Lt. BKA steigen die Angriffe auf das Homebanking deutlich. Im Fokus steht das mTAN Verfahren --> Link
Jeder sollte überlegen ob er weiterhin auf diese "bequeme" Art des Homebankings unterstützt.
- SOLAR FORUM
• - Login <-- oder -->
- kostenlos Anmelden •
- Reiseberichte •
- Wohnmobilstellplätze •
- Wohnmobildatenbank •
- Anzeigen-Markt •
- Menü •
Links zu ebay oder Amazon sind Werbelinks. Wenn Sie auf der Zielseite etwas kaufen, bekommen wir vom betreffenden Anbieter Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.
Angriffe auf Onlinebanking steigt um fast 20% 1, 2
|
Vor allem sollten sich die Banken das überlegen, ob sie das weiterhin anbieten. Für mich gibt es nur das HBCI-Verfahren, das mW bisher noch nicht gehackt wurde. Danke für die Info, hatte mir das auch überlegt, hier zu bringen, aber die Zeit.... Was gibt es denn für Alternativen bzw. wie funktioniert das HBCI-Verfahren? Ist das wirklich sicherererer? Ich habe gerade das mTAN Verfahren für unsere Konten deaktivieren lassen. Wir nutzen aber eh schon länger das chipTAN Verfahren. HBCI ist sehr sicher. Ebenso chipTAN sofern es Deine Bank anbietet.
HBCI verwende ich beim Hauptkonto mittels einer von der Bank ausgestellen Chipkarte, die mittels extra gekauftem Kartenlesegerät (das kann man auch für das auslesen einer Vielzahl anderer Chipkarten verwenden) verwendet wird, ich kann die PIN auf dem Lesegerät eingeben, dadurch abgekoppelt vom PC, dadurch kann ich das auch auf Reisen verwenden. Beim Nebenkonto (andere Bank) wird HBCI so verwendet, dass die PIN mittels Tastatur des PC eingegeben wird, das empfinde ich als nicht so sehr sicher wie mit Lesegerät, sieht Wiki auch so: --> Link
Ist doch klar: Per Keylogger kann ich die PIN auslesen :wink: Gerade mal bei meiner Bank nachgesehen. Die bieten mTAN (hab ich momentan, ist so schön praktisch), chipTAN und HBCI (mit Karte und Lesegerät) an. Vielleicht sollte ich doch mal umstellen. Allerdings kann ich dann unterwegs keine Überweisungen per iPad ausführen. Wär aber auch nicht so tragisch, zahle online meist via paypal. Ist man gegen so einen Häckerangriff im Schadenfall eigentlich versichert? Haftet die Bank? Hallo, habe ich das im Bericht richtig gelesen/verstanden? Es geht darum, dass es insbesondere Probleme gibt beim m-Tan- Verfahren, wenn man für das Online-Banking selbst und die versandte PIN das gleiche Gerät benutzt?? ... und wenn es dann mal schnell gehen soll, dann geht gar nichts mehr. Das habe ich jetzt schon mehrfach bei der Postbank erlebt. Ich habe so ein Kästchen, wo die Scheckkarte reinkommt. Nachdem ich 2 Stunden vor dem PC ohne Ergebnis zugebracht habe (schon mehrfach) habe ich mir wieder Überweisungsträger geholt. GsD ist die Postbank nur wenige Schritte von meinem Arbeitsplatz entfernt, das geht also. Wie es bei meiner Hausbank aussieht weiß ich nicht, auch da bin ich altmodisch und verwende Überweisungsträger oder auch mal den Automaten in der Vorhalle.
Aber ich denke, mit der PIN allein kann der Täter nichts anfangen. Er braucht auch meine Chip-Karte, da er ja die elektronische Signatur braucht, die sich auf der Chip-Karte befindet. Daher ist -chipTAN optisch- für mich die sicherste Möglichkeit, von überall auf mein Konto Zugriff zu haben.
--> Link
Wir müssen ja immer von theoretischen Szenarien ausgehen und da hoffen die Angreifer selbstverständlich auf die Bequemlichkeit des Opfers. Dh. zbsp. erledigst Du Deine Bankgeschäfte mit Starmoney, schickst den Auftrag los, gibst die PIN ein und anschließend surfst Du noch ein paar Minute ohne die Karte zu entfernen. Peng.. :( Nächstes Szenario könnte sein, dass der Angreifer die PIN ausließest und beim nächsten Übertragen der Überweisungen im Hintergrund seine "Überweisung" absendet während Du im Banking Programm noch Überweisungen zuordnest, erstellst ect pp.. Peng.. Grundsätzlich muss das aber schon ein sehr gut gefülltes Konto sein damit sich jemand solch eine Mühe macht... :mrgreen:
Doch per chipTAN :ja: Dazu musst Du aber den TAN Generator mit nehmen. Ich habe mich mittlerweile dran gewöhnt..
Jein.. I.d.R. kennen die Banken ihr Risiko ganz genau und werden entsprechend Kulant oder es eben nicht sein.. Andererseits gibt es Grenzfälle. Wenn du Kunde zBsp. einer Sparkasse bist, die einen recht hohen Sicherheitsstandart anbieten, dann wirst du schon nachweisen müssen, dass Du nicht grob fahrlässig gehandelt hast. Andererseits betreffen Phishing Attacken immer einzelne/bestimmte Banken, die dann meistens recht Kulant reagieren. pipo, der TAN Generator muss also nicht (per USB) ans Gerät angeschlossen werden. Das wusste ich nicht. Danke! Ich verzichte auf Onlinebanking. Schon zu Zeiten von BTX habe ich Onlinebanking gemacht und bis dato(chipTAN) noch nie irgendwelche Probleme gehabt. Man muß halt ein bisschen schauen was und wo man was eingibt. Kann ich mir überhaupt nicht vorstellen. Wie umständlich das ist! Für jede Kontobewegung zur Bank laufen? Auch im Geschäft: Kunde ruft an und fragt ob Überweisung eingegangen ist. Sag ich: Keine Ahnung, rufen Sie morgen noch mal an, da muss ich erst zur Bank gehn??
Warum? Wenn man's richtig macht, ist das Risiko aus meiner Sicht gleich Null.
Nein muss er nicht. Anfänglich hatte ich einen Generator, der nur funktionierte, wenn ich ihn vor der Nutzung gegen die Wand geworfen hatte :mrgreen: Die neuste Generation funktioniert mittlerweile tadellos.. :lach: Sorry die Botschaft darf nicht sein, dass Onlinebanking gefährlich ist sondern absolut sicher, wenn man nicht dabei sein Hirn ausschaltet. Aber das ist ja mit vielen Dingen so.. Ich kenne zig Fälle wo Überweisungsformulare gefälscht wurden. Solche Sachen sind natürlich in den Hintergrund geraten. Ebenso Fake Rechnungen. Alle wollen nur unser Bestes!!
Genau! seit 1995 mache ich mittels Quicken Onlinebanking, für mich ist es zB undenkbar, dass ich Überweisungen usw von Hand ausfülle mit all den vieeeelen Fehlerquellen. So verwende ich meine Vorlagen, da gibt es keine Drehzahlen und nix, man muss halt einmal langsam alles eingeben und prüfen, danach kann man das vergessen. Sogar die Umwandlung der alten Kontoverbindungen in IBAN und BIC geschah damit vollautomatisch. Ich kann es mir nicht mehr anders vorstellen. Und dann noch mit der richtigen Bank (DKB), wo ich keine Kontoauszüge per Papier sondern mit Email bekomme (Nachbarn könnten also Restpost aufmachen wenn sein müsste) und an keinem Geldautomaten auf der Welt Gebühren zahlen muss (meine Visa wird vom Tagesgeldkonto abgebucht, das zur Zeit mit 1,05% verzinst wird, muss also im Urlaub nicht an Deckung des Giros denken) dann macht das Reisen richtig Spaß Ich nutze eigentlich alle Verfahren.....nur zB mTan nicht mit dem alten Android 2.3..... Die Frage ist wie das mTan Verfahren denn geknackt wird. Die TAN muß ja abgefangen werden, das geht aber nur per (neu) installierter App, oder? Also muß ein Handy verwendet werden, auf dem Apps nicht installiert werden können, oder auf dem keine Zusatzapps installiert sind. Es bietet sich an, ein Handy zum Surfen (mit ZusatzApps) zu verwenden, ein anderes für den SMS Empfang. Ich habe lange ein ganz einfaches Samsung Handy als Haupthandy genutzt, eben weil mTANs drauf kommen, und weil die Akkulaufzeit sich in Wochen anstatt Tagen misst - fürs Internet eben ein Zweites (Android). In letzter Zeit nutze ich hauptsächlich das alte Handy meiner Frau, ein Nokia C6-00. WhatsApp läuft drauf, Opera Mobile auch, sonst gibts keine Apps mehr....
