Linux 14.985 Themen, 106.409 Beiträge

Info für Online-Banking unter Linux

Acader / 36 Antworten / Flachansicht Nickles


Ich mache darauf aufmerksam das es sich bei diesen Thread um eine reine Info handelt und keine Werbung darstellen soll


Hallo Linuxer,

damit mehr Komfort und Sicherheit im Online Banking gegeben ist stellen viele Banken als auch die Sparkasse um, d.h. das bisherige TAN-Verfahren wird es ab 01.01.2012 nicht mehr geben.
Ab genannten Datum ist dann ein TAN-Generator oder noch viel besser ein Chipkartenleser mit einer speziellen HBCI-Chipkarte notwendig.
Unter Linux funktionieren allerdings die von z.B. der Sparkasse angebotenen Chipkartenleser nicht, da man mal wieder keine Treiber bzw. das dafür notwendige Plugin nicht zur Verfügung stellt.

Abhilfe dagegen schafft der von der Firma Reiner angebotene Chipkartenselser cyberJack RFID standard welcher unter den Distributionen Debian, Ubuntu und openSuSE einwandfrei funktioniert. Die Treiber und das Plugin muß man sich von dieser Webseite herunterladen.
Wenn man o.g. den Kartenleser bei matrica bestellt spart man durch die staatliche Förderung gar 25 € und bekommt zudem die Moneyplex Software gratis dazu.
Dieser Kartenleser funktioniert natürlich auch unter Windows.



MfG Acader



bei Antwort benachrichtigen
Hugo20 Olaf19 „ Das ist richtig, nur ist es schon vorgekommen, dass arglose User auf einer...“
Optionen
... nur ist es schon vorgekommen, dass arglose User auf einer Phishing-Seite ihre TAN eingegeben haben und die Überweisung dann ganz woanders hingegangen ist als geplant.

Gerade das ist doch der Witz am neuen Verfahren. Ein "Phisher" ist nicht mehr in der Lage dazwischen zu funken, geschweige denn eine TAN -wie bisher vom Papierbogen- Zweck zu entfremden.

Spielen wir das Ganze doch einfach mal an einem praktischen Beispiel durch.

MITM (Man-in-the-Middle)
Da hockt also einer -bildlich gesprochen- innerhalb der Strecke zu Deinem Institut auf der Lauer.

Der eigentliche Ablauf bei ner Überweisung:
Du startest die Connection und gibst Deine Daten in der Überweisungsmaske ein.
Wenn Du fertig mit eingeben bist, dann haust Du auf den Knopf und sagst:"Gib alles".
Kurz darauf erscheint ein blinkendes Bildchen vor Deinen Augen und Du hälst den TAN-Generator, in welchen zu zuvor Deine Chip-Bankkarte gesteckt hast, vor das Bildchen und drückst auf "F".
Der TAN-Generator liest die Daten aus diesen Lichtblitzen und meldet, wenn alles OK ist, nach kurzer Zeit, dass Du weitermachen kannst.
"Er" zeigt Dir Empfängerkonto, Empfängerbankleitzahl und den Betrag an, was DU jeweils mit OK bestätigen musst.
Erst DANN bekommst DU die eigens für diese eine Transaktion generierte (errechnete) Transaktionsnummer angezeigt, die Du anschließend in die Freigabemaske eingibst.
Du drückst auf Enter und bekommst die Bestätigung, dass der Auftrag entgegengenommen wurde.
Ende

Wo, und an welcher Stelle hätte der Phisher ne Möglichkeit einzugreifen, bzw. die Kohlen umzuleiten?
Ich seh da ehrlich gesagt keine.

Denn, gesetzt den Fall, Du würdest schon beim Versuch Deine Banking-Seite aufzurufen, umgeleitet, dann hätte die Phishing-Seite keinerlei Möglichkeit, irgendwelche "abgegriffenen" Daten -im Anschluss- bei Deiner echten Hausbank unterzubringen.

UND genau da liegt der riesige Unterschied zum bisherigen Papierbogen.
Denn da musste sich die Bank einfach drauf verlassen das es passt. Aber da war ja schon ne ganz gewaltige Hürde eingebaut, da bereits dort -im Dialogverfahren- nach Prüfungsanforderung von Dir, nach einer ganz bestimmten Nummer auf dem TAN-Bogen gefragt wurde.

Aber gehen wir jetzt ruhig noch nen Schritt weiter und konstruieren mal nen Fall in dem ein "böser Bube" (soll auch böse Mädels geben :-D) Deine EC-Karte in die Finger bekommt.
Er hat also die Karte. Was Ihm in dem Falle noch fehlt, sind Deine ON-Line-Ident-Nummer und Deine ON-Line-PIN.(Den TAN-Generator können wir mal vernachlässigen)

An dieser Stelle frage ich mich, wie es einem, der ja für gewöhnlich eher im Ural oder in Timbuktu sitzt, an alle drei dieser Dinge gleichzeitig gelangen soll; ohne dass DU Ihn dabei unterstützt hast. ;)
Bzw. bevor Du den Kartenverlust bemerkt und bei der Bank Deines Vertrauens diese sperren lassen hast.

Genau genommen wälzen die Banken auch einen gut Teil der Verantwortung auf den "mündigen" Kunden ab, in dem die nun sagen:"Wenn der Kunde die Karte nicht verlustig meldet, dann isses auch sein Bier, wenn nachher damit Schindluder getrieben wird. Basta."

Meiner -persönlichen- Ansicht nach, vollkommen zurecht.

Grüßle
hugo
„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen