http://www.zeit.de/digital/datenschutz/2010-09/online-banking-angriffe
Man kann jedem der Onlinebanking betreibt nur raten, dass nur über HBCI und einem Kartenleser mit Nummerntasten zu tun....
Gruß
luttyy
Prosseco 
gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Wer noch sicherer sein will. Macht kein Online Banking, so wie ich.
:-)
Sascha
dirk42799 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Sorry, aber so dramatisch finde ich den Text gar nicht.
Er gibt nicht wirklich viele Details bekannt.
Man könnte jetzt sagen: am sichersten lebt, wer gar kein Konto hat - denn dann kann auch nix abgebucht werden.
Aber mit einer gewissen Grundsicherung und brain.exe passiert dem vorsichtigen User faktisch nichts.
Und smsTAN oder iTAN oder etwaige TAN-Generatoren sind dann auch vollkommen ausreichend.
Gruß,
Dirk
Olaf19 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Was ist denn nun konkret so viel gefährlicher geworden? Ich lese aus diesem Artikel einfach nichts heraus.
"Ein Angriff unvorstellbaren Ausmaßes" - worin besteht der nun? Wir erfahren, dass es die Gangster auf unsere Geheimzahlen abgesehen haben: falls damit die iTANs gemeint sein sollten, das sind Wegwerfnummern, die sofort nach ihrer Nutzung unbrauchbar werden. Was genau wird da abgegriffen und wie geht das vor?
Im übrigen besteht der Artikel zu 2/3 aus dem Thema Geldwäsche. Die altbackensten und abgedrochschensten Methoden - arglose Mitbürger als Komplizen einspannen, deren Konten für illegale Geldtransfers nutzen - werden als raffinierte und neuartige Tricks verkauft. Wen soll das heute noch hinter dem Ofen hervorlocken?
CU
Olaf
Prosseco gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Die groesste Angst was man haben muss.
Ist wenn man seine Kreditkarten nicht verliert, als beispiel.
Wo kamen welt weit Nachrichten das einen Kunden seine Konto gepluendert wurde duch Online Banking. Der groesste Raub ist und bleibt die leichtsinnige handlungsweise der User.
Phisching, Telefon, Raub an der Strassen.
Gruss
Sascha
P.S. Der raub faengt doch schon an wen Menschen leichtsinnig sind.
hac004 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Leider haben nur relativ wenige Banken HBCI mit Kartenleser.
Hier werden fadenscheinige Gründe (Kosten der Karten mit Kartenleser/Tastatur...) vorgeschoben.
Gruss hac004
gelöscht_84526 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Aus dem Bericht: Die Drahtzieher hätten dabei die Geheimzahlen, mit denen die Kunden ihre Überweisungen durchführen, im Visier.
Wenn man eine Mail bekommt, in welcher man aufgefordert wird, seine TAN-Liste zu kopieren und diese mitsamt seiner Kontodaten plus Kennwort/PIN an die in der Mail angegebene Adresse zu schicken, dann muss man schon ganz schön bekloppt sein, wenn man dem Folge leistet.
Ein vollkommen nichtssagender Artikel, solche "Thesen" über das ach so gefährliche Onlinebanking werden seit 10 und mehr Jahren ins Netz gestellt. Das entlockt mir nur noch ein müdes "Arschrunzeln"....
Das Abheben von Geld an irgendwelchen Geldautomaten mitten in der Nacht ist da wesentlich gefährlicher. Da ist man vor "dunklen Gestalten" nie so richtig sicher.
Gruß
K.-H.
peterson gelöscht_84526 „Aus dem Bericht: Wenn man eine Mail bekommt, in welcher man aufgefordert wird,...“
Panikmache ohne Ende.
Um bei meiner Sparkasse online Banking mit meinen Konto zu machen muss er folgendes haben:
1. Kontonummer
2. meine Pin.
3. meine EC-Karte
4. meinen TAN-Generator.
Also er müsste mich haben. ;O))
Und bei allen andern Banken, wo ich noch bin, bekomme ich eine TAN per SMS.
Er muss also dort folgendes haben:
1. Kontonummer
2. meine Pin
3. Mein Handy
4. Pin vom Handy
Also er müsste mich auch haben. ;O))
HBCI ist nicht unbedingt erforderlich. Aber wenn man dann besser schlafen kann, bitte ...............................
Ich rate jedem, lieber erstmal nachzudenken.
Olaf19 peterson „Panikmache ohne Ende. Um bei meiner Sparkasse online Banking mit meinen Konto zu...“
gelöscht_35042 Olaf19 „ Ist ehrlich gesagt auch mein Eindruck. Mir wäre es zu umständlich, jedenfalls...“
Was für eine Handtiererei?
Die Pin eingeben und ferddich. Der Kartenleser steckt dauernd im PC und die Karte darin auch!
Gruß
luttyy
gelöscht_35042 Olaf19 „ Ist ehrlich gesagt auch mein Eindruck. Mir wäre es zu umständlich, jedenfalls...“
Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen ganzseitigen Artikel darüber.
Es handelt sich um einen Banking-Trojaner mit Namen Gozi, der weiter einwickelt wurde. Es reicht aus eine manipulierte Website zu besuchen und es installiert sich automatisch ein kleiner Downloader, der erst später diesen Gozi runterlädt.
Dieser Trojaner wartet dann ab, bis der User die Webseite seiner Bank aufruft und sich anmeldet. Und genau in diesem Moment tauscht der Trojaner die Originalseite der Bank aus. Die Manipulation erfolgt nicht im Internet zwischen PC und Bankserver, sondern im Browser des lokalen Rechners.
Gozi läuft als DLL (dynamische Bibliothek), die sich in den Browser-Prozess einschaltet und die angezeigten Daten verändert.
Die Verbindung zwischen PC und Bank wird gar nicht angetastet, somit stimmt die URL und auch eine Verschlüsselung mit SSL nützt nichts.
Banken raten als Schutzmaßnahme z.B. mTAN (TAN aufs Handy) oder die bereits erwähnten HBCI-Möglichkeiten.
Wohl gemerkt, es geht hier nur um User, die Onlinebanking direkt über das Netz betreiben.
User die Vorort mit einer Software wie Starmoney oder der Software T-Onlinebanking arbeiten, sind nicht betroffen...
Gruß
luttyy
Benni11 gelöscht_35042 „Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen...“
Hallo Lutty,
vielen Dank für die Klarstellung. Jetzt kennen wir konkret die mögliche Bedrohung.
Ein schönes Wochenende wünscht
Benni11
xaver4 gelöscht_35042 „Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen...“
-frank- gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL abgearbeitet wird, verstehe ich obiges Problem mit dem Trojaner.
Der Dieb phisht sich die NÄCHSTE TAN so, dass diese noch gar nicht verwendet wurde und kann mit genau DIESER danach EINE Überweisung tätigen.
Den Vorteil der Handy-TAN gegenüber einer Postbank-TAN-Liste (100 Zahlen-PAARE 0001-0815 0002-4711, 0003-1234) bei obigem Trojaner verstehe ich aber noch nicht.Nach Eingabe des Überweisungswunsches, teilt einem der Bank-Computer mit, dass er die TAN zu 0003 haben möchte, wobei (wichtig!) die 0003 vom Bank-Computer willkürlich aus den unbenutzten 100 gewählt wird - also nicht etwa SEQUETIELL, weil zuvor 0001 und 0002 dran waren..
In beiden Fällen (Handy, Postbank-Pärchen-Liste) muss also
ERST auf der ORIGINAL-Webseite der Bank Betrag+Zielkonto angegeben werden,
DANN erst generiert der Bank-Computer die TAN, die benötigt wird (bei der TAN-Liste sucht er eine von 100 aus)
Es wäre also nicht möglich, eine TAN abzufangen um danach einen anderen Buchungsauftrag durchzuführen.
Würde man nämlich danach einen Buchungsauftrag erstellen, würde der Bank-Computer dann ja ERST die dafür zu nutzende TAN entwerfen.
Habe ich das so erklärt, dass man es verstehen kann?
Sehe ich es richtig, dass o.g. Trojaner demnach für Postbank-TAN-Listen genauso ungefährlich ist wie eine Handy-TAN?