Der Angriff nennt sich Man-in-the-Middle.. Ich hatte es hier bereits schon einmal genau erklärt aber diesmal spare ich mir die Mühe: --> Link Dieses Szenario kann zBsp. aus so aussehen, dass der Angreifer eine neue SIM Karte bestellt und darüber die mTAN abfängt. Das funktioniert auch sehr gut mit EC oder Kreditkarten. Hierbei werden im Vorfeld die Bank und Adressdaten ausgespäht, dann wird die Adresse geändert und eine neue EC Karte beantragt. Sind PIN und Karte da wird fleissig das Konto geplündert bis der Kontoinhaber merkt, dass seien Karte nicht mehr funktioniert.
Möchte diese Frage noch einmal hochholen, habe es auch noch nicht ganz kapiert. Ist die Gefahr bei mTan nur wenn ich auch das Banking über das Smartphone mache oder auch, wenn ich am PC zu Hause arbeite? Ich mache von Anfang an online-Banking im HBCI-Verfahren, immer mit einem externen Eingabegerät und das Banking-Programm auf einem USB-Stick. Allerdings nutze ich diesen nur von eigenen Computern und Notebooks, nie in Internetläden. Ich habe bisher, außer dass ein USB-Stick mit den ganzen Daten den Geist aufgegeben hat, noch keine Probleme gehabt. Mit dem Tablet frage ich nur meinen Kontostand ab und Internetbanking nutze ich nur um meine Kontoauszüge abzuholen, ohne PIN/TAN. Wenn ich an Bankautomaten Geld ziehe, gucke ich mir den genau an und verdecke die Pin-Eingabe. Wenn eine Eingangsschleuse zu öffnen ist, nehme ich meine Kreditkarte ziehe aber mit der Bankkarte das Geld. Bei unregelmäßigkeiten am Automaten, diesen nicht verlassen, dabei stehenbleiben und die Polizei rufen. Mein Sohn ist Informatiker und trotzdem auf pishing reingefallen. Gut dass es die Bank sofort gemerkt hat, da die Summe die mit der Kreditkarte gezogen werden sollte, außergewöhnlich hoch war.
Also Du machst eine Überweisung am PC, um die Aktion abzuschließen lässt Du die die mTAN auf Dein Handy schicken und mit dieser autorisierst Du dann die Überweisung. Die Sparkassen unterbinden IMHO Überweisungen über das Smartphone und Browser welches für das mTAN verfahren registriert sind. Letztendlich ist es auch egal, mit welchem Gerät die Transaktionen durchgeführt werden. Der Angreifer braucht ja nur die mTAN die über den Angriff auf ein anderes Telefon umgeleitet wird.
Danke, ich weiss das. Gehst du von vorne herein davon aus, dass dein PC infiziert ist? (Symantecs Chef denkt ja anscheinend so) Nehmen wir Smartphone ganz raus, glaubst du dass eine SMS auf so ein Handy ( --> Link , nicht update oder internetfähig) abhörbar ist? Der Provider stellt keine Zweitkarten aus....
Nein, gehe ich nicht. Es bleibt aber immer ein Restrisiko. Letztendlich muss ja auch mein Handy manipuliert sein. Bitte nicht vergessen!!
Ja, es geht nicht um die Interfähigkeit.. :!: Einen Schadcode kann ich auch per SMS senden. Dh. jedes Handy ist anfällig :!:
Liefert aber eine Neue SIM Card wenn der Besitzer Verlust oder Defekt meldet :wink:
Und das war einer der Angriffspunkt beim mTan Verfahren. Die Provider haben ohne Überprüfung eine neue SIM an eine nicht registrierte/gemeldete Adresse geschickt. Die Hacker haben, nachdem sie Zugriff auf den Rechner/Smartphone/Tablet hatten, sich eine Ersatz-SIM Karte schicken lassen und haben alle SMS abgefangen. Damit hatten sie dann den vollen Zugriff auf das Konto. Nun schieben sich Banken und Mobilfunkprovider den schwarzen Peter zu. Im Endeffekt bleibt: Schuld ist der Kunde :-( :evil: Für mich gibt es derzeit nur ein sicheres Verfahren: FinTS/HBCI mit Chipkarte und Kartenleser mit eigener Tastatur zur Eingabe der PIN. Alles was über Web funktioniert ist mit mehr oder weniger Aufwand zu knacken. Aber Chipkarte und Lesegerät kosten eben Geld. Und das scheuen viele. Ulrich
ja, das muss jeder selber wissen, mir war es die paar wenigen € wert. Überweisungen mit der Hand waren mir schon vor Jahrzehnten lästig
... wenn ich doch innerhalb 30 sek. keine mTAN per SMS bekommen habe, weiß ich doch daß was schiefgegangen sein muß oder ? habe gerade erst 2 Überweisungen per Laptop getätigt und ich habe innerhalb höchstens 15 sek die mTAN gehabt.
Nein, Du musst sehen, dass hinter diesem mTAN Verfahren 2 Infrastrukturen hängen. Einmal die Bankenseite wo es zu Verzögerungen kommen kann und dann noch die Seite des Mobilfunkproviders. Da kann es halt mal zu Verzögerungen kommen.. Wenn Du unsicher bist geh halt 1-2 Mal am Tag auf Dein Konto und schau ob alles i.O. ist.
... das mache ich täglich ! mache online Banking seit 13 Jahren, bis jetzt alles gut gegangen oder glück gehabt ? habe ja nur ein ganz einfaches ordinäres Handy :) habe mich erst vor 4 Wochen von meiner TAN Liste verabschiedet. Ich arbeite schon seit Jahrzehnten mit Ueberweisungstraegern. Bis jetz auch immer gutgegangen.... :D
Du bist ja auch alt :lach: Nee, weise. Und seit fast 35 Jahren in der IT-Branche tätig. Da lernt man so einiges. :D Ich finde diese Diskussion spannend. Aber auch irgendwie überflüssig.... Bevor der Aufschrei kommt, erkläre ich gerne warum: Ich nutze mTan schon ewig und fühle mich sicher. Es liegt aber letztlich an mir, wie sicher es ist. 1.) ich nutze keine Passworte wie z. B. 123 oder abc, schon gar nicht für Datenrelevante Anmeldungen wie onlinebanking 2.) ich verändere Regelmäßig mein Passwort 3.) ich antworte nicht auf Schreiben von Banken, die mein Konto "außerkraft gesetzt haben" und gebe vor Schreck mein Online PW ein 4.) ich öffne keine Anhänge, selbst wenn da steht, "letzte außergerichtliche Mahnung" 5.) mein Smartphone ist nicht 24 Std. an einem Stück online (habe nur eine überschaubare Datenflat 6.) Firewall und Virenschutz am PC aktuell halten Um das mTan Verfahren nutzen zu können, muss der Bösewicht sowohl Zugriff auf das Handy (Abfang der SMS) als auch auf den Rechner haben. Es ist zwar möglich, dass sich der Täter eine Simkarte schicken lässt, dafür muss er aber vorher i.d.R. Zugriff auf den Kartenaccount bekommen, um die Adressdaten zu ändern. Daher sollte man diese Regelmäßig prüfen und auf Punkt 1 und 2 achten. Und letztlich noch ein Punkt, der mich früher bei der Postbank ärgerte. Die hatten mir ohne Rückfrage eine Überziehungsrahmen von 7.000 EUR eingeräumt, ohne das ich diesen benötigte. Alleine der Schriftverkehr zum reduzieren dieses Rahmens war beeindruckend. Aber auch mit diesen Dingen kann man das Risiko, wenn es eintritt, minimieren.
