Verfahren, und da würde mich doch interessieren, wie das geknackt werden soll.
Ich hatte gedacht, das sei mittlerweile fast Standard bei den günstigeren Varianten des E-Banking?
Mir soll erst mal einer erklären, WIE er bei diesem Verfahren etwa als "Man in the Middle" etwas abfangen können soll. WENN der User, also ich, einfach mitmacht und die Informationen vergleicht, die ihm gesandt werden.
Wenn ich die geforderte I-Tan eingebe, dann bekomme ich ein BILD mit meinem Geburtsdatum und den Überweisungsdaten. Diese stehen FEST, bevor ich die Tan eingebe.
Meines Erachtens ist dieses Verfahren nur zu knacken, wenn der User zu faul ist, die Angaben zu kontrollieren. Naja, wenn ich sehe, dass sie zum Test Kameras an die Terminals machten, die so gross waren, dass sie fast Teile der Tastatur verdeckten und die NICHT BEMERKT wurden....
Schönen Abend
naggo
ich persönlich schütze mich vor trojaner, mit einer Knoppix Live cd. Ist vllt nicht immer die praktischste Variante, aber mich stört es nicht.
n-tv behauptet von sich, ein Nachrichtensender zu sein.
Für mich ist das nur ein virtueller Flohmarkt.
Schau Dir mal an, was die für einen Müll in dem Laufband verkaufen wollen.
Alles teure Faxabrufe mit Mist.
Na ja, machen N24, RTL, Sat.1 usw genausso.
Alles Schrottprogramme.
Allein diese albernen Umfragen sind nur dazu da, um 50 Ct-Stücke einzusammeln.
****************************************************
Wird Dortmund deutscher Meister?
Ja 500 Anrufe
Nein 400 Anrufe
Weiß nicht 10 Anrufe !!!!!!!!!!!!!!!!!!!!!!!!!!
Mir egal 2 Anrufe !!!!!!!!!!!!!!!!!!!!!!!
Gibt da ein gutes Video, schaut mal hier
http://www.dailymotion.com/video/xf63z6_gefahr-beim-online-banking_news
Na ja, das Video muss man nicht verallgemeinern.
In diesem Fall gehen die Opfer auch alle online in ihre Bank.
Mit einem Bankprogramm ist das wesentlich anders.
Im übrigen benutze ich diesen (z.Z. angeblich am sichersten) TAN-Generator, der am Ende abgebildet, ist auch.
Irgendwann haben die das System wohl auch geknackt. Ich benutze aber noch ein weiteres Verfahren. mTAN.
Da bekomme ich die TAN per SMS.
@peterson
Den Generator habe ich mir auch bestellt. SMS Tan finde ich nicht so gut. Bin viel unterwegs und mache auch mal von ausserhalb Überweisungen. Wenn dann mal das Handy leer ist, stehe ich da. Dumm ist nur, das man den Generator jetzt auch noch mitschleppen muss. Naja, wenns der Sicherheit dient.........
Grß watnu
Mein Bankberater hat mir SMS-TAN ausdrücklich empfohlen, er meinte, es wäre sehr sicher, mindestens so wie die iTAN-Liste auf Papier.
Letztlich kann ich das selbst nicht beurteilen. Mein erster Gedanke war natürlich, was passiert, wenn ich mein Handy einmal verlieren sollte. Dazu aber müsste der Finder meine Bankverbindung kennen und meine Online-PIN besitzen.
CU
Olaf
Und er müsste wissen, wie die PIN Deines Handys ist, um es überhaupt einschalten zu können.
Und er müsste wissen, dass Du mTAN machst.
Den letzten Punkt - "müsste wissen, dass Du mTAN machst" - hatte ich glatt vergessen ;-)
Die PIN meines Handys hatte ich dagegen bewusst ausgelassen, da ich mir nicht sicher bin, wie schwer oder wie leicht die zu knacken ist. Es gibt ja Leute, die gefundene Handys einfach behalten statt den Fund anzuzeigen (Fundunterschlagung). Demnach kann das Knacken des Handy-PINs nicht soo schwer sein.
Oder schmeißen die einfach die SIM-Karte weg?
CU
Olaf
Ich kann Dir sagen, dass ich bei einem Handy schon mal den Sicherheitscode vergessen hatte.
Das ist nicht der zum Einschalten, sondern den, womit man gewisse Dinge löschen kann. (Gesamtdauer der Anrufe usw.)
Nach kurzer Zeit im Internet hatte ich die Programme, um mein Handy auszulesen.
Also, das mit dem Handy kann ich nicht nachvollziehen.
Man kann es ja wohl auch im Auto aufladen.
Außerdem hat man ja ein Ladegerät dabei, wenn man länger weg ist.
Beim TAN-Generator musst Du auch immer Deine EC-Karte dabei haben.
Allerdings würde ich es trotzdem generell vermeiden, online-Banking vom Internet-Café aus zu machen, denn Du musst Dich ja dort in Deine Bank einloggen.
Kennwort und PIN.
Ich muss von unterwegs keine Überweisungen tätigen, nur Geld holen.
Und das geht ohne die Zusatzteile.
Hallo,
ich habe als zweite Methode für unterwegs auch die SMS-TAN Variante und das mit Prepaid Handy. Die zugesendeten TAN-SMS sind doch eh kostenlos und meiner Meinung nach ist das auch recht sicher.
Gruß
Soppiy
Alles teure Faxabrufe mit Mist.
Was meinst du genau? Wo steht das, bzw. hast du dazu einen Link?
CU
Olaf
Das sind die Dinger, die die auch im Videotext haben.
Das ist so was wie:
Abnehmzeugs, GEZ Gebühren sparen, Zusatzrente sichern, Zähne kostenlos, Fehler bei den Versicherungen, jeder bekommt Geld zurück usw.
Die Leute, die n.tv oder n24 anschauen, sind da sowieso nicht der Ansprechkreis.
Es wird nie eine Bank geben die zugibt, dass die Sicherheit bei Kreditkarten zu lasch, bei EC-Karten so gut wie gar nicht vorhanden ist und bei Onlineüberweisungen vom PC aus problematisch ist.
Voraussetzungen hierbei immer; Trojaner ist auf dem PC, WLAN Router ist geknackt und die Überweisung wird über den sniffenden PC weitergeleitet.
Und sind wir mal ehrlich, Du nweißt auch wievbiel Millionen PCs Teil eines Botnetzes sind, ohne dies zu wissen.
Von dem herstimmt die Aussage von N-TV wenn meine Voraussetzungen stimmen.
Und ja stimmt dass der User Schuld ist. Er surft als Administrator statt als User und er verwendet kein HBCI sondern z.B. nur im besten Fall eine virtuelle Tastatur.........................
Das heißt, wenn ich gar kein WLAN betreibe, sondern nur einen "Festnetz-Internet-Router" benutze, fällt eine ganz wesentliche Voraussetzung für einen Erfolg des Angriffs schon weg? Das wäre schon ziemlich beruhigend, denn mit WLAN habe ich nach wie vor nichts am Hut.
CU
Olaf
Ja, stimmt so !