Auch die Handy-TAN scheint eine Schwachstelle zu haben, wenn sich der Trojaner in den Browser einklinkt und SIMULTAN zur gewünschten Überweisung die gephishte Überweisung tätigt. Er müßte halt parallel zur Eingabe der gewünschten Transaktion auf der manipulierten Seite eine gefälschte Überweisung auf der Bankseite tätigen:
1) Eingabe der gewünschten Transaktion auf gefälschter Seite bis zum Punkt, wo die TAN eingegeben werden muss
2) Eingabe der falschen Transaktion auf echten Bankseite, die eine Generierung der von der Bank gewünschten TAN (Liste oder Handy ist egal) und zugehöriger Handy-SMS bzw. zugehörigem Listenplatz führt
3) Abfrage der nötigen TAN durch gefälschte Seite (ggf. vorher Mitteilung des zugehörigem Listenplatzes, der ja in Schritt 3 erfahren wurde)
4) Eingabe der nötigen TAN auf der gefälschten Seite und Einlesen der dazugehörigen TAN vom ahnungslosen User
5) Eingabe der gephishten TAN auf der schon laufenden falschen Transaktion auf der echten Bankseite
....Mist, da hilft auch das Handy nichts mehr :-(((
Ändert HBCI eigentlich irgendwas an dieser Problematik??
xaver4 -frank- „Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL...“
Bei der Handy-TAN gibt es schon eine zusätzliche Sicherheit,
in der Regel handelt es sich ja nicht um eine "simultane" phishing
-aktion, sondern um eine Umleitung auf eine 'perfekt ge-fake-te'
Überweisungsseite (mit einem keylogger käme der indruder auch
nicht viel weiter - er hätte zwar Dein login+PW aber immer
noch keine TAN) ... also wie sollte er die (übermittelte) TAN nutzen
können? Denn - die Handy-TAN wird verknüpft mit den bereits
eingegeben Überweisungsdaten und ist nicht nutzbar für einen
anderen Überweisungsauftrag; das Konto könnte er Dir damit also
nicht leerräumen :-]
Für mich stellt sich ein ganz anderes Problem - nämlich, dass man
sich beim 'web-shopping' (um sicherzugehen) mittlerweile
genauer via Impressum + UsSt-ID informieren muss, ob man an
einen seriösen Händler gerät, bevor man einem Bankeinzug
als Bezahlmöglichkeit wählt :o(
Fazit: eine 100%tige Sicherheit gibt es bei Online- Geldgeschäften
nicht; wer sich damit unsicher fühlt, sollte diese Option nicht nutzen
:-)
-frank- xaver4 „Bei der Handy-TAN gibt es schon eine zusätzliche Sicherheit, in der Regel...“
>>In der Regel handelt es sich ja nicht um eine "simultane" phishing-aktion, sondern um eine Umleitung auf eine 'perfekt ge-fake-te' Überweisungsseite.
Schon jkar, mein Beitrag bezieht sich auf "simultan" und da bietet die Handy-TAN keinen weiteren Schutz
>>Denn - die Handy-TAN wird verknüpft mit den bereits eingegeben Überweisungsdaten und ist nicht nutzbar für einen anderen Überweisungsauftrag; das Konto könnte er Dir damit also nicht leerräumen :-]
Simultan schon: der Bank-Computer bekommt nie die "gewünschte" Anfrage des Kunden übermittelt sondern zeitgleich eine falsche über 50.000 Euro. Für letztere wird dann von der Bank eine Handy-TAN verschickt, die auf der fake-Seite vom ahnungslosen User eingegeben wird und vom Trojaner dann an die Seite mit den 50.000 Euro auf dem Bank-Computer geschickt wird.
xaver4 -frank- „ In der Regel handelt es sich ja nicht um eine simultane phishing-aktion,...“
nein, nein ganz so ahnungslos wäre der 'Online-banker' nicht,
s. z.B. hier ...
https://www.frankfurter-sparkasse.de/privatkunden/konten_karten/smsTAN/Details/index.php
==> Details
... In der SMS werden noch einmal die wesentlichen Inhalte des
Auftrages (Art des Auftrages, Betrag und Kontonummer)
angezeigt. ...
... vorausgesetzt der Nutzer ist des Lesens von SMS mächtig,
sollte ihn der abweichenden Betrag, von z.B. 50000€ schon ins
Grübeln bringen ;->
Olaf19 -frank- „Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL...“
-frank- Olaf19 „ Gibt es denn solchen sequentiellen TAN-Listen? Heutzutage sind allgemein die...“
Früher bei der Postbank gab es (soweit ich mich korrekt erinnere) solche Listen.
Ich bin davon ausgegangen, dass die sequentiell abzuarbeiten sind (vermutlich stand es auch irgendwo).
Wobei es bei den Listen ja egal ist, ob "beliebige Reihenfolge" oder "sequentiell": Sobald eine unbenutzte TAN gephisht wurde, kann der Betrüger damit genau eine Transaktion durchführen, da diese TAN ja (nach Auffassung des rechtmäßigen Nutzers) für "die nächste" (oder sogar irgendeine zukünftige) Transaktion gültig ist.