Solch eine Diskussion kann nicht überflüssig sein :!: Es geht ja nicht darum mTAN zu verteufeln oder das System generell als unsicher darzustellen. Mit dieser Diskussion soll die Aufmerksamkeit geschärft werden. Allein die Möglichkeiten aufzeigen wie so ein Angriff ablaufen kann, wie man sich in Gefahr bringt kann die Sicherheit merklich erhöhen :ja:
jau! Ich lasse mir sehr gerne Infos (zu allen möglichen Themen) zeigen, da habe ich gar kein Egoproblem, es gibt immer zumindest einen, der mehr weiß oder mehr Fantasie hat als ich. Was ich dann übernehme, da bin ich wieder mein eigener Chef und kann selbst denken (vorausgesetzt die Antworten sind verständlich) :) und hier trifft man (leider die Minderheit) Leute, die komplizierte Dinge einfach erklären können, das sind die wirklichen Fachleute. Einfach nur Fachausdrücke aneinanderreihen (oder beliebtes Spielchen auf die Suche verweisen), das kann die Mehrheit. Einfaches Beispiel: ein Chefarzt, kann dir deine Krankheit chinesisch oder verständlich erklären, damit du in der Lage bist, eigene Schlüsse zu ziehen. Will jetzt keinen bevorzugen, aber Pipo hat mir zum Thema smartphones erstmal einen Horizont geschaffen :D danke für deine Geduld. Moins, wenn ich eine mTAN anfordere, schalte ich mein " Altertümliches Handy " :D ein und nachdem ich die TAN Nr. aufgeschrieben habe, schalte ich es sofort danach aus, ehe ich die TAN am Laptop eingebe. Was ist wenn Du gleichzeitig eine SMS deines Mobilfunkproviders bekommst in der drauf hingewiesen wird, dass eine Optimierung Deines Mobilfunkempfanges durch die Installation der anhängenden Datei hingewiesen wird?
... solange ich ein Handy habe ist das noch nie passiert :) " Installation der anhängenden Datei ? " wüßte nicht wie ich das machen sollte und würde es auch nicht glauben :?
Das gibt es aber tatsächlich, dass Dein Mobilfunkprovider wenn Du eine neue SIM Card oder Handy in Betrieb nimmst, eine SMS mit einer Konfigurationsdatei schickt und Du Ausführen musst. Damit werden zBsp. APN, MMS oder Betreiberlogo konfiguriert :mrgreen: Hallo, ärgerlich finde ich eigentlich nur, das es Verfahren gibt, die extrem schwer zu knacken sind. Diese werden aber nur "unter der Hand" vertrieben und nicht beworben. Die Angriffe auf das mTan Verfahren mit zusätzlicher SIM Karte sind wohl erledigt. Die Provider schicken die SIM Karte nicht mehr einfach an eine unbekannte Adresse. Das war einer der Gründe warum der Angriff möglich war. Und wenn SMS nur noch auf die neue Karte geleitet werden, bekommt der Nutzer dazu auch eine Nachricht. Aber reagieren muss er immer noch. Und für den Laien wird es immer schwerer zu entscheiden welche Daten "echt" sind und hinter welchen ein Angriff steckt. Und auch Firewalls/Virenscanner hinken der Entwicklung immer hinterher. Ulrich Hallo, ich benutze ChipTan, da sehe ich bislang keine Gefährdung. Nach der Buchung melde ich mich sofort ordnungsgemäß ab - (nicht den Browser schließen, weil sonst die Meldung der Bank kommt, ich habe mich nicht sauber abgemeldet) und schaue regelmäßig auf mein Konto. Siggi Ein wahrscheinlich ganz dumme Frage : ich benutze Tan-Listen. Ist das auch unsicher? |
Anzeige
|
1, 2
EBAY wurde gehackt!!!